卡巴斯基發現首個阿拉伯網絡間諜組織

2023-09-18 10:24:52 2

    卡巴斯基實驗室全球研究和分析團隊最近發現了一個以中東國家多家重要機構和個人為目標的網絡間諜攻擊組織——沙漠獵鷹（Desert Falcons）。卡巴斯基實驗室安全專家有多個理由相信，該組織幕後的攻擊者來自阿拉伯語地區。截止目前，沙漠獵鷹已針對全球超過50個國家的3000多個受害者展開攻擊，並盜取了超過100萬個文件。雖然沙漠獵鷹的主要攻擊目標似乎位於埃及、巴基斯坦、以色列和約旦這些國家，但是安全專家們在卡達、沙烏地阿拉伯、阿聯、阿爾及利亞、黎巴嫩、挪威、土耳其、瑞典、法國、美國、俄羅斯和其他國家同樣發現了多個受害者。卡巴斯基實驗室安全專家認為這是首個被發現的阿拉伯網絡僱傭軍組織，該組織能夠開發和執行大規模的網絡間諜攻擊行動。

    卡巴斯基實驗室的調查顯示，沙漠獵鷹攻擊行動已持續至少兩年時間：它從2011年開始開發和籌劃，但攻擊和感染始於2013年，並在2015年初達到巔峰。遭遇攻擊的受害者包括軍事和政府機構，尤其是反洗錢機構、醫療和經濟組織的員工、知名媒體、研究和教育機構、能源和公共事業設備提供商、激進主義者和政治領導人、物理安全企業以及其他掌握重要地緣政治信息的機構。沙漠獵鷹行動的幕後攻擊者可以利用特有的惡意工具攻擊上述機構的Windows計算機和安卓設備。卡巴斯基實驗室研究專家估計來自三個團夥的至少30名人員在不同國家操縱著沙漠獵鷹攻擊行動。

    據了解，沙漠獵鷹攻擊組織主要通過電子郵件、社交網絡內容或聊天信息進行釣魚式攻擊，以此傳播惡意代碼。釣魚信息中所包含的惡意文件（或指向惡意文件的連結）會偽裝成合法文檔或應用程式。沙漠獵鷹使用多種手段誘使受害者運行惡意文件。其中最常用的是一種被稱為文件擴展名從右至左覆蓋技巧。

    這一手段利用Unicode中的特殊字符，反向顯示文件名字符，在文件名中隱藏危險的文件名擴展名，並且將一個看似無害的虛假文件擴展名置於文件名稱的末尾。通過使用這一手段，惡意文件（.exe和.scr）看似為無害的文檔或PDF文件。甚至具有較高計算機知識的細心用戶也可能上當受騙，運行其中的惡意文件。例如，以.fdp、.scr結尾的文件看上去會顯示為.rcs和.pdf文件。

    成功感染受害者後，沙漠獵鷹會使用兩種後門程序中的一種，分別為沙漠獵鷹木馬或DHS後門程序。這兩種惡意程序均由攻擊者自主開發，並且現在還處於不斷開發之中。卡巴斯基實驗室專家發現該組織在攻擊中使用了超過100種惡意軟體樣本。這些惡意工具具有全面的後門功能，包括截取屏幕、記錄鍵盤擊鍵、上傳/下載文件、在受害者磁碟或連接的USB設備上收集所有Word和Excel文件信息、竊取存儲在系統註冊表（Internet Explorer和live Messenger）中的密碼以及錄音功能。卡巴斯基實驗室專家還在安卓設備上發現了惡意軟體的活動痕跡，攻擊者使用了具有手機來電和簡訊日誌竊取功能的安卓木馬程序。通過使用這些工具，沙漠獵鷹攻擊組織發動和實施了至少三次不同的惡意攻擊行動，不同國家的大量用戶和組織淪為其受害者。

    在談及沙漠獵鷹行動的幕後攻擊者時，卡巴斯基實驗室全球研究和分析團隊安全專家Dmitry Bestuzhev表示：「該組織成員具有良好的技術背景和政治文化眼光，其攻擊目標非常堅定，攻擊行動也異常活躍。僅使用釣魚郵件、社交工程技術、自製的工具和後門程序，沙漠獵鷹就成功感染了成百上千個中東地區的重要敏感組織，利用其計算機系統或行動裝置竊取敏感數據。如果有足夠的經費支持，他們還可能會獲得或開發出漏洞利用程序，提升他們的攻擊效率。」

    目前，卡巴斯基實驗室針對家庭和企業用戶的安全產品能夠成功檢測和攔截沙漠獵鷹攻擊組織所使用的惡意軟體。