Un grupo de ciberespionaje con origen presuntamente árabe ha sido detectado tras haber atacado a cerca de 3 mil víctimas en todo el mundo, especialmente en países del Oriente Medio. Según han informado analistas de Kaspersky Lab, los ciberdelicuentes se han valido de correos electrónicos con phishing, ingeniería social y herramientas y backdoors caseros para robar más de 1 millón de archivos.

Pese a que la gran mayoría de los objetivos de este grupo están en Egipto, Palestina, Israel y Jordania, los Halcones del Desierto, como son llamados, han estado operando desde 2011 con ataques que han afectado a Qatar, Arabia Saudita, Emiratos Árabes Unidos, Argelia, Líbano, Noruega, Turquía, Suecia, Francia, el Reino Unido, Rusia entre otros países.

De acuerdo con la investigación del laboratorio ruso, los ciberatacantes iniciaron su campaña de espionaje en el año 2013, teniendo un alza en su actividad a principios de este 2015 y sus principales blancos han sido “organizaciones militares y gubernamentales – especialmente empleados responsables en la lucha contra el lavado de dinero, así como salud y economía; principales medios de comunicación; instituciones de investigación y educación; proveedores de energía y servicios públicos; activistas y dirigentes políticos; empresas de seguridad física; y otros objetivos que tienen información geopolítica importante”.

Modus Operandi

El experto en seguridad de Kaspersky Lab, Dmitry Bestúzhev, ha afirmado que aproximadamente 30 personas, divididas en tres equipos y repartidos en diferentes países estarían llevando a cabo estos procedimientos al margen de la ley.

“Los Halcones del Desierto fueron capaces de infectar a cientos de víctimas sensibles e importantes de la región de Oriente Medio, a través de sus sistemas informáticos o dispositivos móviles y extraer datos sensibles. Con suficiente financiación, podrían haber adquirido o desarrollado exploits que aumentaran la eficiencia de sus ataques”.

La metodología más utilizada por los Halcones ha sido el “spear phishing”, a través de correos electrónicos, mensajes de redes sociales y mensajes de chat. Cada mensaje contiene archivos o enlaces a archivos maliciosos en los que caen incautas las víctimas, pues se hacen pasar por aplicaciones o documentos legítimos.

Una de las técnicas que utilizan para que los perjudicados ejecuten los archivos maliciosos es la denominada right to left, la cual puede invertir en Unicode el orden de los caracteres en un nombre de archivo, ocultando la extensión de archivo peligroso en medio del nombre y la colocación de una extensión de archivo falso que pasa totalmente inadvertido por el usuario. Es así como archivos maliciosos (.exe, .scr) aparentan ser inofensivos. “Incluso los usuarios cuidadosos con conocimientos técnicos podrían terminar infectados por estos archivos. Por ejemplo, un archivo que termina en .fdp.scr aparecería .rcs.pdf.”

ciberespionaje

Luego, una vez infectado el equipo, emplean el troyano Halcones del Desierto y el DHS Backdoor con los que pueden hacer capturas de pantalla, pulsaciones del teclado, robar contraseñas de Internet Explorer y Live Messenger, usar archivos de carga y descarga, obtener información almacenada en archivos de Word y Excel tanto en el disco duro como en dispositivos USB y realizar grabaciones de audio.

Se presume que también aplicaron algún tipo de software backdoor Android con el que tendrían acceso a llamadas móviles y mensajes SMS.

Los informantes de Kaspersky Lab, señalan que han identificado más de 100 ejemplares diferentes de malware utilizado por los espías electrónicos.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.