Desert Falcons: L’APT du Moyen-Orient

20 Fév 2015

Cancún au Mexique – Les chercheurs de Kaspersky Lab ont découvert le tout premier groupe ayant recours aux APT en langue arabe. Surnommé Desert Falcons, le groupe d’une trentaine d’assaillants – dont certains sont connus par leur nom – opère depuis la Palestine, l’Égypte et la Turquie et il aurait développé et déployé leurs programmes exclusivement au Moyen-Orient. Il est impossible de déterminer si Desert Falcons est soutenu par un État.

ioct-featured

Leur arsenal se compose de malwares faits maison ainsi que d’outils d’ingénierie sociale et d’autres techniques visant à exécuter et cacher des campagnes sur les systèmes d’exploitation traditionnels et mobiles. Le malware des Desert Falcons se consacre tout particulièrement à voler des informations sensibles à ses victimes et ces informations sont ensuite utilisées pour alimenter d’autres opérations et même pour certaines tentatives  d’extorsion contre des cibles choisies.

Les victimes, selon l’équipe internationale de recherche et d’analyse de Kaspersky Lab, sont ciblées en fonction des éventuels secrets qu’ils détiennent ou bien des sources d’informations relatives à leurs positions au sein d’un gouvernement ou d’une organisation importante.

 » Plus d’un million de fichiers ont été volés aux victimes « , nous confirme la société antivirus. Les fichiers volés comprennent des communications diplomatiques d’ambassades, des plans et des documents militaires, des documents financiers, des listes de contacts VIP et médiatiques. »

Les attaques de Desert Falcons ont fait plus de 3000 victimes dans plus de 50 pays. La plupart de ces victimes sont situées en Palestine,  en Égypte, en Israël et en Jordanie, mais il y a également eu certains cas découverts en Arabie Saoudite, aux Émirats Arabes Unis, aux États-Unis, en Corée du Sud, au Maroc et au Qatar entre autres.

desert-falcons-2

Parmi les victimes, des militaires et des organismes gouvernementaux, certains responsables d’organismes de santé, des organismes luttant contre le blanchiment d’argent, des institutions économiques et financières, de grandes entités médiatiques, des institutions de recherche ou d’enseignement,  des fournisseurs d’énergie ou de services publics, des militants et des dirigeants politiques, des entreprises de sécurité physique et d’autres cibles qui ont accès à d’importantes informations géopolitiques.

Plus d’un millions de fichiers appartenant à des victimes ont été volés

Les outils utilisés dans l’attaque Desert Falcons comprennent des backdoors au sein même des ordinateurs traditionnels et à travers lequel les assaillants installent des programmes malveillants capables d’entrer des caractères, de prendre des captures d’écran, et aussi d’enregistrer des conversations audio à distance. Il existe également un composant mobile pour Android ayant la capacité d’espionner les SMS et les journaux d’appels.

La présentation de chercheurs ayant analysé Desert Falcons  lors du Security Analyst Summit de Kaspersky Lab  confirme que les pirates sont les premiers à utiliser le chat de Facebook dans des attaques ciblées, et qu’ils rentrent en contact avec leurs cibles via les pages de Facebook afin d’obtenir leur confiance et de pouvoir ensuite leur envoyer des fichiers faisant office de chevaux de Troie comme par exemple une photo.

Le groupe a commencé à concevoir ses outils en 2011 et a réalisé ses premières infections en 2013, mais ce n’est qu’à la fin de 2014 et au début de 2015 que l’activité de Desert Falcons  s’est réellement mise en marche. Il semble d’ailleurs que le groupe est plus actif que jamais.

desert-falcons-3

Kaspersky Lab affirme que ses produits détectent et bloquent toutes les variantes du malware utilisé dans cette campagne.