Los ataques dirigidos de los Halcones del desierto

Descargar PDF del informe completo (eng)

Los Halcones del desierto (Desert Falcons) es un nuevo grupo de cibermercenarios que se dedica al ciberespionaje en el Medio Oriente. El grupo cuenta con un arsenal de herramientas y técnicas maliciosas caseras para ejecutar y ocultar sus campañas en PCs y sistemas operativos móviles.

Las primeras operaciones del grupo se detectaron en 2011 y sus primeras infecciones en 2013. A fines de 2014 y principios de 2015, el grupo se encontraba muy activo.

Informe completo

El informe completo se encuentraaquí.

Preguntas más frecuentes

¿Dónde se encuentran sus víctimas?

Se han detectado más de 3.000 víctimas en más de 50 países. La mayoría se encuentra en Palestina, Egipto, Israel y Jordania, pero se han descubierto otras en Arabia Saudita, EAU, EE.UU., Corea del Sur, Marruecos, Qatar y otros países.

¿Quiénes son las víctimas?

Los ataques apuntaron a varios tipos de víctimas, incluyendo organizaciones militares y gubernamentales, empleados responsables de organizaciones de salud, de combate al lavado de dinero, instituciones económicas y financieras, reconocidos medios de comunicación, instituciones educativas y de investigación, proveedores de energía y servicios básicos, activistas y líderes políticos, compañías de seguridad física, y otros blancos que tienen acceso a importante información geopolítica.

¿Cómo se infecta a las víctimas?

Los autores de este programa malicioso recurren a una variedad de técnicas y métodos de ingeniería social para propagar sus ficheros e inducir a sus víctimas a que los ejecuten, creando un vector de infección efectivo. Como ejemplo podemos citar un sitio web fraudulento que ofrece publicarš información política censurada y pide a los usuarios que descarguen un complemento para ver un video (el complemento contiene el malware). Otro ejemplo es el uso de mensajes de correo tipo spearphishing o mensajes en redes sociales para propagar los archivos maliciosos cambiando su extensión (por ejemplo, los archivos maliciosos que terminan en .fdp.scr aparecerán como .rcs.pdf).

Ejemplos de documentos y videos usados en mensajes spear-phishing

¿Qué propósito tienen las operaciones?

Los atacantes buscan información sensible de inteligencia que les sirva para siguientes operaciones o incluso para extorsiones. Las víctimas se eligen por los secretos o información de inteligencia que puedan poseer relacionada con su posición en organizaciones importantes o del gobierno.

A las víctimas les robaron más de un millón de archivos. Entre los ficheros robados se encuentran comunicaciones diplomáticas de embajadas, planes y documentos militares, documentos financieros, listas y documentos de contactos VIPs y medios de comunicación.

¿Quiénes son los atacantes y qué se sabe de ellos?

La lengua materna de los operadores de Desert Falcons es el árabe. Son más de 30 y trabajan en tres equipos. Ya se conocen las identidades de algunos de ellos. Los atacantes están llevando a cabo tres campañas para atacar a diferentes tipos de víctimas.

¿Dónde están los atacantes?

Se encuentran en Palestina, Egipto y Turquía.

¿Qué malware usan para infectar a sus víctimas?

Utilizan tres puertas traseras principales para infectar los dispositivos de sus víctimas:

Puertas traseras para ordenadores

• El troyano Main Falcons
• El troyano DHS* Spyware

Las puertas traseras para ordenadores les proporcionan a los atacantes un amplio margen para usar keyloggers y capturadores de pantalla, para acceder a ficheros e incluso para realizar grabaciones de audio. Los atacantes usan el nombre DHS para describir las iniciales de apodos de uno de los desarrolladores (D**H**Spyware).

Puerta trasera para dispositivos móviles

• Una puerta trasera móvil para dispositivos Android.
  Las puertas traseras móviles les permiten a los atacantes acceder a los registros Call y SMS.

¿Cómo encontraron de esta amenaza? ¿Quién la denunció?

Nos enteramos de esta amenaza durante la investigación de un incidente en el Medio Oriente.

¿Sigue activa?

La operación es muy activa y actualmente está en su pico. Continuamente estamos identificando nuevas muestras y víctimas de todas las campañas relacionadas.

¿En qué difiere de otros ataques de ciberespionaje?

Desert Falcons son los primeros ataques de ciberespionaje conocidos que han sido desarrollados y operados por árabes para atacar el Medio Oriente. Los ataques han afectado a una cantidad sorprendente de víctimas, y han robado más de un millón de documentos especiales.

¿Es un ataque respaldado por algún gobierno?

Los perfiles de las víctimas atacadas y los aparentes motivos políticos detrás de los ataques nos hacen pensar que estas operaciones pueden tener el apoyo de algún gobierno. Sin embargo, por el momento no podemos confirmarlo.

¿Por qué el nombre?

El halcón es un ave rara y muy apreciada por siglos en los países del desierto en el mundo árabe. Es un símbolo de caza y visión aguda. Los Halcones del desierto son cibercazadores muy efectivos que seleccionan cuidadosamente a sus víctimas tras investigarlas exhaustivamente antes de atacarlas y las vigilan de cerca después de infectarlas.

¿Cómo pueden protegerse los usuarios?

Los productos de Kaspersky Lab detectan y bloquean todas las variantes de este programa malicioso que se usan en esta campaña:

     Trojan.Win32.DesertFalcons
     Trojan-Spy.Win32.Agent.cncc
     Trojan-Spy.Win32.Agent.ctcr
     Trojan-Spy.Win32.Agent.ctcv
     Trojan-Spy.Win32.Agent.ctcx
     Trojan-Spy.Win32.Agent.cree
     Trojan-Spy.Win32.Agent.ctbz
     Trojan-Spy.Win32.Agent.comn
     Trojan.Win32.Bazon.a