2052128

Erste arabische Cyberspionagegruppe enttarnt

18.02.2015 | 14:28 Uhr |

Erstmals ist es Sicherheitsfachleuten gelungen eine potente Gruppe arabischer Cyberspione zu enttarnen. Diese verfügt offenbar über das komplette Arsenal gängiger Spionagemittel.

Eine aus dem arabischen Raum stammende Spionagegruppe ist bereits seit 2011 aktiv und hat zumindest 3000 Ziele in mehr als 50 Ländern ausspioniert. Das russische Sicherheitsunternehmen Kaspersky Lab hat die Gruppe auf den Namen "Desert Falcons" (Wüstenfalken) getauft. Sie bestehe aus mindestens 30 Personen aus mehreren Ländern, aufgeteilt in drei Teams. Den bisherigen Höhepunkt ihrer Aktivitäten sieht Kaspersky Lab am Anfang dieses Jahres.

Ziele der Cyberspione sind vor allem Regierungseinrichtungen, namentlich Mitarbeiter aus Abteilungen, die gegen Geldwäscher ermitteln. Auch Mitarbeiter in den Bereichen Gesundheit und Wirtschaft stehen auf der Liste ihrer Ziele. Aber auch Medienunternehmen, Forschungs- und Bildungsinstitutionen, Energie- und Infrastrukturunternehmen, politische Aktivisten und hochrangige Politiker sowie Sicherheitsfirmen sind im Visier der Wüstenfalken.

Die Gruppe ist vor allem im Nahen Osten tätig, namentlich in Ägypten, Israel, Palästina und Jordanien. Weitere Opfer hat Kaspersky Lab in Katar und den Vereinigten Arabischen Emiraten, in Saudi-Arabien, dem Libanon und Algerien sowie in Norwegen, Schweden, Frankreich, Russland, in der Türkei und in den USA ausgemacht.

Timeline der Aktivitäten der Desert Falcons
Vergrößern Timeline der Aktivitäten der Desert Falcons
© Kaspersky Lab

Mit selbst entwickelten Spionage-Tools attackieren die Desert Falcons Windows-Rechner und Mobilgeräte, die mit Android laufen. Sie verbreiten ihre Schadprogramme vorwiegend über so genanntes Spear-Phishing. Das bedeutet, die Kontaktaufnahme per Mail in sozialen Netzwerken und in Chats erfolgt gezielt mit namentlich bekannten Personen, über die der Gruppe bereits detaillierte Informationen vorliegen.

Der RTLO-Trick

Sie übermitteln ihren potenziellen Opfern schädliche Dateien, die mit der so genannten RTLO-Methode (Right-to-left extension override) getarnt sind. Dabei nutzen sie eine Unicode-Eigenschaft, die es ermöglicht die Reihenfolge der Zeichen in einem Dateinamen zu vertauschen. So erscheint etwa eine Datei mit dem eigentlichen Namen "fdp.scr" mit dem harmloser wirkenden Namen "rcs.pdf", ohne dass die Ausführbarkeit des Programms beeinträchtigt würde.

Die eingesetzte Malware ermöglicht den Fernzugriff auf kompromittierte Rechner, sammelt Informationen über Office-Dokumente, kann Dateien hoch- und herunter laden, Tastatureingaben aufzeichnen sowie in der Registry gespeicherte Passwörter abgreifen. Ferner verfügen sie anscheinend über eine Android-Malware, mit der sie Telefonate abhören und SMS ausleiten können.

Die Gruppe ist weiterhin aktiv und Kaspersky Lab geht davon aus, dass sie ihre Tätigkeit mit weiteren Trojanischen Pferden und noch ausgefeilteren Techniken fortsetzen wird. Einen ausführlichen Bericht finden Sie im Kaspersky-Blog .

Video: Die unglaublichsten Sicherheitslücken im Internet
0 Kommentare zu diesem Artikel
2052128