 |
| Jangkauan serangan Desert Falcons (sumber: Kaspersky Lab) |
Kaspersky Lab Global Research and Analysis Team belum lama ini telah menemukan keberadaan Desert Falcons, sebuah kelompok spionase cyber yang menargetkan beberapa organisasi dan individu penting di negara-negara Timur Tengah. Ahli Kaspersky Lab menganggap pelaku ini merupakan sebuah kelompok tentara bayaran cyber pertama dari Arab dan diketahui mengembangkan dan menjalankan operasi spionase cyber secara total.
Kelompok ini diperkirakan telah aktif selama setidaknya dua tahun. Desert Falcons mulai mengembangkan dan membangun operasi mereka di tahun 2011, dengan serangan utama dan infeksi nyata yang dimulai pada 2013. Sementara puncak aktivitas mereka tercatat pada awal 2015. Sebagian besar target mereka berada di Mesir, Palestina, Israel dan Yordania. Selain negara-negara Timur Tengah yang difokuskan sebagai target awal, Desert Falcons juga berburu keluar dari kawasan tersebut. Secara total, mereka telah menyerang lebih dari 3.000 korban di lebih dari 50 negara, dengan lebih dari satu juta file yang telah dicurinya. Para penyerang ini menggunakan alat berbahaya yang eksklusif untuk melakukan serangan pada Windows PC dan perangkat berbasis Android. Ahli Kaspersky Lab memiliki beberapa alasan untuk percaya bahwa para pelaku di belakang Desert Falcons adalah penutur asli bahasa Arab.
Daftar korban yang ditargetkan termasuk organisasi militer dan pemerintahan, khususnya karyawan yang bertanggung jawab untuk melawan pencucian uang serta kesehatan dan ekonomi, media, lembaga penelitian dan pendidikan, penyedia energi dan utilitas, aktivis dan pemimpin politik, perusahaan keamanan perorangan, dan target lainnya yang memiliki informasi geopolitik penting. Meskipun fokus utama kegiatan Desert Falcons tampaknya di negara-negara seperti Mesir, Palestina, Israel dan Yordania, beberapa korban juga ditemukan di Qatar, UAE, Aljazair, Lebanon, Norwegia, Turki, Swedia, Perancis, Inggris Amerika, Rusia dan negara-negara lain.
Metode utama yang digunakan oleh Falcons untuk memasukkan muatan berbahaya adalah spear phishing via e-mail, posting di situs media sosial dan pesan chat. Pesan phishing ini berisi file berbahaya (atau link ke file berbahaya) yang menyamar sebagai dokumen atau aplikasi yang legal. Desert Falcons menggunakan beberapa teknik untuk memancing korban menjalankan file berbahaya. Salah satu teknik yang paling spesifik adalah (yang sering disebut), trik right-to-left extension override.
Metode ini mengambil keuntungan atas karakter khusus di unicode untuk membalik urutan karakter dalam nama file, menyembunyikan ekstensi file berbahaya di tengah nama file, dan menempatkan ekstensi file palsu berbahaya yang tampak dekat di akhir nama file. Dengan menggunakan teknik ini, file berbahaya (.exe, .scr) akan terlihat seperti dokumen tidak berbahaya atau sebuah file pdf. Pengguna yang berhati-hati sekalipun dengan pengetahuan teknis yang baik dapat tertipu untuk membuka file ini. Sebagai contoh, sebuah file yang berakhir dengan .fdp.scr akan muncul sebagai .rcs.pdf.
Setelah berhasil menginfeksi korban, Desert Falcons akan menggunakan salah satu dari dua backdoor yang berbeda, yakni trojan utama Desert Falcons atau DHS Backdoor, yang keduanya tampaknya telah dikembangkan dari awal dan dalam pengembangan berkelanjutan. Ahli Kaspersky Lab mampu mengidentifikasi sebanyak lebih dari seratus sampel malware yang digunakan oleh kelompok ini dalam seranganya.
Alat berbahaya yang digunakan memiliki fungsi penuh backdoor, termasuk kemampuan untuk mengambil screenshot, ketikan tombol keyboard, log unggah dan unduh file, informasi tentang semua file Word dan Excel pada hard disk korban atau perangkat USB yang terhubung, password yang disimpan dalam sistem registry (Internet Explorer dan Live Messenger) dan rekaman audio. Ahli Kaspersky Lab juga menemukan jejak aktivitas malware yang tampaknya menjadi sebuah backdoor di Android yang mampu mencuri log panggilan telepon dan SMS.
Menggunakan alat ini, Desert Falcons meluncurkan dan (setidaknya) mengoperasikan tiga serangan berbahaya yang berbeda dan menargetkan korban yang berbeda di berbagai negara. Peneliti Kaspersky Lab memperkirakan bahwa setidaknya ada tiga puluh orang, yang terbagi dalam tiga tim, yang tersebar di berbagai negara, yang mengoperasikan serangan malware Desert Falcons.
“Orang-orang di balik pelaku ancaman ini sangat tekun, aktif dan dengan wawasan teknis, politik dan budaya yang baik. Hanya menggunakan e-mail phishing, rekayasa sosial dan alat-alat buatan sendiri dan backdoor, Desert Falcons mampu menginfeksi ratusan korban sensitif dan penting di kawasan Timur Tengah melalui sistem komputer atau perangkat mobile, dan mengambil data sensitif. Kami menduga operasi ini dilakukan untuk mengembangkan lebih banyak trojans dan menggunakan teknik yang lebih canggih. Dengan dana yang cukup, mereka mungkin bisa memperoleh atau mengembangkan eksploitasi yang akan meningkatkan efisiensi serangan mereka,” kata Dmitry Bestuzhev (ahli keamanan di Kaspersky Lab Global Research and Analysis Team). Kaspersky Lab menyatakan bahwa produknya telah berhasil mendeteksi dan memblokir malware yang digunakan oleh Desert Falcons.
About the Author
-0.jpg&container=blogger&gadget=a&rewriteMime=image%2F*)
0 komentar: