Baca tanpa iklan
TRIBUNNEWS.COM, JAKARTA - Kaspersky Lab Global Research and Analysis Team menemukan Desert Falcons, sebuah kelompok spionase cyber yang menargetkan beberapa organisasi dan individu penting di negara-negara Timur Tengah.
Ahli Kaspersky Lab menganggap pelaku ini merupakan sebuah kelompok tentara bayaran cyber Arab yang pertama dan diketahui mengembangkan dan menjalankan operasi spionase cyber secara total.
● Kelompok ini telah aktif selama setidaknya dua tahun. Desert Falcons mulai mengembangkan dan membangun operasi mereka di tahun 2011, dengan serangan utama mereka dan infeksi nyata yang dimulai pada 2013. Sementara puncak aktivitas mereka tercatat pada awal 2015;
● Sebagian besar target mereka berbasis di Mesir, Palestina, Israel dan Yordania;
● Selain negara-negara Timur Tengah yang difokuskan sebagai target awal, Desert Falcons juga berburu keluar dari kawasan tersebut. Secara total, mereka telah mampu menyerang lebih dari 3.000 korban di 50+ negara secara global, dengan lebih dari satu juta file dicuri.
● Para penyerang menggunakan alat berbahaya yang eksklusif untuk melakukan serangan pada Windows PC dan perangkat berbasis Android;
● Ahli Kaspersky Lab memiliki beberapa alasan untuk percaya bahwa para pelaku di belakang Desert Falcons adalah penutur asli bahasa Arab.
Daftar korban yang ditargetkan termasuk organisasi militer dan pemerintahan khususnya karyawan yang bertanggung jawab untuk melawan pencucian uang serta kesehatan dan ekonomi; media terkemuka, lembaga penelitian dan pendidikan, penyedia energi dan utilitas, aktivis dan pemimpin politik; perusahaan keamanan orang; dan target lainnya yang memiliki informasi geopolitik penting. Secara total ahli Kaspersky Lab mampu menemukan tanda-tanda lebih dari 3000 korban di 50+ negara, dengan lebih dari satu juta file dicuri.
Meskipun fokus utama kegiatan Desert Falcons tampaknya di negara-negara seperti Mesir, Palestina, Israel dan Yordania, beberapa korban juga ditemukan di Qatar, KSA, UAE, Aljazair, Lebanon, Norwegia, Turki, Swedia, Perancis, Inggris Amerika, Rusia dan negara-negara lain.
Memasukkan, Menginfeksi, Memata-matai
Metode utama yang digunakan oleh Falcons untuk memasukkan payload berbahaya adalah spear phishing melalui e-mail, posting jejaring sosial dan pesan chat.
Pesan phishing berisi file berbahaya (atau link ke file berbahaya) yang menyamar sebagai dokumen atau aplikasi yang sah. Desert Falcons menggunakan beberapa teknik untuk menarik korban untuk menjalankan file berbahaya. Salah satu teknik yang paling spesifik adalah, dan yang sering disebut, trik right-to-left extension override.
Metode ini mengambil keuntungan atas karakter khusus di Unicode untuk membalik urutan karakter dalam nama file, menyembunyikan ekstensi file berbahaya di tengah nama file dan menempatkan ekstensi file palsu berbahaya yang tampak dekat akhir nama file.
Dengan menggunakan teknik ini, file berbahaya (.exe, .scr) akan terlihat seperti dokumen tidak berbahaya atau file pdf; dan bahkan pengguna yang berhati-hati sekalipun dengan pengetahuan teknis yang baik dapat tertipu untuk menjalankan file ini. Sebagai contoh, sebuah file yang berakhir dengan .fdp.scr akan muncul .rcs.pdf.