Windows PC dan Perangkat Android Jadi Target Serangan Desert Falcons
Kaspersky Lab Global Research and Analysis Team menemukan Desert Falcons
Editor: Toni Bramantoro
TRIBUNNEWS.COM, JAKARTA - Kaspersky Lab Global Research and Analysis Team menemukan Desert Falcons, sebuah kelompok spionase cyber yang menargetkan beberapa organisasi dan individu penting di negara-negara Timur Tengah.
Ahli Kaspersky Lab menganggap pelaku ini merupakan sebuah kelompok tentara bayaran cyber Arab yang pertama dan diketahui mengembangkan dan menjalankan operasi spionase cyber secara total.
● Kelompok ini telah aktif selama setidaknya dua tahun. Desert Falcons mulai mengembangkan dan membangun operasi mereka di tahun 2011, dengan serangan utama mereka dan infeksi nyata yang dimulai pada 2013. Sementara puncak aktivitas mereka tercatat pada awal 2015;
● Sebagian besar target mereka berbasis di Mesir, Palestina, Israel dan Yordania;
● Selain negara-negara Timur Tengah yang difokuskan sebagai target awal, Desert Falcons juga berburu keluar dari kawasan tersebut. Secara total, mereka telah mampu menyerang lebih dari 3.000 korban di 50+ negara secara global, dengan lebih dari satu juta file dicuri.
● Para penyerang menggunakan alat berbahaya yang eksklusif untuk melakukan serangan pada Windows PC dan perangkat berbasis Android;
● Ahli Kaspersky Lab memiliki beberapa alasan untuk percaya bahwa para pelaku di belakang Desert Falcons adalah penutur asli bahasa Arab.
Daftar korban yang ditargetkan termasuk organisasi militer dan pemerintahan khususnya karyawan yang bertanggung jawab untuk melawan pencucian uang serta kesehatan dan ekonomi; media terkemuka, lembaga penelitian dan pendidikan, penyedia energi dan utilitas, aktivis dan pemimpin politik; perusahaan keamanan orang; dan target lainnya yang memiliki informasi geopolitik penting. Secara total ahli Kaspersky Lab mampu menemukan tanda-tanda lebih dari 3000 korban di 50+ negara, dengan lebih dari satu juta file dicuri.
Meskipun fokus utama kegiatan Desert Falcons tampaknya di negara-negara seperti Mesir, Palestina, Israel dan Yordania, beberapa korban juga ditemukan di Qatar, KSA, UAE, Aljazair, Lebanon, Norwegia, Turki, Swedia, Perancis, Inggris Amerika, Rusia dan negara-negara lain.
Memasukkan, Menginfeksi, Memata-matai
Metode utama yang digunakan oleh Falcons untuk memasukkan payload berbahaya adalah spear phishing melalui e-mail, posting jejaring sosial dan pesan chat.
Pesan phishing berisi file berbahaya (atau link ke file berbahaya) yang menyamar sebagai dokumen atau aplikasi yang sah. Desert Falcons menggunakan beberapa teknik untuk menarik korban untuk menjalankan file berbahaya. Salah satu teknik yang paling spesifik adalah, dan yang sering disebut, trik right-to-left extension override.
Metode ini mengambil keuntungan atas karakter khusus di Unicode untuk membalik urutan karakter dalam nama file, menyembunyikan ekstensi file berbahaya di tengah nama file dan menempatkan ekstensi file palsu berbahaya yang tampak dekat akhir nama file.
Dengan menggunakan teknik ini, file berbahaya (.exe, .scr) akan terlihat seperti dokumen tidak berbahaya atau file pdf; dan bahkan pengguna yang berhati-hati sekalipun dengan pengetahuan teknis yang baik dapat tertipu untuk menjalankan file ini. Sebagai contoh, sebuah file yang berakhir dengan .fdp.scr akan muncul .rcs.pdf.
Setelah berhasil menginfeksi korban, Desert Falcons akan menggunakan salah satu dari dua Backdoor yang berbeda: Trojan utama Desert Falcons atau DHS Backdoor, yang keduanya tampaknya telah dikembangkan dari awal dan dalam pengembangan berkelanjutan.
Ahli Kaspersky Lab mampu mengidentifikasi sebanyak lebih dari 100 sampel malware yang digunakan oleh kelompok ini dalam serangan mereka.
Alat berbahaya yang digunakan memiliki fungsi penuh dari Backdoor, termasuk kemampuan untuk mengambil screenshot, keystrokes, log upload / download file, mengumpulkan informasi tentang semua Word dan Excel file pada Hard Disk korban atau perangkat USB yang terhubung, mencuri password yang disimpan dalam sistem registry (Internet Explorer dan live Messenger) dan membuat rekaman audio.
Ahli Kaspersky Lab juga dapat menemukan jejak aktivitas dari malware yang tampaknya menjadi sebuah backdoor Android yang mampu mencuri log panggilan telepon dan SMS.
Menggunakan alat ini Desert Falcons meluncurkan dan setidaknya mengoperasikan tiga serangan berbahaya yang berbeda dan menargetkan korban yang berbeda di berbagai negara.
Sekelompok Elang Yang Berburu Data Rahasia
Peneliti Kaspersky Lab memperkirakan bahwa setidaknya ada 30 orang, yang terbagi dalam tiga tim, yang tersebar di berbagai negara, yang mengoperasikan serangan malware Desert Falcons.
"Orang-orang di balik pelaku ancaman ini sangat tekun, aktif dan dengan wawasan teknis, politik dan budaya yang baik. Hanya menggunakan email phishing, rekayasa sosial dan alat-alat buatan sendiri dan backdoors, Desert Falcons mampu menginfeksi ratusan korban sensitif dan penting di kawasan Timur Tengah melalui sistem komputer atau perangkat mobile, dan exfiltrate data sensitif. Kami menduga operasi ini dilakukan untuk mengembangkan lebih banyak Trojans dan menggunakan teknik yang lebih canggih. Dengan dana yang cukup, mereka mungkin bisa memperoleh atau mengembangkan eksploitasi yang akan meningkatkan efisiensi serangan mereka," kata Dmitry Bestuzhev, ahli keamanan di Kaspersky Lab Global Research and Analysis Team.
Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh pelaku ancaman Desert Falcons.