Desert Falcons:中东顶尖的APT黑客小组

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁(APT)的黑客小组。该黑客小组被冠以”Desert Falcons”(沙漠猎鹰)的称号,总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务,并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。 他们的”攻击武器”种类繁多,包括:自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息,随后被用于进一步的犯罪活动,甚至用来对受影响目标进行敲诈勒索。 据卡巴斯基实验室全球研究和分析小组表示,该APT黑客小组之所以将这些受害人选定为攻击目标,目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。 这些受害人总共被窃取了超过100万份文件。 “这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括:大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。” Desert Falcons攻击致使大约3000人受到影响,范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内,但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。 受害人有些来自军事和政府组织;有些任职于卫生组织以及反洗钱、经济和金融机构;还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工;当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。 Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门,即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外,他们还采用了可暗中监视短信和通话记录的安卓版移动组件。 有趣的是,研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露,该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天,即通过常规Facebook页面与攻击目标取得联系,在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。 该黑客小组早在2011年就开始构建其工具,并于2013年首次成功感染,而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。 卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁(APT)的黑客小组。该黑客小组被冠以”Desert Falcons”(沙漠猎鹰)的称号,总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务,并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。

他们的”攻击武器”种类繁多,包括:自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息,随后被用于进一步的犯罪活动,甚至用来对受影响目标进行敲诈勒索。

据卡巴斯基实验室全球研究和分析小组表示,该APT黑客小组之所以将这些受害人选定为攻击目标,目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。

这些受害人总共被窃取了超过100万份文件。

“这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括:大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。”

Desert Falcons攻击致使大约3000人受到影响,范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内,但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。

受害人有些来自军事和政府组织;有些任职于卫生组织以及反洗钱、经济和金融机构;还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工;当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。

Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门,即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外,他们还采用了可暗中监视短信和通话记录的安卓版移动组件。

有趣的是,研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露,该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天,即通过常规Facebook页面与攻击目标取得联系,在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。

该黑客小组早在2011年就开始构建其工具,并于2013年首次成功感染,而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。

卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

过于泛滥的”物联网”

最近,有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网:冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度,而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中,加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话,其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲,一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道,使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统,因而易于遭受远程黑客入侵。 一旦成功入侵,黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为,包括获得免费服务。其原因在于车主账户有权访问多种工具,其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外,这还可能会破坏洗车场或损毁车辆,原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗?当然,只要你想得到的都可以!例如,在2015年安全分析专家峰会(SAS 2015)上,来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话,那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵:在一连串的简单操作后,任何人都可以与健身智能手环相连,并下载有关手环所有者位置跟踪的信息。 总而言之,问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛,而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言,联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战,因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言,我们的建议是尽可能不要使用过于”智能化”的联网技术。

提示