Desert Falcons: la prima APT araba

Kaspersky Lab scopre l’APT (Advanced Persistent Threat) Desert Falcons, la prima APT in lingua araba. Scoprine di più!

Cancun, Messico – I ricercatori di Kaspersky Lab hanno individuato la prima minaccia APT (advanced persistent threat) in lingua araba. Il gruppo hacker responsabile dell’attacco si chiama Dubbed Desert Falcons (I falconi del deserto) e si compone di circa 30 persone – di cui molte facce conosciute. Il gruppo opera in Palestina, Egitto e Turchia; fanno uso di diversi strumenti e tecniche per raggiungere, infettare, spiare e manipolare le proprie vittime, al momento principalmente in Medio Oriente. Non è da escludere l’ipotesi che il gruppo sia finanziato dallo stato.

Il loro arsenale si compone di malware “fatti in casa”, ingegneria sociale e molte altre tecniche, tutte disegnate per mettere a punto campagne attivabili sia su sistemi operativi tradizionali che mobile. In particolare, i malware disegnati dal gruppo Desert Falcons possono rubare alle sue vittime informazioni sensibili, dati che verranno poi usati come base per altre operazioni e persino per estorcere dati o informazioni a target specifici.

Secondo il Global Research and Analysis Team di Kaspersky Lab, le vittime vengono scelte in base ai segreti e alle informazioni confidenziali possedute e sono particolarmente rilevanti tutti quei dati relativi a governi e grandi aziende.

Più di un milione di dati rubati a vittime selezionate

“Più di un milione di dati rubati a vittime selezionate” afferma l’azienda anti-malware. “I file rubati includono comunicazioni diplomatiche tra ambasciate, piani militari e documenti confidenziali; dati bancari, file e lista di contatti di persone importanti”.

Gli attacchi sferrati da Desert Falcons hanno interessato 3.000 vittime, in più di 50 paesi. La maggior parte di loro si trova in Palestina, Egitto, Israele e Giordania, ma abbiamo riscontrato casi anche in Arabia Saudita, U.A.E, Stati Uniti, Corea del Sud, Marocco e Quatar.

Tra le vittime organismi militari e agenzie governative, impiegati del servizio sanitario, enti che combattono contro il riciclaggio del denaro, istituzioni economiche e finanziarie, importanti media, ricercatori e organizzazioni educative, compagnie del gas e dell’elettricità, attivisti e leader politici, e altri target che hanno accesso a importanti informazioni geopolitiche.


Tra gli strumenti utilizzati da Desert Falcons vi sono le backdoor. Grazie ad una backdoor inserita in un normale computer, gli hacker installano un malware capace di carpire le battute della tastiera (keystroke), scattare screenshot e persino registrare file audio in remoto. Vengo anche utilizzati componenti mobile per Android in grado di spiare gli SMS e le chiamate.

Il dato più interessante, così come ci riferiscono i ricercatori di Kaspersky Lab durante il Security Analyst Summit, è che i Falconi del Deserto sono stati i primi ad utilizzare la chat di Facebook per attacchi mirati, mettendosi in contatto con le vittime attraverso la pagina di Facebook normale, guadagnandosi la loro fiducia e inviando loro file Trojan via chat spacciandoli per foto.

Il gruppo ha iniziato a sviluppare gli strumenti hacker all’inizio del 2011 e ha realizzato la prima infezione nel 2013. Tuttavia è solo alla fine del 2014, inizio del 2015, quando l’attività di Desert Falcons inizia davvero a decollare. Sembra che il gruppo sia più attivo ora che in qualsiasi altro momento.

Kaspersky Lab afferma che i suoi prodotti individuano e bloccano tutte le varianti malware usati nella campagna.

Consigli