ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) เปิดเผยการค้นพบ “เดสเสิร์ท ฟอลคอนส์” (Desert Falcon) กลุ่มจารชนไซเบอร์ที่พุ่งเป้าโจมตีองค์กรระดับสูงและบุคคลมีชื่อเสียงในประเทศแถบตะวันออกกลาง ผู้เชี่ยวชาญระบุว่า กลุ่มจารชนนี้นับเป็นกลุ่มไซเบอร์รับจ้างเชื้อสายอาหรับรายแรกที่พัฒนาและปฏิบัติการโจมตีไซเบอร์เต็มรูปแบบ
- การโจมตีของ “เดสเสิร์ท ฟอลคอนส์” นี้เริ่มขึ้นในปี 2011 และเริ่มปฏิบัติการในปี 2013 แต่ภารกิจโจมตีที่ร้ายแรงเกิดขึ้นในปี 2015 นี้เอง
- เป้าหมายใหญ่อยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน
- นอกจากประเทศในกลุ่มตะวันออกกลางแล้ว “เดสเสิร์ท ฟอลคอนส์” ยังขยายอาณาเขตไปทั่วโลก ปัจจุบันตรวจพบไฟล์ที่ถูกขโมยมากกว่าหนึ่งล้านไฟล์ มีผู้เสียหายกว่ามากกว่า 3 พันใน 50 ประเทศทั่วโลก
- ผู้โจมตีใช้ทูลประสงค์ร้ายในการโจมตีคอมพิวเตอร์ระบบวินโดวส์และอุปกรณ์พกพาระบบแอนดรอยด์
- ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบหลักฐานชี้ชัดหลายข้อ ทำให้เชื่อว่าผู้โจมตีมีเชื้อสายอาหรับ
เหยื่อของการโจมตีนี้ประกอบด้วย องค์กรทางทหารและรัฐบาล โดยเฉพาะพนักงานที่รับผิดชอบดูแลด้านการต่อต้านการฟอกเงิน เศรษฐกิจและสุขภาพ สื่อมวลชน สถาบันวิจัยและการศึกษา ผู้ให้บริการพลักงานและสาธารณูปโภค นักเคลื่อนไหวและผู้นำทางการเมือง บริษัทด้านความปลอดภัย และเป้าหมายอื่นๆ ที่ทำงานเกี่ยวข้องกับข้อมูลภูมิรัฐศาสตร์
นอกจากเป้าหมายหลักของปฏิบัติการอยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน แล้ว ยังพบเหยื่อในประเทศการ์ต้า ซาอุดิอาระเบีย สหรัฐอาหรับเอมิเรตส์ อัลจีเรีย เลบานอน นอร์เวย์ ตุรกี สวีเดน ฝรั่งเศส สหรัฐอเมริกา รัสเซีย และประเทศอื่นๆ มากกว่า 50 ประเทศทั่วโลก
การแพร่กระจาย การติดเชื้อ การสอดแนม
กลุ่ม “เดสเสิร์ท ฟอลคอนส์” ใช้วิธีสเปียร์ฟิชชิ่งผ่านอีเมล โซเชียลเน็ตเวิร์ก และข้อความแชท เป็นวิธีการหลักในการแพร่กระจายมัลแวร์ ข้อความฟิชชิ่งจะมาพร้อมไฟล์หรือลิ้งก์มุ่งร้ายที่แฝงตัวเป็นเอกสารหรือแอพพลิเคชั่นต่างๆ และอีกวิธีคือการใช้เทคนิคที่เรียกว่า “กลเปลี่ยนชื่อไฟล์จากขวาไปซ้าย”
วิธีการนี้จะใช้ประโยชน์จากคาแรกเตอร์พิเศษในยูนิโค้ดเพื่อกลับลำดับของคาแรกเตอร์ในชื่อไฟล์ ซ่อนส่วนขยายชื่อไฟล์ที่อันตรายไว้ตรงกลางชื่อไฟล์ และใส่นามสกุลที่ดูไร้พิษภัยไว้ตอนท้าย วิธีการนี้ ไฟล์อย่าง .exe / .scr / .pdf จะดูปลอดภัยไม่มีอันตราย แม้แต่ผู้ใช้คอมพิวเตอร์ที่รอบคอบยังถูกหลอกได้ง่าย
ตัวอย่าง: ไฟล์มัลแวร์ที่ลงท้ายด้วย .fdp.scr จะถูกกลับเป็น .rcs.pdf
หลังจากที่เหยื่อได้รับการแพร่และติดเชื้อเรียบร้อย “เดสเสิร์ท ฟอลคอนส์” จะเลือกใช้แบ็คดอร์ตัวใดตัวหนึ่งระหว่างโทรจันหลักและแบ็คดอร์ DHS
ทูลมุ่งร้ายนี้มีฟังก์ชั่นการทำงานของแบ็คดอร์อย่างสมบูรณ์แบบ คือ ความสามารถในการถ่ายภาพหน้าจอ ล็อกแป้นพิมพ์ อัพโหลดหรือดาวน์โหลดไฟล์ เก็บข้อมูลไฟล์เวิร์ดและเอ็กเซลจากฮาร์ดดิสหรืออุปกรณ์ USB บันทึกเสียง และขโมยรหัสที่เก็บไว้ในระบบรีจิสทรี นอกจากนี้ ผู้เชี่ยวชาญยังพบมัลแวร์ที่เป็นแบ็คดอร์ของแอนดรอยด์ที่สามารถโทรออกได้เองและเก็บข้อมูลการรับส่งข้อความ
ตามล่ากลุ่ม “เดสเสิร์ท ฟอลคอนส์”
นักวิจัยของแคสเปอร์สกี้ แลป คาดว่ากลุ่ม “เดสเสิร์ท ฟอลคอนส์” นี้ทำงานร่วมกันอย่างน้อย 30 คน แบ่งเป็น 3 ทีม และแยกโจมตีแต่ละประเทศ
“บุคคลที่อยู่เบื้องหลังปฏิบัติการนี้ มีความมุ่งมั่นและมีความรู้ด้านเทคนิค การเมืองและวัฒนธรรมค่อนข้างดี การใช้เพียงฟิชชิ่งอีเมล โซเชียลเอ็นจิเนียริ่ง ทูลทั่วไปและแบ็คดอร์ ก็สามารถโจมตีเหยื่อรายสำคัญได้มากมายหลายร้อยคนในตะวันออกกลาง เราคาดว่าปฏิบัติการนี้จะพัฒนาโทรจันและเทคนิคขั้นสูงอื่นๆ อีก และเมื่อมีงบประมาณเพียงพอ กลุ่มจารชนนี้จะเร่งพัฒนาการโจมตีให้มีประสิทธิภาพมากยิ่งขึ้น” ดิมิทรี เบสทูเซฟ ผู้เชี่ยวชาญด้านความปลอดภัย ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป กล่าว
ผลิตภัณฑ์เพื่อความปลอดภับของแคสเปอร์สกี้ แลป สามารถตรวจจับและสกัดการทำงานของมัลแวร์ของกลุ่ม “เดสเสิร์ท ฟอลคอนส์” ได้ครบถ้วน