Abo
  • Services:
Anzeige
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Wüstenfalken: Hackergruppe spioniert im Nahen Osten

Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.

Anzeige

Es geht auch ohne Zero-Days: Die Wüstenfalken verbreiten ihre Malware im Nahen Osten ausschließlich per Social Engineering. Ausgespäht werden ausgewählte Opfer in Ägypten, Israel, Palästina oder Jordanien. Die Cyber-Diebe sind meist hinter wichtigen Informationen her, mit denen sie offenbar handeln. Denn erpresst werden nur wenige. Die vermutlich seit 2013 aktive Gruppe entwickelt ihre Spionagesoftware selbst. Ein Konfigurationsfehler in einem Command-and-Control-Server (C&C-Server) führte die Experten beim IT-Sicherheitsunternehmen Kaspersky auf ihre Spur.

Einer der C&C-Server war kurzzeitig mit öffentlichen Zugriffsrechten versehen. Dort fanden die Experten bei Kaspersky direkte Hinweise auf ihre Identitäten, darunter arabische Namen einiger Administratoren. Auch in den Registrierungsinformationen der Domänen wurden Namen entdeckt. Eines der Verwaltungswerkzeuge war in arabischer Sprache verfasst. Auch die versendeten Phishingmails deuten darauf hin, dass sie von einem Muttersprachler verfasst wurden. Kaspersky geht davon aus, dass die Gruppe mindestens 30 Personen umfasst. Die Experten haben inzwischen Facebook-Profile und Twitter-Konten entdeckt, die von den mutmaßlichen Mitgliedern betrieben werden. Einer davon hatte ein Foto der Konfigurationsoberfläche für die verwendete Malware stolz auf Twitter gepostet.

Die Opfer waren Aktivisten und Personenschützer

Auf eine eindeutig nationale Zuordnung verzichtet Kaspersky in seiner Veröffentlichung. Allerdings gibt es hartkodierte URLs in der Malware, die auf die die Herkunft der Urheber hinweisen: Es handelt sich um Login-Fenster des E-Mail-Servers des palästinensischen Ministeriums für Telekommunikation und Informationsdienste, der islamischen Universität in Gaza und des palästinensischen Mobilfunkproviders Jawwal.

Die Opfer seien hochrangige Persönlichkeiten in der gesamten arabischen Welt, schreibt Kaspersky. Betroffen seien Mitglieder von Medienorganisationen, Universitäten oder Aktivisten. Auch Regierungsmitglieder, Militärangehörige, Personen aus der Energiewirtschaft, der Industrie und des Finanzwesens seien Opfer der Angriffe gewesen. Überraschenderweise waren auch etliche Personenschutzfirmen auf der Liste der Hackergruppe. Die meisten Angriffe fanden in Palästina, Ägypten und Israel statt. Jede Gruppe wurde einem eigenen C&C-Server zugeordnet.

Angriffe per Phishing und Facebook

Die Desert Falcons lockten mit Phishingmails, die meist Hinweise auf aktuelle Ereignisse enthielten oder für Medien vermeintlich interessante Informationen. Dabei nutzen sie auch die arabische Schreibweise von rechts nach links, um verdächtige Dateiendungen zu verbergen. Neben Phishing-Angriffen setzen die Angreifer auch auf soziale Medien. Sie erstellten beispielsweise Facebook-Seiten, etwa um dort das Vertrauen von Aktivisten zu erlangen. Diesen schickten sie später Links zu ihrer Malware.

Kaspersky geht davon aus, dass die Wüstenfalken mehr als 3.000 Opfer angegriffen und über 800.000 Dateien erbeutet haben.


eye home zur Startseite
Dumpfbacke 19. Feb 2015

Im Prinzip ist es nichts anderes wie die doppelte Dateiendung, die wir schon lange...



Anzeige

Stellenmarkt
  1. TOMRA SYSTEMS GmbH, Langenfeld
  2. T-Systems International GmbH, Bonn, Berlin
  3. über Hanseatisches Personalkontor München, Großraum München
  4. ADWEKO Consulting GmbH, deutschlandweit


Anzeige
Top-Angebote
  1. 109,00€ (Spiel in den Warenkorb zum Controller legen, siehe unteren Link)
  2. (im Bundle mit Elite Controller für 109,00€)
  3. (nur noch bis 31.01. für 49€ statt 69€)

Folgen Sie uns
       


  1. Instant Tethering

    Googles automatischer WLAN-Hotspot

  2. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  3. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  4. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  5. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  6. Funkchips

    Apple klagt gegen Qualcomm

  7. Die Woche im Video

    B/ow the Wh:st/e!

  8. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  9. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  10. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

  1. Re: Manipulative Bildauswahl

    8Bit4ever | 11:10

  2. Re: Nett, v.a. Gigabit-Ethernet, aber...

    derKlaus | 11:04

  3. Re: und nun?

    demon driver | 11:00

  4. Re: Ist das Hosten von Pornos bei Google verboten?

    narfomat | 10:57

  5. Re: RK3288 boards:neuer video decodierer ffplay...

    nille02 | 10:55


  1. 10:37

  2. 10:04

  3. 16:49

  4. 14:09

  5. 12:44

  6. 11:21

  7. 09:02

  8. 19:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel