Wüstenfalken: Hackergruppe spioniert im Nahen Osten

Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.

Artikel veröffentlicht am ,
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Es geht auch ohne Zero-Days: Die Wüstenfalken verbreiten ihre Malware im Nahen Osten ausschließlich per Social Engineering. Ausgespäht werden ausgewählte Opfer in Ägypten, Israel, Palästina oder Jordanien. Die Cyber-Diebe sind meist hinter wichtigen Informationen her, mit denen sie offenbar handeln. Denn erpresst werden nur wenige. Die vermutlich seit 2013 aktive Gruppe entwickelt ihre Spionagesoftware selbst. Ein Konfigurationsfehler in einem Command-and-Control-Server (C&C-Server) führte die Experten beim IT-Sicherheitsunternehmen Kaspersky auf ihre Spur.

Stellenmarkt
  1. IT Support/1st Line Support (m/w/d)
    Olenex Edible Oils GmbH, Brake, Hamburg
  2. Assistenz IT/IT-Kaufmann (m/w/d)
    Partnerverbund Pyramide GmbH, Karlsruhe-Grötzingen
Detailsuche

Einer der C&C-Server war kurzzeitig mit öffentlichen Zugriffsrechten versehen. Dort fanden die Experten bei Kaspersky direkte Hinweise auf ihre Identitäten, darunter arabische Namen einiger Administratoren. Auch in den Registrierungsinformationen der Domänen wurden Namen entdeckt. Eines der Verwaltungswerkzeuge war in arabischer Sprache verfasst. Auch die versendeten Phishingmails deuten darauf hin, dass sie von einem Muttersprachler verfasst wurden. Kaspersky geht davon aus, dass die Gruppe mindestens 30 Personen umfasst. Die Experten haben inzwischen Facebook-Profile und Twitter-Konten entdeckt, die von den mutmaßlichen Mitgliedern betrieben werden. Einer davon hatte ein Foto der Konfigurationsoberfläche für die verwendete Malware stolz auf Twitter gepostet.

Die Opfer waren Aktivisten und Personenschützer

Auf eine eindeutig nationale Zuordnung verzichtet Kaspersky in seiner Veröffentlichung. Allerdings gibt es hartkodierte URLs in der Malware, die auf die die Herkunft der Urheber hinweisen: Es handelt sich um Login-Fenster des E-Mail-Servers des palästinensischen Ministeriums für Telekommunikation und Informationsdienste, der islamischen Universität in Gaza und des palästinensischen Mobilfunkproviders Jawwal.

Die Opfer seien hochrangige Persönlichkeiten in der gesamten arabischen Welt, schreibt Kaspersky. Betroffen seien Mitglieder von Medienorganisationen, Universitäten oder Aktivisten. Auch Regierungsmitglieder, Militärangehörige, Personen aus der Energiewirtschaft, der Industrie und des Finanzwesens seien Opfer der Angriffe gewesen. Überraschenderweise waren auch etliche Personenschutzfirmen auf der Liste der Hackergruppe. Die meisten Angriffe fanden in Palästina, Ägypten und Israel statt. Jede Gruppe wurde einem eigenen C&C-Server zugeordnet.

Angriffe per Phishing und Facebook

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Die Desert Falcons lockten mit Phishingmails, die meist Hinweise auf aktuelle Ereignisse enthielten oder für Medien vermeintlich interessante Informationen. Dabei nutzen sie auch die arabische Schreibweise von rechts nach links, um verdächtige Dateiendungen zu verbergen. Neben Phishing-Angriffen setzen die Angreifer auch auf soziale Medien. Sie erstellten beispielsweise Facebook-Seiten, etwa um dort das Vertrauen von Aktivisten zu erlangen. Diesen schickten sie später Links zu ihrer Malware.

Kaspersky geht davon aus, dass die Wüstenfalken mehr als 3.000 Opfer angegriffen und über 800.000 Dateien erbeutet haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /