Wüstenfalken: Hackergruppe spioniert im Nahen Osten

Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.

Artikel veröffentlicht am ,
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Es geht auch ohne Zero-Days: Die Wüstenfalken verbreiten ihre Malware im Nahen Osten ausschließlich per Social Engineering. Ausgespäht werden ausgewählte Opfer in Ägypten, Israel, Palästina oder Jordanien. Die Cyber-Diebe sind meist hinter wichtigen Informationen her, mit denen sie offenbar handeln. Denn erpresst werden nur wenige. Die vermutlich seit 2013 aktive Gruppe entwickelt ihre Spionagesoftware selbst. Ein Konfigurationsfehler in einem Command-and-Control-Server (C&C-Server) führte die Experten beim IT-Sicherheitsunternehmen Kaspersky auf ihre Spur.

Stellenmarkt
  1. Einkäuferin / Einkäufer (w/m/d) für den Bereich Zentrale Beschaffung und IT-Vertragsmanagement
    Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. (Junior) System Engineer (m/w/d) Information Security
    Controlware GmbH, Meerbusch
Detailsuche

Einer der C&C-Server war kurzzeitig mit öffentlichen Zugriffsrechten versehen. Dort fanden die Experten bei Kaspersky direkte Hinweise auf ihre Identitäten, darunter arabische Namen einiger Administratoren. Auch in den Registrierungsinformationen der Domänen wurden Namen entdeckt. Eines der Verwaltungswerkzeuge war in arabischer Sprache verfasst. Auch die versendeten Phishingmails deuten darauf hin, dass sie von einem Muttersprachler verfasst wurden. Kaspersky geht davon aus, dass die Gruppe mindestens 30 Personen umfasst. Die Experten haben inzwischen Facebook-Profile und Twitter-Konten entdeckt, die von den mutmaßlichen Mitgliedern betrieben werden. Einer davon hatte ein Foto der Konfigurationsoberfläche für die verwendete Malware stolz auf Twitter gepostet.

Die Opfer waren Aktivisten und Personenschützer

Auf eine eindeutig nationale Zuordnung verzichtet Kaspersky in seiner Veröffentlichung. Allerdings gibt es hartkodierte URLs in der Malware, die auf die die Herkunft der Urheber hinweisen: Es handelt sich um Login-Fenster des E-Mail-Servers des palästinensischen Ministeriums für Telekommunikation und Informationsdienste, der islamischen Universität in Gaza und des palästinensischen Mobilfunkproviders Jawwal.

Die Opfer seien hochrangige Persönlichkeiten in der gesamten arabischen Welt, schreibt Kaspersky. Betroffen seien Mitglieder von Medienorganisationen, Universitäten oder Aktivisten. Auch Regierungsmitglieder, Militärangehörige, Personen aus der Energiewirtschaft, der Industrie und des Finanzwesens seien Opfer der Angriffe gewesen. Überraschenderweise waren auch etliche Personenschutzfirmen auf der Liste der Hackergruppe. Die meisten Angriffe fanden in Palästina, Ägypten und Israel statt. Jede Gruppe wurde einem eigenen C&C-Server zugeordnet.

Angriffe per Phishing und Facebook

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Desert Falcons lockten mit Phishingmails, die meist Hinweise auf aktuelle Ereignisse enthielten oder für Medien vermeintlich interessante Informationen. Dabei nutzen sie auch die arabische Schreibweise von rechts nach links, um verdächtige Dateiendungen zu verbergen. Neben Phishing-Angriffen setzen die Angreifer auch auf soziale Medien. Sie erstellten beispielsweise Facebook-Seiten, etwa um dort das Vertrauen von Aktivisten zu erlangen. Diesen schickten sie später Links zu ihrer Malware.

Kaspersky geht davon aus, dass die Wüstenfalken mehr als 3.000 Opfer angegriffen und über 800.000 Dateien erbeutet haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  2. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

Dumpfbacke 19. Feb 2015

Im Prinzip ist es nichts anderes wie die doppelte Dateiendung, die wir schon lange...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /