Abo
  • Services:
Anzeige
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Wüstenfalken: Hackergruppe spioniert im Nahen Osten

Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt.
Eine vermeintlich palästinensische Hackergruppe wurde nach dem Wüstenfalken benannt. (Bild: Peter Wächtershäuser, CC BY-SA 3.0)

Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.

Anzeige

Es geht auch ohne Zero-Days: Die Wüstenfalken verbreiten ihre Malware im Nahen Osten ausschließlich per Social Engineering. Ausgespäht werden ausgewählte Opfer in Ägypten, Israel, Palästina oder Jordanien. Die Cyber-Diebe sind meist hinter wichtigen Informationen her, mit denen sie offenbar handeln. Denn erpresst werden nur wenige. Die vermutlich seit 2013 aktive Gruppe entwickelt ihre Spionagesoftware selbst. Ein Konfigurationsfehler in einem Command-and-Control-Server (C&C-Server) führte die Experten beim IT-Sicherheitsunternehmen Kaspersky auf ihre Spur.

Einer der C&C-Server war kurzzeitig mit öffentlichen Zugriffsrechten versehen. Dort fanden die Experten bei Kaspersky direkte Hinweise auf ihre Identitäten, darunter arabische Namen einiger Administratoren. Auch in den Registrierungsinformationen der Domänen wurden Namen entdeckt. Eines der Verwaltungswerkzeuge war in arabischer Sprache verfasst. Auch die versendeten Phishingmails deuten darauf hin, dass sie von einem Muttersprachler verfasst wurden. Kaspersky geht davon aus, dass die Gruppe mindestens 30 Personen umfasst. Die Experten haben inzwischen Facebook-Profile und Twitter-Konten entdeckt, die von den mutmaßlichen Mitgliedern betrieben werden. Einer davon hatte ein Foto der Konfigurationsoberfläche für die verwendete Malware stolz auf Twitter gepostet.

Die Opfer waren Aktivisten und Personenschützer

Auf eine eindeutig nationale Zuordnung verzichtet Kaspersky in seiner Veröffentlichung. Allerdings gibt es hartkodierte URLs in der Malware, die auf die die Herkunft der Urheber hinweisen: Es handelt sich um Login-Fenster des E-Mail-Servers des palästinensischen Ministeriums für Telekommunikation und Informationsdienste, der islamischen Universität in Gaza und des palästinensischen Mobilfunkproviders Jawwal.

Die Opfer seien hochrangige Persönlichkeiten in der gesamten arabischen Welt, schreibt Kaspersky. Betroffen seien Mitglieder von Medienorganisationen, Universitäten oder Aktivisten. Auch Regierungsmitglieder, Militärangehörige, Personen aus der Energiewirtschaft, der Industrie und des Finanzwesens seien Opfer der Angriffe gewesen. Überraschenderweise waren auch etliche Personenschutzfirmen auf der Liste der Hackergruppe. Die meisten Angriffe fanden in Palästina, Ägypten und Israel statt. Jede Gruppe wurde einem eigenen C&C-Server zugeordnet.

Angriffe per Phishing und Facebook

Die Desert Falcons lockten mit Phishingmails, die meist Hinweise auf aktuelle Ereignisse enthielten oder für Medien vermeintlich interessante Informationen. Dabei nutzen sie auch die arabische Schreibweise von rechts nach links, um verdächtige Dateiendungen zu verbergen. Neben Phishing-Angriffen setzen die Angreifer auch auf soziale Medien. Sie erstellten beispielsweise Facebook-Seiten, etwa um dort das Vertrauen von Aktivisten zu erlangen. Diesen schickten sie später Links zu ihrer Malware.

Kaspersky geht davon aus, dass die Wüstenfalken mehr als 3.000 Opfer angegriffen und über 800.000 Dateien erbeutet haben.


eye home zur Startseite
Dumpfbacke 19. Feb 2015

Im Prinzip ist es nichts anderes wie die doppelte Dateiendung, die wir schon lange...



Anzeige

Stellenmarkt
  1. telekom, Ulm, Gaimersheim, München, Dresden
  2. Lean42 GmbH, München, Frankfurt am Main
  3. Lampe & Schwartze, Bremen
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: Wieso könnten Händler-Shops überhaupt...

    cat24max1 | 02:06

  2. Re: "falsche" Gegend, "falsche" Adresse

    plutoniumsulfat | 02:01

  3. Re: LTE nachrüsten

    southy | 01:39

  4. Re: Geisteswissenschaften vs. Realität/Intelligenz

    Biteemee | 01:26

  5. Re: Zu kleine SSD

    FrankM | 01:25


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel