卡巴斯基发现首个阿拉伯网络间谍组织

卡巴斯基实验室全球研究和分析团队最近发现了一个以中东国家多家重要机构和个人为目标的网络间谍攻击组织——沙漠猎鹰(Desert Falcons)。卡巴斯基实验室安全专家有多个理由相信，该组织幕后的攻击者来自阿拉伯语地区。截止目前，沙漠猎鹰已针对全球超过50个国家的3000多个受害者展开攻击，并盗取了超过100万个文件。虽然沙漠猎鹰的主要攻击目标似乎位于埃及、巴基斯坦、以色列和约旦这些国家，但是安全专家们在卡塔尔、沙特阿拉伯、阿联酋、阿尔及利亚、黎巴嫩、挪威、土耳其、瑞典、法国、美国、俄罗斯和其他国家同样发现了多个受害者。卡巴斯基实验室安全专家认为这是首个被发现的阿拉伯网络雇佣军组织，该组织能够开发和执行大规模的网络间谍攻击行动。

卡巴斯基实验室的调查显示，沙漠猎鹰攻击行动已持续至少两年时间：它从2011年开始开发和筹划，但攻击和感染始于2013年，并在2015年初达到巅峰。遭遇攻击的受害者包括军事和政府机构，尤其是反洗钱机构、医疗和经济组织的员工、知名媒体、研究和教育机构、能源和公共事业设备提供商、激进主义者和政治领导人、物理安全企业以及其他掌握重要地缘政治信息的机构。沙漠猎鹰行动的幕后攻击者可以利用特有的恶意工具攻击上述机构的Windows计算机和安卓设备。卡巴斯基实验室研究专家估计来自三个团伙的至少30名人员在不同国家操纵着沙漠猎鹰攻击行动。

据了解，沙漠猎鹰攻击组织主要通过电子邮件、社交网络内容或聊天信息进行钓鱼式攻击，以此传播恶意代码。钓鱼信息中所包含的恶意文件(或指向恶意文件的链接)会伪装成合法文档或应用程序。沙漠猎鹰使用多种手段诱使受害者运行恶意文件。其中最常用的是一种被称为文件扩展名从右至左覆盖技巧。

这一手段利用Unicode中的特殊字符，反向显示文件名字符，在文件名中隐藏危险的文件名扩展名，并且将一个看似无害的虚假文件扩展名置于文件名称的末尾。通过使用这一手段，恶意文件(.exe和.scr)看似为无害的文档或PDF文件。甚至具有较高计算机知识的细心用户也可能上当受骗，运行其中的恶意文件。例如，以.fdp、.scr结尾的文件看上去会显示为.rcs和.pdf文件。

成功感染受害者后，沙漠猎鹰会使用两种后门程序中的一种，分别为沙漠猎鹰木马或DHS后门程序。这两种恶意程序均由攻击者自主开发，并且现在还处于不断开发之中。卡巴斯基实验室专家发现该组织在攻击中使用了超过100种恶意软件样本。这些恶意工具具有全面的后门功能，包括截取屏幕、记录键盘击键、上传/下载文件、在受害者磁盘或连接的USB设备上收集所有Word和Excel文件信息、窃取存储在系统注册表(Internet Explorer和live Messenger)中的密码以及录音功能。卡巴斯基实验室专家还在安卓设备上发现了恶意软件的活动痕迹，攻击者使用了具有手机来电和短信日志窃取功能的安卓木马程序。通过使用这些工具，沙漠猎鹰攻击组织发动和实施了至少三次不同的恶意攻击行动，不同国家的大量用户和组织沦为其受害者。

在谈及沙漠猎鹰行动的幕后攻击者时，卡巴斯基实验室全球研究和分析团队安全专家Dmitry Bestuzhev表示：“该组织成员具有良好的技术背景和政治文化眼光，其攻击目标非常坚定，攻击行动也异常活跃。仅使用钓鱼邮件、社交工程技术、自制的工具和后门程序，沙漠猎鹰就成功感染了成百上千个中东地区的重要敏感组织，利用其计算机系统或移动设备窃取敏感数据。如果有足够的经费支持，他们还可能会获得或开发出漏洞利用程序，提升他们的攻击效率。”

目前，卡巴斯基实验室针对家庭和企业用户的安全产品能够成功检测和拦截沙漠猎鹰攻击组织所使用的恶意软件。

http://blog.kaspersky.com.cn/