Halcones del Desierto: el APT de Oriente Próximo

20 Feb 2015

Cancún, México – Investigadores de Kaspersky Lab han descubierto el primer grupo APT  (siglas en inglés de Amenaza Persistente Avanzada) de lengua árabe. Apodados como los Halcones del Desierto, el grupo de unos treinta atacantes –algunos de ellos  se conocen por su nombre – operan más allá de Palestina, Egipto y Turquía, y se dice que han desarrollado e implementado sus productos exclusivamente en Oriente Próximo. Es imposible determinar si los Halcones del Desierto están financiados por el estado.

Su arsenal consiste en herramientas de malware caseras e ingeniería social y otras técnicas diseñadas para ejecutar y ocultar campañas tanto en sistemas operativos tradicionales como móviles. Particularmente, el malware de los Halcones del Desierto está planeado para robar información sensible a sus víctimas, que luego es utilizada para alimentar otras operaciones e incluso para tentativas de extorsión contra objetivos impactados.

Según el equipo GReAT de Kaspersky Lab, las víctimas son seleccionadas por los secretos de sus posesiones o información inteligente relacionada con sus cargos en gobiernos o importantes organizaciones.

Más de 1 millón de archivos fueron robados a las víctimas

“Más de 1 millón de archivos fueron robados a las víctimas”, declaró la compañía anti-malware. “Los archivos robados incluyen comunicaciones diplomáticas de embajadas, planos y documentos militares, documentos financieros, listados de contactos VIP y mediáticos así como archivos”.

Los ataques de los Halcones del Desierto se han cobrado unas 3.000 víctimas en más de 50 países. La mayoría de ellas se encuentran en Palestina, Egipto, Israel y Jordania, pero también se han descubierto casos en Arabia Saudí, Emiratos Árabes Unidos, Estados Unidos, Corea del Sur, Marruecos y Catar, entre otros sitios.

Las víctimas incluyen organizaciones militares y gubernamentales, empleados responsables de organizaciones de salud, organizaciones que luchan en contra del blanqueo de capitales, instituciones económicas y financieras, principales medios de comunicación, instituciones de investigación y educación,  proveedores energéticos y de servicios públicos, activistas y líderes políticos, empresas de seguridad física y otros objetivos que tienen acceso a información geopolítica importante.

Las herramientas utilizadas en el ataque de los Halcones del Desierto incluyen puertas traseras en los ordenadores tradicionales, a través de las que los atacantes instalan malware capaz de registrar los golpes del teclado al registrarse, tomando capturas de pantalla e incluso grabando de manera remota el audio. También existe un componente móvil para Android con la capacidad de espiar los SMS de texto y los registros de llamadas.

Curiosamente, los investigadores que han presentado los Halcones del Desierto en la Cumbre de Analistas de Seguridad de Kaspersky Lab, dicen que  son los primeros en utilizar el chat de Facebook en ataques selectivos, conectando con las víctimas a través de páginas de Facebook comunes hasta que se ganan su confianza y les envían arhivos troyanos a través del chat ocultos como fotos.

Halcones del Desierto infografía

El grupo empezó a construir sus herramientas a principios de 2011 y consiguió las primeras infecciones en 2013, pero no fue hasta finales de 2014 y principios de 2015 cuando la actividad de los Halcones del Desierto empezó a alcanzar su máximo. Parece que ahora el grupo está más activo que en cualquier momento del pasado.

Kaspersky Lab declara que sus productos detectan y bloquean todas las variantes de malware utilizadas en esta campaña.