Наибольшее число жертв операции, получившей название Desert Falcons, зарегистрировано в Египте, Палестине, Израиле и Иордании, однако немало пострадавших есть и в других странах, в том числе в России. В общей сложности арабские кибернаемники атаковали более 3 тыс. пользователей в 50 с лишним странах и украли свыше 1 млн файлов, утверждают в «Лаборатории Касперского». Кибернападениям подверглись правительственные учреждения, а также военные ведомства, ведущие СМИ, исследовательские и образовательные учреждения, энергетические компании и коммунальные предприятия, активисты и политические лидеры, охранные агентства, а также ряд других организаций, владеющих важной геополитической информацией.
Кампания кибершпионажа Desert Falcons находится в активной фазе по меньшей мере два года. Несмотря на то что первые атаки были зафиксированы в 2013 году, к разработке и планированию кибероперации злоумышленники приступили еще в 2011-м. Пик активности Desert Falcons пришелся на начало 2015 года. Эксперты «Лаборатории Касперского» предполагают, что организаторами атак являются хакеры арабского происхождени: группа из приблизительно 30 человек разбита на три команды, которые ведут свою деятельность в разных странах.
Основным способом доставки вирусов на компьютеры пользователей является целевой фишинг. Организаторы Desert Falcons отправляют потенциальным жертвам сообщения с вредоносными вложениями или ссылками по электронной почте, в социальных сетях или чатах. При этом киберпреступники маскируют зловреды под легитимные приложения. Так, они используют специальный прием, позволяющий менять порядок символов в названии файла на обратный, благодаря чему файловое разрешение, очевидно указывающее на вредоносную программу (.exe или .scr), оказывается в середине названия, например, файл, чье название оканчивается на. fdp.scr, после подобной обработки будет выглядеть как .rcs.pdf.
В случае успешного заражения компьютера жертвы атакующие используют либо основной троянец Desert Falcons, либо DHS бэкдор. Оба зловреда созданы киберпреступниками «с нуля» и находятся в процессе постоянной доработки. Эксперты «Лаборатории» выявили более 100 различных образцов вирусов, используемых злоумышленниками в этой операции. С их помощью хакеры делают снимки экранов, перехватывают нажатия клавиш на клавиатуре, загружают и скачивают файлы, собирают информацию обо всех имеющихся на компьютере файлах в форматах Word и Excel, крадут пароли и делают аудиозаписи.
В «Лаборатории Касперского» предполагают, что операция Desert Falcons будет развиваться и дальше, а ее организаторы будут совершенствовать свои методы и инструменты. При достаточной финансовой поддержке они смогут купить или создать эксплойты – и тогда эффективность их атак возрастет.