"Chim ưng sa mạc" (Desert Falcons) là nhóm tin tặc "đánh thuê" nguy hiểm với các hoạt động tình báo mạng, khám phá bởi Kaspersky Lab - Ảnh minh họa: iloveqatar

Desert Falcons (Chim ưng sa mạc - tạm dịch) là một nhóm tin tặc "đánh thuê" trong lĩnh vực gián điệp mạng, phát triển và điều hành hoạt động tình báo mạng một cách toàn diện, lần đầu tiên được biết đến. 

Theo khám phá từ Viện Nghiên cứu và phân tích toàn cầu của Kaspersky Lab, Desert Falcons phát triển và xây dựng hoạt động vào năm 2011 và bắt đầu thực hiện chiến dịch lây nhiễm vào năm 2013. Đỉnh điểm của các hoạt động của nhóm đã được ghi lại vào đầu năm 2015.

Mục tiêu chính của Desert Falcons là  Ai Cập, Palestine, Israel và Jordan. Tuy nhiên, ngoài việc tập trung vào mục tiêu ban đầu là các quốc gia ở Trung Đông, Desert Falcons đang mở rộng mục tiêu đến nhiều lãnh thổ Khác như Qatar, KSA, UAE, Algeria, Lebanon, Na Uy, Thổ Nhĩ Kỳ, Thụy Điển, Pháp, Hoa Kỳ, Nga và các nước khác.

Danh sách nạn nhân bao gồm tổ chức quân đội và chính phủ, đặc biệt là các nhân viên chịu trách nhiệm về việc chống rửa tiền, nhân viên về y tế và kinh tế, phương tiện truyền thông đại chúng; tổ chức nghiên cứu giáo dục; nhà cung cấp năng lượng và tiện ích; các nhà hoạt động và các nhà lãnh đạo chính trị; các công ty bảo mật vật lý; và các mục tiêu sở hữu thông tin địa chính trị quan trọng.

Theo Kaspersky, những kẻ tấn công sử dụng các công cụ độc hại và độc quyền cho các cuộc tấn công nhằm vào máy tính Windows và các thiết bị Android.

Cách "Chim ưng" săn mồi

Khám phá của Kaspersky Lab cho thấy phương pháp phát tán tải trọng độc hại được Falcons sử dụng là spear-phishing (lừa đảo nhắm vào mục tiêu xác định thay vì đại trà - phishing) thông qua e-mail, mạng xã hội và qua chat. 

Nội dung lừa đảo có chứa các tập tin độc hại (hoặc một liên kết đến tập tin độc hại) giả mạo thành tài liệu hợp pháp, hoặc các ứng dụng. Desert Falcons sử dụng một số kỹ thuật để lôi kéo nạn nhân click vào chạy các tập tin độc hại. 

Những hình ảnh và nội dung gây sốc, tò mò khiến mục tiêu click vào xem, dẫn đến lây nhiễm mã độc do Desert Falcons phát tán - Ảnh: timesofisrael

Phương pháp này lợi dụng một ký tự đặc biệt trong Unicode để đảo ngược thứ tự các ký tự trong tên tập tin, ẩn phần mở rộng nguy hiểm ở giữa của tên tập tin và đặt một phần mở rộng tập tin giả có vẻ vô hại gần cuối tên tập tin.

Sử dụng kỹ thuật này, các tập tin độc hại (.exe, .scr) sẽ trông giống như một tài liệu vô hại hoặc file pdf; và ngay cả người dùng cẩn thận với kiến thức kỹ thuật tốt có thể bị lừa chạy các file này. 

Sau khi thành công trong việc lây nhiễm nạn nhân, Desert Falcons sẽ sử dụng một trong hai mã độc tạo "cửa sau" (Backdoor) khác nhau: trojan chính của Desert Falcons hoặc Backdoor DHS, cả hai trojan này dường như đang được cải tiến liên tục.

Các công cụ độc hại có đầy đủ chức năng của loại mã độc "backdoor" bao gồm khả năng chụp ảnh màn hình, đăng nhập tổ hợp phím, đăng tải tập tin, thu thập thông tin về tất cả các tập tin Word và Excel trên đĩa cứng của nạn nhân hoặc kết nối thiết bị USB ăn cắp mật khẩu được lưu trữ trong hệ thống đăng ký và tạo các bản ghi âm thanh.

Các chuyên gia Kaspersky Lab cũng tìm thấy dấu vết hoạt động của một phần mềm độc hại backdoor trên nền tảng di động Android, có khả năng ăn cắp thông tin các cuộc điện thoại di động và bản ghi tin nhắn SMS.

Desert Falcons quản lý và sử dụng những công cụ này trong ít nhất nhất ba chiến dịch độc hại nhắm mục tiêu vào nạn nhân ở các nước khác nhau. 

Các quốc gia có nạn nhân bị tấn công bởi mã độc từ Desert Falcons - Ảnh: Kaspersky Lab

* Người dùng được khuyến cáo sử dụng các công cụ anti-virus, kèm "tường lửa" (firewall) để ngăn chặn các loại mã độc phát tán bởi nhóm Desert Falcons.