O nome segue os padrões dos filmes de espionagem: Falcões do Deserto. Falcões porque espiam; do Deserto porque operam no Médio Oriente. Hoje, o grupo ciberespião, que operava preferencialmente no Egito, Palestina, Israel e Jordânia, e terá desviado mais de um milhão de ficheiros de 3000 vítimas de 50 países, sofreu um rude golpe: a Kaspersky, empresa de segurança eletrónica, acaba de divulgar à escala mundial vários pormenores relacionados com a atividade deste grupo de cibermercenários.
A Kaspersky acredita que o grupo, criado há quatro anos, seria constituído por árabes. A principal campanha de intrusão e desvio de informação terá arrancado em 2013. Em 2015, o pico de ataques terá sido alcançado.
O cenário descrito pela marca de segurança eletrónica revela grande diversidade no que toca aos alvos alcançados: «A lista de vítimas concretas inclui organizações militares e governamentais – especialmente organismos responsáveis pela luta contra a lavagem de dinheiro, assim como das áreas da saúde e economia; principais meios de comunicação; instituições de investigação e educação; operadores de energia e serviços públicos; ativistas e dirigentes políticos; empresas de segurança física; e outros alvos que detêm informação geopolítica importante», descreve um comunicado da Kaspersky.
Os Falcões do Deserto terão logrado entrar em redes informáticas de entidades de países do Médio Oriente e também da Europa através de uma técnica conhecida como spear phishing, que tinha como destinatários dispositivos que correm sistemas operativos Android e Windows.
Para levarem a cabo as intrusões, os ciberespiões disseminavam e-mails, mensagens de chat e mensagens nas redes sociais que continham links e anexos com links maliciosos. O recurso a links e ficheiros anexos é sobejamente antigo, mas no caso dos Falcões do Deserto tinha como elemento diferenciador a dissimulação das extensões que identificam a tipologia dos ficheiros no meio dos nomes desses mesmos ficheiros.
A infeção dos computadores era apenas o início: os Falcões do Deserto também recorreram a um trojan homónimo e ainda ao DHS Backdoor para para extrair informação de ficheiros, mensagens, e-mails, passwords ou conexões USB das máquinas infetadas.
A Kaspersky estima que os Falcões do Deserto terão lançado três campanhas durante os quatro anos de funcionamento. Nesse período, terão criado 100 exemplares de códigos maliciosos.
Depois de conseguir infectar uma vítima, os Falcões do Deserto utilizavam um de dois backdoors: o principal, o Trojan Falcões do Deserto e o DHS Backdoor. Ambos parecem ter sido desenvolvidos do zero e estão em contínua evolução. Os analistas da Kaspersky Lab identificaram mais de 100 exemplares de malware utilizado pelo grupo nos seus ataques.
