Stealth Falcon on ohtlik grupp, mis on aktiivselt tegutsenud alates aastast 2012. Oma tegevuse on nad suunanud Lähis-Idas tegutsevate poliitaktivistide ja ajakirjanike vastu. Mõningad analüütikud seostavad gruppi Project Raveniga, mis väidetavalt on oma palgale võtnud endiseid NSA töötajaid. Rohkem andmeid on võimalik nende kohta leida siin.
Piiratud tehniline teave, mis on Stealth Falconi kohta olemas, on juba avalikuks tehtud. Sealhulgas on avaldatud pahavara võtmekomponendi – pahavaralises e-kirjas leiduva relvastatud dokumendiga levitatava PowerShell-põhise tagaukse, kohta ka analüüs.
ESETi uurijad on aga lisaks avastanud varasemalt tundmatu programmi, mille on nimetanud Win32/StealthFalcon’iks. Araabia Ühendemiraatides, Saudi Araabias, Tais ja Hollandis on tuvastatud väike arv rünnakuid, kus just seda pahavara kasutatud on. Hollandis toimepandud rünnaku korral oli seejuures sihtmärgiks ühe Lähis-Ida riigi diplomaatiline esindus.
ESETi uurimistöö käigus on tuvastatud sarnasusi äsja avastatud tagauksena kasutatava programmi ja varasemalt Stealth Falcon grupile omistatud PowerShelli tagaukse omadustega skripti vahel. ESETi uurijad peavad tuvastatud sarnasusi tugevaks tõendiks selle kohta, et mõlemad tagauksed on loodud sama grupi poolt.
Win32/StealthFalcon kasutab üsna ebaharilikku tehnikat selleks, et suhelda C&C-serveriga – selleks kasutatakse standardset Windowsi komponenti Background Intelligent Transfer Service (BITS).
Võrreldes tavapärase API-funktsioonidega suhtlemiseks kasutatava suhtluslahendusega rakendab BITS-mehhanism kasutades COM-liidest ja seepärast on seda oluliselt keerulisem tuvastada. Veel enam väärib tähelepanu see, et kasutatav lahendus on töökindel ja varjatud, mis võimaldab palju tõenäolisemalt pääseda läbi tulemüüridest.
Lisaks ebaharilikule C&C-suhtlusele kasutab Win32/StealthFalcon mitmeid keerukaid tehnikaid selleks, et vältida tuvastust/analüüsi, tagada oma püsivus ja muuta teostatav analüüs oluliselt keerulisemaks.
Rohkema teabe saamiseks selle pahavara kohta tutvuge meie blogipostitusega „ESETi uurijad on avastanud huvitavate omadustega tagaukse, mida seostatakse kurikuulsa Stealth Falcon grupi poolt kasutatud pahavaraga“ veebilehel WeLiveSecurity.com. Veenduge, et jälgite ESETit Twitteris, nii saate püsida kursis ESETi uusimate leidudega.
Allikas: Welivesecurity
