SneakyPastes: o operatiune apartinand Gaza Cybergang ataca victime din 39 de tari, care au legatura cu Orientul Mijlociu

SneakyPastes: o operatiune apartinand Gaza Cybergang ataca victime din 39 de tari, care au legatura cu Orientul Mijlociu

In 2018, Gaza Cybergang, despre care se stie acum ca este formata din mai multe grupuri, cu grade diferite de complexitate, a lansat o operatiune de spionaj cibernetic ce vizeaza persoane si organizatii cu un interes politic in Orientul Mijlociu. Campania, numita SneakyPastes, a folosit adrese de e-mail de unica folosinta pentru a raspandi infectia prin phishing, inainte de a descarca malware-ul, in etape, utilizand mai multe site-uri gratuite. Aceasta abordare, cu un cost redus, dar eficienta, a ajutat grupul sa atace in jur de 240 de victime, din 39 de tari din intreaga lume, printre care entitati politice, diplomatice, mass-media si activisti. Cercetarea Kaspersky Lab a fost transmisa organismelor de aplicare a legii si a dus la retragerea unei parti importante din infrastructura de atac.

Gaza Cybergang este un grup vorbitor de limba araba, format din mai multe entitati, cu un interes politic, care vizeaza Orientul Mijlociu si Africa de Nord, cu un accent special pe teritoriile palestiniene. Kaspersky Lab a identificat cel putin trei factiuni din cadrul grupului, cu scopuri si tinte similare – spionaj in legatura cu interese politice din Orientul Mijlociu – dar cu instrumente, tehnici si niveluri de complexitate foarte diferite.

Grupurile includ factiunile mai avansate Operation Parliament si Desert Falcons, despre care se stie din 2018, respectiv 2015, si un grup mai putin complex, cunoscut si sub numele de MoleRats, care a fost activ cel putin din 2012. In primavara anului 2018, acest grup, care foloseste tehnici elementare, a lansat SneakyPastes.

SneakyPastes a inceput cu atacuri de phishing cu tematica politica, raspandite folosind adrese de e-mail si domenii de unica folosinta. Link-urile infectate sau anexele pe care fie s-a facut click, fie au fost descarcate, au declansat infectia pe dispozitivul victima.

Pentru a evita detectia si a ascunde localizarea serverului de comanda si de control, pe dispozitivele victima a fost descarcat un program malware suplimentar, in etape, utilizand mai multe site-uri gratuite, cum ar fi Pastebin si Github. Implanturile au folosit PowerShell, VBS, JS si dotnet pentru a asigura rezistenta si persistenta in sistemele infectate. Etapa finala a intruziunii a fost un troian cu acces de la distanta, care a contactat serverul de comanda si control si apoi a adunat, comprimat, criptat si incarcat o gama larga de documente si foi de calcul. Numele SneakyPastes deriva din utilizarea intensa de catre atacatori a site-urilor de tip „paste”, pentru a strecura treptat troianul in sistemele victimelor.

Cercetatorii Kaspersky Lab au colaborat cu organismele de aplicare a legii pentru a descoperi intregul ciclu de atac si intruziune pentru operatiunea SneakyPaste. Aceste eforturi s-au soldat nu numai cu o intelegere detaliata a instrumentelor, tehnicilor si a obiectivelor, ci si cu retragerea efectiva a unei parti importante a infrastructurii.

Operatiunea SneakyPastes a avut varful de activitate intre aprilie si jumatatea lunii noiembrie 2018, concentrandu-se pe o mica lista de tinte, care includea entitati diplomatice si guvernamentale, ONG-uri si mass-media. Pe baza telemetriei Kaspersky Lab si a altor surse, se pare ca exista aproximativ 240 de victime individuale si companii, in 39 de tari din intreaga lume, majoritatea situandu-se in Teritoriile Palestiniene, Iordania, Israel si Liban. Printre victime se numara ambasade, entitati guvernamentale, mass-media si jurnalisti, activisti, partide politice si persoane fizice, precum si organizatii educationale, bancare sau medicale.

„Descoperirea operatiunii Desert Falcons, in 2015, a marcat un punct de cotitura in domeniul amenintarilor cibernetice, pentru ca a fost primul APT vorbitor integral de limba araba”, spune Amin Hasbini, Head of Middle East Research Center, Global Research and Analysis Team (GReAT) la Kaspersky Lab. „Stim acum ca parintele sau, Gaza Cybergang, a vizat in mod activ interesele din Orientul Mijlociu incepand cu 2012, bazandu-se initial pe activitatile unei echipe destul de putin complexe, dar neobosite – echipa care in 2018 a lansat operatiunea SneakyPaste. SneakyPastes arata ca lipsa infrastructurii si a instrumentelor avansate nu reprezinta un impediment in calea succesului. Ne asteptam ca daunele provocate de toate cele trei grupuri din Gaza Cybergang sa se intensifice, iar atacurile sa se extinda si in alte regiuni care au legatura cu problemele palestiniene.”

Toate produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

Pentru a evita sa cadeti victima unui atac directionat al unui grup cunoscut sau necunoscut de atacatori, cercetatorii Kaspersky Lab recomanda implementarea urmatoarelor masuri:

• Utilizati instrumente de securitate complexe si asigurati-va ca echipa de securitate are acces la cele mai recente informatii despre amenintarile cibernetice.
• Asigurati-va ca actualizati periodic tot software-ul utilizat in organizatie, in special atunci cand este lansat un nou patch de securitate. Produsele de securitate cu functii de evaluare a vulnerabilitatilor si de gestionare a patch-urilor pot ajuta la automatizarea acestor procese.
• Alegeti o solutie de securitate cu eficienta dovedita, cum este Kaspersky Endpoint Security for Business, dotata cu functii de detectie bazate pe comportament, pentru o protectie eficienta impotriva amenintarilor cunoscute si necunoscute, inclusiv a exploit-urilor.
• Asigurati-va ca angajatii inteleg masurile elementare de securitate cibernetica, deoarece multe atacuri directionate incep cu phishing sau cu alte tehnici de inginerie sociala.

Pe Securelist este disponibil raportul despre operatiunea SneakyPastes, al Gaza Cybergang.

Despre Kaspersky Lab

Kaspersky Lab este o companie globala din domeniul securitatii cibernetice, prezenta pe piata de peste 21 de ani. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii de ultima generatie pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.