SneakyPastes: o operațiune aparținând Gaza Cybergang atacă victime din 39 de țări, care au legătură cu Orientul Mijlociu

12 aprilie 2019

În 2018, Gaza Cybergang, despre care se știe acum că este formată din mai multe grupuri, cu grade diferite de complexitate, a lansat o operațiune de spionaj cibernetic ce vizează persoane și organizații cu un interes politic în Orientul Mijlociu.

SneakyPastes: o operațiune aparținând Gaza Cybergang atacă victime din 39 de țări, care au legătură cu Orientul Mijlociu

Campania, numită SneakyPastes, a folosit adrese de e-mail de unică folosință pentru a răspândi infecția prin phishing, înainte de a descărca malware-ul, în etape, utilizând mai multe site-uri gratuite. Această abordare, cu un cost redus, dar eficientă, a ajutat grupul să atace în jur de 240 de victime, din 39 de țări din întreaga lume, printre care entități politice, diplomatice, mass-media și activiști. Cercetarea Kaspersky Lab a fost transmisă organismelor de aplicare a legii și a dus la retragerea unei părți importante din infrastructura de atac.

Gaza Cybergang este un grup vorbitor de limba arabă, format din mai multe entități, cu un interes politic, care vizează Orientul Mijlociu și Africa de Nord, cu un accent special pe teritoriile palestiniene. Kaspersky Lab a identificat cel puțin trei facțiuni din cadrul grupului, cu scopuri și ținte similare - spionaj în legătură cu interese politice din Orientul Mijlociu - dar cu instrumente, tehnici și niveluri de complexitate foarte diferite.

Grupurile includ facțiunile mai avansate Operation Parliament și Desert Falcons, despre care se știe din 2018, respectiv 2015, și un grup mai puțin complex, cunoscut și sub numele de MoleRats, care a fost activ cel puțin din 2012. În primăvara anului 2018, acest grup, care folosește tehnici elementare, a lansat SneakyPastes.

SneakyPastes a început cu atacuri de phishing cu tematică politică, răspândite folosind adrese de e-mail și domenii de unică folosință. Link-urile infectate sau anexele pe care fie s-a făcut click, fie au fost descărcate, au declanșat infecția pe dispozitivul victimă.

Pentru a evita detecția și a ascunde localizarea serverului de comandă și de control, pe dispozitivele victimă a fost descărcat un program malware suplimentar, în etape, utilizând mai multe site-uri gratuite, cum ar fi Pastebin și Github. Implanturile au folosit PowerShell, VBS, JS și dotnet pentru a asigura rezistența și persistența în sistemele infectate. Etapa finală a intruziunii a fost un troian cu acces de la distanță, care a contactat serverul de comandă și control și apoi a adunat, comprimat, criptat și încărcat o gamă largă de documente și foi de calcul. Numele SneakyPastes derivă din utilizarea intensă de către atacatori a site-urilor de tip „paste”, pentru a strecura treptat troianul în sistemele victimelor.

Cercetătorii Kaspersky Lab au colaborat cu organismele de aplicare a legii pentru a descoperi întregul ciclu de atac și intruziune pentru operațiunea SneakyPaste. Aceste eforturi s-au soldat nu numai cu o înțelegere detaliată a instrumentelor, tehnicilor și a obiectivelor, ci și cu retragerea efectivă a unei părți importante a infrastructurii.

Operațiunea SneakyPastes a avut vârful de activitate între aprilie și jumătatea lunii noiembrie 2018, concentrându-se pe o mică listă de ținte, care includea entități diplomatice și guvernamentale, ONG-uri și mass-media. Pe baza telemetriei Kaspersky Lab și a altor surse, se pare că există aproximativ 240 de victime individuale și companii, în 39 de țări din întreaga lume, majoritatea situându-se în Teritoriile Palestiniene, Iordania, Israel și Liban. Printre victime se numără ambasade, entități guvernamentale, mass-media și jurnaliști, activiști, partide politice și persoane fizice, precum și organizații educaționale, bancare sau medicale.

„Descoperirea operațiunii Desert Falcons, în 2015, a marcat un punct de cotitură în domeniul amenințărilor cibernetice, pentru că a fost primul APT vorbitor integral de limba arabă”, spune Amin Hasbini, Head of Middle East Research Center, Global Research and Analysis Team (GReAT) la Kaspersky Lab. „Știm acum că părintele său, Gaza Cybergang, a vizat în mod activ interesele din Orientul Mijlociu începând cu 2012, bazându-se inițial pe activitățile unei echipe destul de puțin complexe, dar neobosite - echipa care în 2018 a lansat operațiunea SneakyPaste. SneakyPastes arată că lipsa infrastructurii și a instrumentelor avansate nu reprezintă un impediment în calea succesului. Ne așteptăm ca daunele provocate de toate cele trei grupuri din Gaza Cybergang să se intensifice, iar atacurile să se extindă și în alte regiuni care au legătură cu problemele palestiniene.”

Toate produsele Kaspersky Lab detectează și blochează această amenințare.

Pentru a evita să cădeți victima unui atac direcționat al unui grup cunoscut sau necunoscut de atacatori, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:

  • Utilizați instrumente de securitate complexe și asigurați-vă că echipa de securitate are acces la cele mai recente informații despre amenințările cibernetice.
  • Asigurați-vă că actualizați periodic tot software-ul utilizat în organizație, în special atunci când este lansat un nou patch de securitate. Produsele de securitate cu funcții de evaluare a vulnerabilităților și de gestionare a patch-urilor pot ajuta la automatizarea acestor procese.
  • Alegeți o soluție de securitate cu eficiență dovedită, cum este Kaspersky Endpoint Security for Business, dotată cu funcții de detecție bazate pe comportament, pentru o protecție eficientă împotriva amenințărilor cunoscute și necunoscute, inclusiv a exploit-urilor.
  • Asigurați-vă că angajații înțeleg măsurile elementare de securitate cibernetică, deoarece multe atacuri direcționate încep cu phishing sau cu alte tehnici de inginerie socială.

 

 

 

 

Pe Securelist este disponibil raportul despre operațiunea SneakyPastes, al Gaza Cybergang.

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate
Kaspersky Anti-Virus 2015

Kaspersky Anti-Virus 2015 vă oferă tehnologii antivirus esențiale pentru PC-ul dumneavoastră cu o protecție in timp real bazată pe cloud - pentru cele mai noi amenințări de tip malware. Lucrând in fundal - cu un scan inteligent si update-uri mici si frecvente - tehnologia proactivă vă protejează PC-ul atât de amenințările cunoscute,cat si de cele mai noi amenințări, fără să...

Citește tot arrow_forward
Kaspersky-Internet Security 2015

Kaspersky Internet Security 2015 combină o arie vastă de tehnologii ușor de folosit și riguroase pentru a vă proteja de orice tip de malware, dar si de amenințările existente pe Internet - inclusiv cybercriminalii care încearcă să vă fure banii sau identitatea. Kaspersky Lab vă oferă o soluție de securitate cu un impact minim asupra performanței PC-ului. Construit după tehn...

Citește tot arrow_forward
KasperskySmall Office Security 3

Kaspersky Small Office Security este o soluție special creată pentru microintreprinderi. Oferă o protecție de nivel înalt pentru PC si server, fiind ușor si rapid de instalat, configurat si utilizat. De asemenea, puteți administra securitatea întregii rețele de la un singur PC. Cu ajutorul bazei de date de semnături Kaspersky Lab, actualizărilor frecvente si al protecției ...

Citește tot arrow_forward
Articole IT&C similare

MindChain - When BlockChain meets AI

Unul dintre evenimentele de referinta Business Review in 2019, MindChain – When Blockchain Meets AI  este cel mai mare eveniment dedicat technologiei Blockchain organizat pana in prezent in Romania.

Citește tot arrow_forward

Apetitul pentru tranzacții al executivilor din tehnologie, mass media și divertisment și telecomunicații în scădere pe termen scurt

După o activitate intensă consemnată în 2018, doar 42% dintre companiile din tehnologie, mass media și divertisment și telecomunicații (TMT) intenționează să programeze fuziuni și achiziții (M&A) pentru următoarele 12 luni, conform studiului EY Global Capital Confidence Barometer (CCB), un raport bianual care implică peste 2.600 de executivi din sectoarele mențion...

Citește tot arrow_forward

Ultimul raport Oracle& KPMG: Mediul de afaceri este mai receptiv la tranziția proceselor spre cloud, însă lacunele în materie de securitate persistă

Rezultatele studiului Oracle și KPMG arată că neclaritatea în ceea ce privește responsabilitățile legate de securitatea cloud, lipsa de vizibilitate și activitatea de shadow IT complică sistemul de securitate.

Citește tot arrow_forward