Cyberszpiedzy z ugrupowania Gaza uderzyli w cele zlokalizowane w kilkudziesięciu krajach

11-04-2019, 18:56

Cybergang Gaza, składający się z kilku mniejszych grup, przeprowadził operację cyberszpiegostwa, której cel stanowiły osoby oraz organizacje związane z kwestią polityczną regionu Bliskiego Wschodu. W kampanii określanej jako SneakyPastes w celu rozprzestrzeniania infekcji wykorzystano jednorazowe adresy e-mail. Cel? Instalacji szkodliwego oprogramowania z wykorzystaniem różnych darmowych stron.

Cybergang Gaza to arabskojęzyczne, motywowane względami politycznymi ugrupowanie złożone z powiązanych ze sobą organizacji przestępczych, aktywnie atakujących cele na Bliskim Wschodzie oraz w Afryce Północnej, w szczególności na Terytoriach Palestyńskich. W ramach tego gangu Kaspersky Lab zidentyfikował co najmniej trzy grupy o podobnych intencjach i celach ataków (cyberszpiegostwo związane z interesami politycznymi na Bliskim Wschodzie), ale odmiennych narzędziach, technikach oraz poziomach zaawansowania. W pewnym stopniu operacje poszczególnych grup nakładają się na siebie.  

Operation Parliament oraz Desert Falcons stanowią bardziej zaawansowane grupy, znane odpowiednio od 2018 i 2015 r. Natomiast o działaniu mniej złożonej grupy, MoleRats, wiadomo było już od co najmniej 2012 r. Wiosną 2018 roku grupa ta rozpoczęła operację SneakyPastes.  

Kampania SneakyPastes rozpoczęła się od ataków phishingowych związanych tematycznie z polityką, w których wiadomości były rozprzestrzeniane przy użyciu adresów e-mail i domen jednorazowego użytku. W wyniku kliknięcia szkodliwego odsyłacza lub pobrania załącznika na urządzeniu ofiary instalowało się szkodliwe oprogramowanie.    

W celu uniknięcia wykrycia oraz ukrycia lokalizacji serwera kontroli na urządzenia ofiar pobierane było dodatkowe szkodliwe oprogramowanie z wykorzystaniem licznych darmowych stron, w tym Pastebin oraz Github. Różne szkodliwe implanty wykorzystywały szereg mechanizmów w celu zapewniania odporności i długotrwałej obecności szkodnika w zainfekowanych systemach. Ostatni etap ataku stanowił trojan umożliwiający zdalny dostęp, który kontaktował się z serwerem kontroli, a następnie gromadził, kompresował, szyfrował oraz wysyłał do przestępców różnego rodzaju skradzione dokumenty oraz arkusze.

Badacze współpracowali z organami ścigania w celu wykrycia pełnego cyklu ataku oraz włamania dotyczącego operacji SneakyPastes. Wysiłki te zaowocowały nie tylko dogłębnym poznaniem stosowanych narzędzi, technik oraz celów ataków, ale również zlikwidowaniem znacznej części infrastruktury ugrupowania.

Operacja SneakyPastes była prowadzona najintensywniej w okresie od kwietnia do połowy listopada 2018 r., koncentrując się na niewielkiej liczbie celów, które stanowiły placówki dyplomatyczne oraz rządowe, organizacje pozarządowe oraz związane z branżą mediów. Przy użyciu telemetrii oraz innych źródeł ustalono, że istnieje około 240 ofiar, — obejmujących zarówno znane osoby, jak i organizacje z 39 krajów na całym świecie — zlokalizowanych głównie na Terytoriach Palestyńskich, w Jordanii, Izraelu oraz w Libanie.  Wśród ofiar znalazły się ambasady, podmioty rządowe, organizacje z branży mediów oraz dziennikarze, aktywiści, partie polityczne oraz osoby fizyczne, jak również organizacje edukacyjne, bankowe czy związane z opieką zdrowotną.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031