Cybergang Gaza działa w regionie Bliskiego Wschodu i Afryki Północnej, głównie w Egipcie, Zjednoczonych Emiratach Arabskich oraz Jemenie. Swoją działalność rozpoczął w 2012 r., wykazując szczególnie dużą aktywność w drugim i trzecim kwartale 2015 r.

Cyberprzestępcy aktywnie wysyłają pliki szkodliwego oprogramowania do swoich ofiar. Personel IT posiada większy dostęp i więcej zezwoleń wewnątrz organizacji niż inni pracownicy, głównie dlatego, że musi zarządzać i obsługiwać infrastrukturę. Z tego powodu uzyskanie dostępu do urządzeń takich pracowników ma znacznie większą wartość dla cyberprzestępców niż dostęp do urządzeń zwykłych użytkowników w sieci korporacyjnej. Osoby zajmujące się reagowaniem na incydenty posiadają dostęp do poufnych danych związanych z prowadzonymi dochodzeniami cybernetycznymi w swoich organizacjach, jak również specjalny dostęp i zezwolenia, które umożliwiają im identyfikować szkodliwe lub podejrzane działania w sieci.

Atakując podmioty wysokiego szczebla, takie jak organy rządowe, ugrupowanie Gaza wykorzystuje znane narzędzia zdalnej administracji (ang. RAT) - XtremeRAT i PoisonIvy – rozprzestrzeniając infekcje za pośrednictwem oszustw phishingowych. Przy użyciu prostych narzędzi atakujący skutecznie uderzają w swoje cele, stosując sztuczki socjotechniczne – specjalne nazwy plików (np. sfałszowane pakiety instalacyjne programów antywirusowych), treści wiadomości i nazwy domen (np. gov.uae.k*m). Poniżej znajdują się przykłady nazw plików, które posłużyły do dostarczenia szkodliwych programów do komputerów ofiar:

• Indications of disagreement between Saudi Arabia and UAE.exe,
• Wikileaks documents on Sheikh.exe,
• Scandalous pictures of Egyptian militants, judges and consultants,
• President Mahmoud Abbas cursing Majed Faraj.exe,
• Leaked conversation with the Egyptian leader of military forces Sodqi Sobhi.exe,
• Secret_Report.exe,
• Military Police less military sexual offenses, drug offenses more.exe.

- Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami - powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Eksperci zalecają następujące działania mogące pomóc użytkownikom w zmniejszeniu ryzyka infekcji przy użyciu omawianego cyberataku i podobnych szkodliwych operacji:

• Uważaj na wiadomości z załącznikami.
• Uaktualniaj oprogramowanie, zwłaszcza takie, które jest popularne i często wykorzystywane przez cyberprzestępców.
• Unikaj korzystania z oprogramowania na Twoim urządzeniu, jeśli wiesz, że zawiera luki w zabezpieczeniach, dla których nie istnieją jeszcze łaty.
• Korzystaj ze sprawdzonego rozwiązania antywirusowego.

Szczegóły techniczne dotyczące cyberataków prowadzonych przez cybergang Gaza są dostępne w serwisie SecureList prowadzonym przez Kaspersky Lab.

Czytaj także: Ile wiesz o cyberzagrożeniach? Rozwiąż quiz i sprawdź