Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Cybergang Gaza podbija Bliski Wschód i Afrykę Północną

Piotr Kupczyk 30-09-2015, 15:59

Arabskojęzyczne ugrupowanie koncentruje się na podmiotach rządowych (zwłaszcza ambasadach) i uderza głównie w personel IT oraz zespoły odpowiedzialne za reagowanie na incydenty.

Cybergang Gaza działa w regionie Bliskiego Wschodu i Afryki Północnej, głównie w Egipcie, Zjednoczonych Emiratach Arabskich oraz Jemenie. Swoją działalność rozpoczął w 2012 r., wykazując szczególnie dużą aktywność w drugim i trzecim kwartale 2015 r.

Cyberprzestępcy aktywnie wysyłają pliki szkodliwego oprogramowania do swoich ofiar. Personel IT posiada większy dostęp i więcej zezwoleń wewnątrz organizacji niż inni pracownicy, głównie dlatego, że musi zarządzać i obsługiwać infrastrukturę. Z tego powodu uzyskanie dostępu do urządzeń takich pracowników ma znacznie większą wartość dla cyberprzestępców niż dostęp do urządzeń zwykłych użytkowników w sieci korporacyjnej. Osoby zajmujące się reagowaniem na incydenty posiadają dostęp do poufnych danych związanych z prowadzonymi dochodzeniami cybernetycznymi w swoich organizacjach, jak również specjalny dostęp i zezwolenia, które umożliwiają im identyfikować szkodliwe lub podejrzane działania w sieci.

Atakując podmioty wysokiego szczebla, takie jak organy rządowe, ugrupowanie Gaza wykorzystuje znane narzędzia zdalnej administracji (ang. RAT) - XtremeRAT i PoisonIvy – rozprzestrzeniając infekcje za pośrednictwem oszustw phishingowych. Przy użyciu prostych narzędzi atakujący skutecznie uderzają w swoje cele, stosując sztuczki socjotechniczne – specjalne nazwy plików (np. sfałszowane pakiety instalacyjne programów antywirusowych), treści wiadomości i nazwy domen (np. gov.uae.k*m). Poniżej znajdują się przykłady nazw plików, które posłużyły do dostarczenia szkodliwych programów do komputerów ofiar:

  • Indications of disagreement between Saudi Arabia and UAE.exe,
  • Wikileaks documents on Sheikh.exe,
  • Scandalous pictures of Egyptian militants, judges and consultants,
  • President Mahmoud Abbas cursing Majed Faraj.exe,
  • Leaked conversation with the Egyptian leader of military forces Sodqi Sobhi.exe,
  • Secret_Report.exe,
  • Military Police less military sexual offenses, drug offenses more.exe.

Przykłady zainfekowanych plików

- Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami - powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Eksperci zalecają następujące działania mogące pomóc użytkownikom w zmniejszeniu ryzyka infekcji przy użyciu omawianego cyberataku i podobnych szkodliwych operacji:

  • Uważaj na wiadomości z załącznikami.
  • Uaktualniaj oprogramowanie, zwłaszcza takie, które jest popularne i często wykorzystywane przez cyberprzestępców.
  • Unikaj korzystania z oprogramowania na Twoim urządzeniu, jeśli wiesz, że zawiera luki w zabezpieczeniach, dla których nie istnieją jeszcze łaty.
  • Korzystaj ze sprawdzonego rozwiązania antywirusowego.

Szczegóły techniczne dotyczące cyberataków prowadzonych przez cybergang Gaza są dostępne w serwisie SecureList prowadzonym przez Kaspersky Lab.

Czytaj także: Ile wiesz o cyberzagrożeniach? Rozwiąż quiz i sprawdź


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *