Arabskojęzyczne ugrupowanie koncentruje się na podmiotach rządowych (zwłaszcza ambasadach) i uderza głównie w personel IT oraz zespoły odpowiedzialne za reagowanie na incydenty.
Cybergang Gaza działa w regionie Bliskiego Wschodu i Afryki Północnej, głównie w Egipcie, Zjednoczonych Emiratach Arabskich oraz Jemenie. Swoją działalność rozpoczął w 2012 r., wykazując szczególnie dużą aktywność w drugim i trzecim kwartale 2015 r.
Cyberprzestępcy aktywnie wysyłają pliki szkodliwego oprogramowania do swoich ofiar. Personel IT posiada większy dostęp i więcej zezwoleń wewnątrz organizacji niż inni pracownicy, głównie dlatego, że musi zarządzać i obsługiwać infrastrukturę. Z tego powodu uzyskanie dostępu do urządzeń takich pracowników ma znacznie większą wartość dla cyberprzestępców niż dostęp do urządzeń zwykłych użytkowników w sieci korporacyjnej. Osoby zajmujące się reagowaniem na incydenty posiadają dostęp do poufnych danych związanych z prowadzonymi dochodzeniami cybernetycznymi w swoich organizacjach, jak również specjalny dostęp i zezwolenia, które umożliwiają im identyfikować szkodliwe lub podejrzane działania w sieci.
Atakując podmioty wysokiego szczebla, takie jak organy rządowe, ugrupowanie Gaza wykorzystuje znane narzędzia zdalnej administracji (ang. RAT) - XtremeRAT i PoisonIvy – rozprzestrzeniając infekcje za pośrednictwem oszustw phishingowych. Przy użyciu prostych narzędzi atakujący skutecznie uderzają w swoje cele, stosując sztuczki socjotechniczne – specjalne nazwy plików (np. sfałszowane pakiety instalacyjne programów antywirusowych), treści wiadomości i nazwy domen (np. gov.uae.k*m). Poniżej znajdują się przykłady nazw plików, które posłużyły do dostarczenia szkodliwych programów do komputerów ofiar:
- Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami - powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Eksperci zalecają następujące działania mogące pomóc użytkownikom w zmniejszeniu ryzyka infekcji przy użyciu omawianego cyberataku i podobnych szkodliwych operacji:
Szczegóły techniczne dotyczące cyberataków prowadzonych przez cybergang Gaza są dostępne w serwisie SecureList prowadzonym przez Kaspersky Lab.
Czytaj także: Ile wiesz o cyberzagrożeniach? Rozwiąż quiz i sprawdź
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*