Tokom 2018. godine, grupa Gaza Cybergang, koju, kao što je poznato čini nekoliko grupa raznovrsnih nivoa sofisticiranosti, pokrenula je operaciju sajber špijunaže koja je usmerena na pojedince i organizacije sa političkim interesima na bliskom istoku. Kampanja nazvana SneakyPastes je koristila jednokratne i-mejl adrese kako bi putem fišinga širila zarazu, pre preuzimanja malvera u lančanim fazama koristeći mnogobrojne besplatne sajtove. Ovaj jeftin, ali efikasan pristup pomogao je grupi da stigne do oko 240 žrtava visokog profila u 39 zemalja širom sveta, uključujući političare, diplomate, medijske ličnosti i aktiviste, između ostalih. Istraživanje kompanije Kaspersky Lab je podeljeno sa policijskim službama i rezultovalo je uništenjem značajnog dela napadačke infrastrukture.
Grupa Gaza Cybergang je sa arapskog govornog područja i predstavlja politički motivisan kolektiv međusobno povezanih pretećih grupa koje aktivno ciljaju Bliski istok i Severnu Afriku, sa posebnim fokusom na palestinske teritorije. Kompanija Kaspersky Lab je identifikovala najmanje tri grupe u okviru bande sa sličnim ciljevima i metama – sajber špijunaža povezana sa političkim interesima na bliskom istoku– ali veoma različitim alatima, tehnikama i nivoima sofisticiranosti, među kojima postoji razmena podataka i preklapanje.
Među naprednijima iz ove grupe su Operation Parliament i Desert Falcons, poznate od 2018 i 2015 godine, kao i manje kompleksna grupa, takođe poznata kao MoleRats koja je aktivna još od 2012. godine. U proleće 2018, ova bazična grupa je otpočela operaciju SneakyPastes.
Operacija SneakyPastes je otpočela sa fišing napadima sa političkom temom, koji su prošireni korišćenjem jednokratnih mejl adresa i domena. Na uređaj žrtve infekcija bi se instalirala ukoliko korsnik klikne na zlonamerne linkove ili otvori priloge iz poruke.
Kako bi se izbeglo otkirvanje i sakrila lokacija komandnog i kontrolnog servera, dodatni malver je instaliran na uređaje žrtve u lančanim fazama koristeći brojne besplatne sajtove, uključujući Pastebin i Github. Razni maliciozni implanti su koristili PowerShell, VBS, JS i dotnet kako bi obezbedili otpornost i upornost unutar zaraženih sistema. Završna faza upada je bio Remote Access Trojan koji bi se povezao sa komandnim i kontrolnim serverom i onda prikupio, kompresovao, šifrovao i preuzeo širok spektar ukradenih dokumenata i tabela. Ime SneakyPastes potiče od česte upotrebe “paste” sajtova od strane napadača kako bi se postepeno ubacio RAT na sisteme žrtava.
Istraživači kompanije Kaspesky Lab su sarađivali sa policijskim službama kako bi otkrili čitav ciklus napada i upada za operaciju SneakyPastes. Ovi napori su rezultirali ne samo detaljnim razumevanjem alata, tehnika, meta i ostalog, već takođe stvarnim uništenjem značajnog dela infrastrukture.
Operacija SneakyPastes je bila najaktivnija između aprila i sredine novembra 2018. godine, kada se fokusirala na kratku listu meta koja je obuhvatala diplomatske i vladine entitete, nevladine organizacije i medije. Koristeći telemetriju i druge izvore kompanije Kaspersky Lab, otkriveno je oko 240 visokoprofilnih pojedinačnih i korporativnih žrtava, u 39 zemalja širom sveta. Većina se nalazila na palestinskim teritorijama ili Jordanu, Izraelu i Libanu. Žrtve su bile ambasade, vladini entiteti, mediji i novinari, aktivist, političke stranke i pojedinci, kao i obrazovne, bankarske, zdravstvene i ugovorne organizacije.
,,Otkriće grupe Desert Falcons u 2015. godini je označilo prekretnicu kada su u pitanju pretnje, jer to bio prvi poznati APT sa arapskog govornog područja. Sada znamo da je njegova roditeljska organizacija, Gaza Cybergang, aktivno ciljala interese na bliskom istoku od 2012. godine, u početku se najviše oslanjajući na aktivnosti prilično nesofisticiranog ali neumoljivog tima – tima koji je u 2018. godini otpočeo operaciju SneakyPastes.
SneakyPastes pokazuje da nedostatak infrastrukture i naprednih alata nisu prepreka za uspeh. Očekujemo da će šteta napravljena od strane sve tri Gaza Cybergang grupe da se intenzivira i da će se napadi proširiti na druge regije koje su takođe povezane sa palestinskim problemima”, rekao je Amin Hasbini (Amin Hasbini), šef bliskoistočnog istraživačkog centra, tim za globalno istraživanje i analizu (GReAT) u kompaniji Kaspersky Lab.
Svi proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju ovu pretnju.
Da ne biste postali žrtva ciljanih napada, poznatih ili nepoznatih aktera pretnji, istraživači kompanije Kaspersky Lab preporučuju implementiranje sledećih mera:
-
Koristite napredne bezbednosne alate kao što je Kaspersky Anti Targeted Attack Platform (KATA) i vodite računa o tome da vaš bezbednosni tim ima pristup najnovijim informacijama o sajber pretnjama.
-
Vodite računa o tome da redovno ažurirate sve softvere koji se koriste u vašoj organizaciji, naročito nakon izdanja novih bezbednosnih zakrpa. Bezbednosni proizvodi sa opcijama Vulnerability Assessment i Patch Management vam mogu pomoći da automatizujete ove procese.
-
Odaberite dokazano bezbednosno rešenje kao što je Kaspersky Endpoint Security koje je opremljeno mogućnošću detekcije zasnovane na ponašanju, za efikasnu zaštitu od poznatih i nepoznatih pretnji, uključujući eksploite.
- Pobrinite se da vaši zaposleni imaju svest o osnovama sajber bezbednosti, s obzirom na to da mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama socijalnog inženjeringa.
Izveštaj o operaciji SneakyPastes grupe Gaza Cybergang možete pronaći na Securelist lokaciji.