Gaza
«Лаборатория Касперского» раскрыла кампанию кибершпионажа, организованную политически мотивированной арабоязычной группировкой Gaza, которая действует в странах Ближнего Востока и Северной Африки.
Кампания, проявившая наибольшую активность в апреле-ноябре 2018 года, оказалась весьма эффективной, несмотря на то, что для ее проведения использовались весьма простые и недорогие инструменты: заражение происходило через обычные фишинговые рассылки. Жертвами кампании стали около 240 человек и организаций в 39 странах, имеющих политические интересы на Ближнем Востоке, в том числе правительственные ведомства, политические партии, посольства, дипломатические представительства, информационные агентства, образовательные и медицинские учреждения, банки, подрядные организации, гражданские активисты и журналисты. Наибольшее число атакованных находится на Палестинских территориях, в Иордании, Израиле и Ливане.
Данная кампания получила название SneakyPastes — от английских глаголов paste (вставить текст из буфера) и sneak (незаметно проскользнуть), так как злоумышленники активно использовали сайты, позволяющие быстро распространять текстовые файлы (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com и pomf.cat), чтобы тайком протащить в систему жертвы троян для удаленного доступа. Эта малварь связывалась с командным сервером, а затем объединяла, сжимала, зашифровывала и отправляла своим операторам широкий спектр украденных документов.
В своих атаках группа Gaza использует разные по уровню сложности методы и инструменты, и эксперты «Лаборатории Касперского» выделяют в ее составе как минимум три подгруппы: Operation Parliament, известная с 2018 года, Desert Falcons, известная с 2015 года, и MoleRats, начавшая свою деятельность не позднее 2012 года. Все они преследуют сходные цели, но используют для их достижения разные инструменты и техники, которыми частично делятся друг с другом.
SneakyPastes
В рамках кампании SneakyPastes группировка проводит многоэтапные атаки. Начинаются они с классического фишинга, причем в нем используются письма с одноразовых адресов и одноразовые домены (в том числе, bit-degree.com, mail4gmail.com, careless-whisper.com). Иногда в письмах содержатся лишь ссылки на малварь, а иногда зараженные файлы приложены непосредственно к письму. Если жертва запустит такой файл (или перейдет по ссылке), на устройстве окажется вредоносная программа первой стадии, которая запустит цепочку заражения.
Сами письма злоумышленников, которые должны усыпить бдительность читателя, чаще всего являются посланиями на политическую тематику. Это либо какие-то протоколы переговоров политиков, либо поддельные послания от уважаемых организаций. Примеры таких писем можно найти отчете экспертов.
Заразив компьютер жертвы вредоносом первой стадии, злоумышленники стремятся закрепиться на устройстве, скрыть свое присутствие от защитных решений и максимально обезопасить командный сервер. Как уже было сказано выше, они полагаются на публичные сервисы, такие как Pastebin и GitHub, для организации следующих этапов атаки (в том числе для доставки малвари ), а главное, для связи с командным сервером.
В итоге на устройство жертвы устанавливается RAT с широкими возможностями. Среди прочего эта малварь может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать информацию. Так, RAT находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов передает на командный сервер.
«Обнаружение в 2015 году Desert Falcons изменило представление о ландшафте киберугроз, так как они стали первой известной арабоговорящей APT-группировкой. Теперь мы знаем, что она является частью более крупной кибербанды Gaza, которая активно действует на Ближнем Востоке с 2012 года и в 2018 году провела операцию SneakyPastes. Эта операция показала, что нехватка изощренных инструментов не мешает злоумышленникам проводить успешные атаки. Мы предполагаем, что ущерб, причиняемый кибербандой Gaza, будет расти и что в дальнейшем эта группировка проявит себя и в других регионах, также имеющих интересы в Палестине», — говорит Амин Хасбини, руководитель ближневосточного исследовательского центра «Лаборатории Касперского».
Фото: "Лабоартория Касперского"