2019-04-21

Cyberspionage hot mot  politiker och diplomater 39 länder

Under 2018 genomförde Gaza Cybergang en cyberspionage-operation riktad mot individer och organisationer med politiska intressen i Mellanöstern, enligt Kaspersky Labs. Gaza Cybergang är sedan tidigare känt för att inkludera flera olika cybergrupper av varierande sofistikeringsgrad. Genom hotet, som fått namnet Sneakypastes, spred de virus genom nätfiske via epost för att sedan ladda ner skadlig programvara i flera steg med hjälp av gratissidor.

Det är en billig men effektiv metod som har lett till att gruppen har kunnat attackera 240 högprofilsoffer inom bland annat politik, diplomati och media i 39 olika länder. Kaspersky Labs undersökningsresultat delades med polisen och resulterade i att en stor del av attackinfrastrukturen nu har tagits ner.

Gaza Cybergang är ett arabisktalande, politiskt motiverat kollektiv av hotgrupper som aktivt riktar sig mot Mellanöstern och norra Afrika, med ett särskilt fokus på palestinska territorier. Kaspersky Lab har identifierat åtminstone tre grupper inom gruppen som har olika metoder, tekniker och nivå av sofistikering men som till viss del överlappar och samarbetar för att uppnå gemensamma mål och syften med cyberspionage kopplat till politiska intressen i Mellanöstern.

Grupperna inkluderar de mer avancerade Operation Parliament och Desert Falcons, kända sedan 2018 respektive 2015, samt en stödjande, mindre komplex grupp känd som MoleRats och som varit aktiv sedan 2012 eller tidigare. Under våren 2018 lanserade MoleRats operationen Sneakypastes.

Sneakypastes började med nätfiskeattacker med politiska kopplingar som spreds genom engångs-epostadresser och domäner. Skadliga länkar eller bilagor som antingen var klickade på eller nedladdade installerade sedan ett virus på de angripna enheterna.

För att undvika att bli upptäckt och dölja ledningsserverns position laddades ytterligare virus ner till de angripna enheterna i flera steg genom olika gratissidor så som Pastebin och Github. De olika skadeprogrammen använde PowerShell, VBS, JS och dotnet för att säkra motståndskraften i de infekterade systemen. Sista steget av intrånget var en fjärrstyrd trojan som tog kontakt med ledningsservern för att samla, komprimera, kryptera och ladda upp en stor mängd olika typer av stulna dokument. Namnet Sneakypastes kommer från angriparnas stora användning av inklistringssidor för att stegvis smyga trojanen in i den angripnes system.

Kasperksy Labs forskare arbetade tillsammans med polisen för att avslöja hela cykeln av attacker och intrång i Sneakypastes verksamhet. Insatsen har, förutom en detaljerad förståelse för de verktyg, tekniker, målgrupper och dylikt som använts, även resulterat i att en betydande del av infrastrukturen har kunnat tas ner.

SneakyPastes operationen var som mest aktiv mellan april och mitten av november 2018, och var fokuserat på en liten målgrupp som innefattade diplomatiska och statliga enheter, icke-statliga organisationer samt mediamarknader. Med Kaspersky Labs telemetri och andra källor verkar det vara ungefär 240 inflytelserika individer och företag som angripits i 39 olika länder, de flesta i de palestinska områdena, Jordanien, Israel och Libanon. De angripna inkluderar ambassader, statliga organisationer, journalister och media, aktivister, politiska partier och enskilda individer, såväl som organisationer inom utbildning, bank, sjukvård och entreprenörsverksamheter.

"Upptäckandet av Desert Falcons 2015 blev en vändpunkt i hotlandskapet då det var den första kända arabisktalande hackergruppen, säger Amin Hasbini, chef på Kaspersky Labs forskningscenter i Mellanöstern och Great, Global Research and Analysis Team. Vi vet nu att den är en del av ett större kollektiv, Gaza Cybergang som aktivt har haft intressen i Mellanöstern sedan 2012. Från början förlitade de sig på aktiviteter från en ganska osofistikerad men ivrig grupp – de som lanserade Sneakypastes 2018. Sneakypastes visar att bristen på infrastruktur och avancerade verktyg inte är ett hinder för en skadlig attack. Vi förväntar oss att de tre Gaza Cybergang-gruppernas effekt kommer att intensifieras och att attackerna kan spridas till andra regioner som har koppling till Palestina", skriver Kaspersky Labs i ett pressmeddelande som framhåller att deras produkter upptäcker och blockar hotet.

För att undvika att bli offer för en riktad attack av en känd eller okänd hackergrupp rekommenderar Kaspersky Labs forskare att genomföra följande åtgärder:

  • Använd avancerade säkerhetsverktyg som Kaspersky Anti Targeted Attack Platform (KATA) och se till att ditt säkerhetsteam har tillgång till den senaste informationen om cyberhot.
  • Se till att du uppdaterar all programvara som används i din organisation regelbundet, särskilt när en ny säkerhetspatch släpps. Säkerhetsprodukter med sårbarhetsbedömning och så kallad patch management kan hjälpa till att automatisera dessa processer.
  • Välj en beprövad säkerhetslösning som Kaspersky Endpoint Security, som är utrustad med beteendebaserade detekteringsmöjligheter för effektivt skydd mot kända och okända hot, inklusive attacker mot sårbarheter.
  • Se till att din personal förstår grundläggande cybersäkerhetshygien, eftersom många riktade attacker börjar med nätfiske och liknande tekniker.

Leverantörer
Ändra marknad
Till toppen av sidan
Stäng