Kaspersky Lab riporta come, nel 2018, Gaza Cybergang abbia lanciato un’operazione di spionaggio informatico denominata SneakyPastes. 39 i Paesi colpiti.
La campagna ha utilizzato indirizzi e-mail usa e getta per diffondere l’infezione attraverso il phishing, prima del download dei malware in fasi concatenate, utilizzando più siti gratuiti. Questo approccio, low cost ma efficace, ha aiutato il collettivo a colpire circa 240 vittime di alto profilo in 39 paesi in tutto il mondo.
Le ricerche di Kaspersky Lab sono state condivise prima con le forze dell’ordine e hanno portato alla rimozione di una parte significativa dell’infrastruttura di attacco.
Kaspersky Lab ha identificato almeno tre gruppi all’interno di Gaza Cybergang con scopi e obiettivi simili – ovvero attività di cyberspionaggio legata ad interessi politici nell’area mediorientale – che utilizzano strumenti, tecniche e livelli di sofisticazione molto diversi tra loro.
All’interno di Gaza Cybergang ci sono gruppi più avanzati, come Operation Parliament e Desert Falcons, noti rispettivamente dal 2018 e dal 2015, e un gruppo che potrebbe essere definito “di supporto”, meno complesso e noto anche con il nome MoleRats, attivo almeno dal 2012.
Nella primavera del 2018, è stato proprio questo gruppo “base” a lanciare l’operazione SneakyPastes.
SneakyPastes ha avuto inizio con attacchi di phishing a sfondo politico, diffusi con indirizzi e-mail e domini “usa e getta”. Link malevoli o allegati, che sono stati cliccati o scaricati, hanno poi portato all’infezione sul dispositivo della vittima.
Per evitare il rilevamento e nascondere la posizione del server di comando e controllo, è stato scaricato un malware aggiuntivo sui dispositivi delle vittime, in una serie di fasi concatenate e utilizzando dei siti gratuiti, come Pastebin e Github. I vari impianti dannosi hanno utilizzato PowerShell, VBS, JS e dotnet per garantire la resilienza e la persistenza all’interno dei sistemi infetti. La fase finale dell’intrusione è rappresentata da un RAT – Remote Access Trojan, che prende contatto con il server di comando e controllo e quindi raccoglie, comprime, procede con la crittografia e con l’upload, su di esso, di una grande quantità di documenti e fogli di calcolo rubati.
Il nome “SneakyPastes” deriva dall’ampio uso di “paste sites”, utilizzati per introdurre gradualmente il Remote Access Trojan nei sistemi delle vittime.
I ricercatori di Kaspersky Lab hanno lavorato con le forze dell’ordine per scoprire l’intero processo di attacco e di intrusione dell’operazione SneakyPastes. Questi sforzi hanno portato, non solo ad una comprensione più chiara degli strumenti, delle tecniche, degli obiettivi e di molto altro ancora, ma anche all’effettiva rimozione di una parte significativa dell’infrastruttura di attacco.
L’operazione SneakyPastes è stata la più attiva tra aprile e metà novembre 2018 e si è concentrata su una lista contenuta di obiettivi all’interno della quale si trovavano entità diplomatiche e governative, o legate al mondo delle ONG e dei media. Utilizzando la telemetria e altre fonti, Kaspersky Lab ha individuato circa 240 vittime, tra realtà individuali e aziendali di alto profilo, in 39 paesi in tutto il mondo, la maggior parte delle quali nei territori palestinesi, in Giordania, Israele e Libano. Tra le vittime c’erano ambasciate, enti governativi, organi d’informazione e giornalisti, attivisti, partiti politici e singoli individui, nonché organizzazioni legate al mondo dell’educazione, delle banche, della sanità ed enti aggiudicatori.
Amin Hasbini, Head of Middle East Research Center, Global Research and Analysis Team (GReAT) di Kaspersky Lab
La scoperta di Desert Falcons nel 2015 è stata un punto di svolta nel panorama delle cyberminacce: si è trattato, infatti, degli autori della prima campagna APT di lingua araba. Ora sappiamo che il suo artefice, Gaza Cybergang, punta in modo attivo agli interessi mediorientali dal 2012, basandosi soprattutto all’inizio sulle attività di un team non molto sofisticato, ma instancabile – lo stesso team che, nel 2018, ha lanciato l’operazione SneakyPastes. SneakyPastes dimostra che la mancanza di infrastrutture e di strumenti avanzati non è assolutamente un ostacolo alla realizzazione di un progetto cybercriminale di successo. Ci aspettiamo che i danni esercitati da tutti e tre i gruppi che fanno parte di Gaza Cybergang si intensifichino e che gli attacchi si estendano anche ad altre regioni, comunque collegate alle questioni palestinesi.
Per non diventare vittime di un attacco mirato, da parte di autori di minacce noti o ancora sconosciuti, i ricercatori di Kaspersky Lab raccomandano di mettere in atto le seguenti misure:
– Utilizzare tool di sicurezza avanzata come Kaspersky Anti Targeted Attack Platform (KATA) e assicurarsi che l’intero team di sicurezza abbia accesso alle più recenti informazioni di intelligence delle minacce.
– Assicurarsi di aggiornare regolarmente tutti i software utilizzati all’interno di un’organizzazione, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi.
– Scegliere una soluzione di sicurezza affidabile, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento “behavior-based”, per una protezione efficace contro minacce note o ancora sconosciute, compresi gli exploit.
– Assicurarsi che il proprio personale sia adeguatamente formato in merito alla “cybersecurity hygiene”, dal momento che molti attacchi mirati partono da campagne di phishing o sfruttano altre tecniche di social engineering.