Kaspersky Lab informuje o aktywności arabskojęzycznego ugrupowania cyberprzestępczego znanego jako „cybergang Gaza”. Grupa działa w regionie Bliskiego Wschodu i Afryki Północnej, głównie w Egipcie, Zjednoczonych Emiratach Arabskich oraz Jemenie. Swoją działalność rozpoczęła w 2012 r., wykazując szczególnie dużą aktywność w drugim i trzecim kwartale 2015 r.
Cyberprzestępcy koncentrują się na podmiotach rządowych, zwłaszcza ambasadach, i uderzają głównie w personel IT oraz zespoły odpowiedzialne za reagowanie na incydenty.
Cybergang Gaza aktywnie wysyła pliki szkodliwego oprogramowania do swoich ofiar. Personel IT posiada większy dostęp i więcej zezwoleń wewnątrz organizacji niż inni pracownicy, głównie dlatego, że musi zarządzać i obsługiwać infrastrukturę. Z tego powodu uzyskanie dostępu do urządzeń takich pracowników ma znacznie większą wartość dla cyberprzestępców niż dostęp do urządzeń zwykłych użytkowników w sieci korporacyjnej. Osoby zajmujące się reagowaniem na incydenty posiadają dostęp do poufnych danych związanych z prowadzonymi dochodzeniami cybernetycznymi w swoich organizacjach, jak również specjalny dostęp i zezwolenia, które umożliwiają im identyfikować szkodliwe lub podejrzane działania w sieci.
Atakując podmioty wysokiego szczebla, takie jak organy rządowe, ugrupowanie Gaza wykorzystuje znane narzędzia zdalnej administracji (ang. RAT) – XtremeRAT i PoisonIvy – rozprzestrzeniając infekcje za pośrednictwem oszustw phishingowych. Przy użyciu prostych narzędzi atakujący skutecznie uderzają w swoje cele, stosując sztuczki socjotechniczne – specjalne nazwy plików (np. sfałszowane pakiety instalacyjne programów antywirusowych), treści wiadomości i nazwy domen (np. gov.uae.k*m). Poniżej znajdują się przykłady nazw plików, które posłużyły do dostarczenia szkodliwych programów do komputerów ofiar:
- Indications of disagreement between Saudi Arabia and UAE.exe,
- Wikileaks documents on Sheikh.exe,
- Scandalous pictures of Egyptian militants, judges and consultants,
- President Mahmoud Abbas cursing Majed Faraj.exe,
- Leaked conversation with the Egyptian leader of military forces Sodqi Sobhi.exe,
- Secret_Report.exe,
- Military Police less military sexual offenses, drug offenses more.exe.
– Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami – powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
– Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami – powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Eksperci z Kaspersky Lab zalecają następujące działania mogące pomóc użytkownikom w zmniejszeniu ryzyka infekcji przy użyciu omawianego cyberataku i podobnych szkodliwych operacji:
- Uważaj na wiadomości z załącznikami.
- Uaktualniaj oprogramowanie, zwłaszcza takie, które jest popularne i często wykorzystywane przez cyberprzestępców.
- Unikaj korzystania z oprogramowania na Twoim urządzeniu, jeśli wiesz, że zawiera luki w zabezpieczeniach, dla których nie istnieją jeszcze łaty.
- Korzystaj ze sprawdzonego rozwiązania antywirusowego.