Specialiştii Kaspersky Lab anunţă descoperirea unei noi operaţiuni de spionaj cibernetic ce vizează persoane şi organizaţii cu un interes politic în Orientul Mijlociu.
Denumită SneakyPastes, operaţiunea aparţinând Gaza Cybergang a folosit adrese de e-mail de unică folosinţă pentru a răspândi infecţia prin phishing, înainte de a descărca malware-ul, în etape, utilizând mai multe site-uri gratuite.
În urma acestor acţiuni, grupul iniţiator a reuşit să atace în jur de 240 de victime, din 39 de ţări din întreaga lume, printre care: entităţi politice, diplomatice, mass-media, activişti, jurnalişti, persoane fizice, precum şi organizaţii educaţionale, bancare sau medicale.
Potrivit unui comunicat de presă al Kaspersky Lab, transmis vineri AGERPRES, Gaza Cybergang este un grup vorbitor de limba arabă, format din mai multe entităţi, cu un interes politic, care vizează Orientul Mijlociu şi Africa de Nord, cu un accent special pe teritoriile palestiniene.
Grupurile includ facţiunile mai avansate Operation Parliament şi Desert Falcons, despre care se ştie din 2018, respectiv 2015, şi un grup mai puţin complex, cunoscut şi sub numele de MoleRats, care a fost activ cel puţin din 2012. În primăvara anului 2018, acest grup, care foloseşte tehnici elementare, a lansat SneakyPastes.
"SneakyPastes a început cu atacuri de phishing cu tematică politică, răspândite folosind adrese de e-mail şi domenii de unică folosinţă. Link-urile infectate sau anexele pe care fie s-a făcut click, fie au fost descărcate, au declanşat infecţia pe dispozitivul victimă. Pentru a evita detecţia şi a ascunde localizarea serverului de comandă şi de control, pe dispozitivele victimă a fost descărcat un program malware suplimentar, în etape, utilizând mai multe site-uri gratuite, cum ar fi Pastebin şi Github. Implanturile au folosit PowerShell, VBS, JS şi dotnet pentru a asigura rezistenţa şi persistenţa în sistemele infectate. Etapa finală a intruziunii a fost un troian cu acces de la distanţă, care a contactat serverul de comandă şi control şi apoi a adunat, comprimat, criptat şi încărcat o gamă largă de documente şi foi de calcul. Numele SneakyPastes derivă din utilizarea intensă de către atacatori a site-urilor de tip "paste', pentru a strecura treptat troianul în sistemele victimelor", notează sursa citată.
Cercetătorii Kaspersky Lab susţin că operaţiunea SneakyPastes a avut vârful de activitate în intervalul aprilie - jumătatea lunii noiembrie 2018.
AGERPRES/(AS - autor: Daniel Badea, editor: Andreea Marinescu, editor online: Ady Ivaşcu)
Grupul Gaza Cybergang a atacat cibernetic, cu SneakyPastes, entităţi din ţări cu interese în Orientul Mijlociu
Comenteaza la aceasta stire!