SneakyPastes: o operatiune apartinand Gaza Cybergang ataca victime din 39 de tari, care au legatura cu Orientul Mijlociu

In 2018, Gaza Cybergang, despre care se stie acum ca este formata din mai multe
grupuri, cu grade diferite de complexitate, a lansat o operatiune de spionaj cibernetic
ce vizeaza persoane si organizatii cu un interes politic in Orientul Mijlociu. Campania,
numita SneakyPastes, a folosit adrese de e-mail de unica folosinta pentru a raspandi
infectia prin phishing, inainte de a descarca malware-ul, in etape, utilizand mai multe
site-uri gratuite. Aceasta abordare, cu un cost redus, dar eficienta, a ajutat grupul sa
atace in jur de 240 de victime, din 39 de tari din intreaga lume, printre care entitati
politice, diplomatice, mass-media si activisti. Cercetarea Kaspersky Lab a fost
transmisa organismelor de aplicare a legii si a dus la retragerea unei parti importante
din infrastructura de atac.
Gaza Cybergang este un grup vorbitor de limba araba, format din mai multe entitati, cu un
interes politic, care vizeaza Orientul Mijlociu si Africa de Nord, cu un accent special pe
teritoriile palestiniene. Kaspersky Lab a identificat cel putin trei factiuni din cadrul grupului,
cu scopuri si tinte similare – spionaj in legatura cu interese politice din Orientul Mijlociu – dar
cu instrumente, tehnici si niveluri de complexitate foarte diferite.
Grupurile includ factiunile mai avansate Operation Parliament si Desert Falcons , despre care
se stie din 2018, respectiv 2015, si un grup mai putin complex, cunoscut si sub numele de
MoleRats, care a fost activ cel putin din 2012. In primavara anului 2018, acest grup, care
foloseste tehnici elementare, a lansat SneakyPastes.
SneakyPastes a inceput cu atacuri de phishing cu tematica politica, raspandite folosind
adrese de e-mail si domenii de unica folosinta. Link-urile infectate sau anexele pe care fie s-
a facut click, fie au fost descarcate, au declansat infectia pe dispozitivul victima.
Pentru a evita detectia si a ascunde localizarea serverului de comanda si de control, pe
dispozitivele victima a fost descarcat un program malware suplimentar, in etape, utilizand
mai multe site-uri gratuite, cum ar fi Pastebin si Github. Implanturile au folosit PowerShell,
VBS, JS si dotnet pentru a asigura rezistenta si persistenta in sistemele infectate. Etapa
finala a intruziunii a fost un troian cu acces de la distanta, care a contactat serverul de
comanda si control si apoi a adunat, comprimat, criptat si incarcat o gama larga de

documente si foi de calcul. Numele SneakyPastes deriva din utilizarea intensa de catre
atacatori a site-urilor de tip „paste”, pentru a strecura treptat troianul in sistemele victimelor.

Cercetatorii Kaspersky Lab au colaborat cu
organismele de aplicare a legii pentru a descoperi intregul ciclu de atac si intruziune pentru
operatiunea SneakyPaste. Aceste eforturi s-au soldat nu numai cu o intelegere detaliata a
instrumentelor, tehnicilor si a obiectivelor, ci si cu retragerea efectiva a unei parti importante
a infrastructurii.
Operatiunea SneakyPastes a avut varful de activitate intre aprilie si jumatatea lunii
noiembrie 2018, concentrandu-se pe o mica lista de tinte, care includea entitati diplomatice
si guvernamentale, ONG-uri si mass-media. Pe baza telemetriei Kaspersky Lab si a altor
surse, se pare ca exista aproximativ 240 de victime individuale si companii, in 39 de tari din
intreaga lume, majoritatea situandu-se in Teritoriile Palestiniene, Iordania, Israel si Liban.
Printre victime se numara ambasade, entitati guvernamentale, mass-media si jurnalisti,
activisti, partide politice si persoane fizice, precum si organizatii educationale, bancare sau
medicale.
„Descoperirea operatiunii Desert Falcons, in 2015, a marcat un punct de cotitura in domeniul
amenintarilor cibernetice, pentru ca a fost primul APT vorbitor integral de limba araba”,
spune Amin Hasbini, Head of Middle East Research Center, Global Research and Analysis
Team (GReAT) la Kaspersky Lab. „Stim acum ca parintele sau, Gaza Cybergang, a vizat in
mod activ interesele din Orientul Mijlociu incepand cu 2012, bazandu-se initial pe activitatile
unei echipe destul de putin complexe, dar neobosite – echipa care in 2018 a lansat
operatiunea SneakyPaste. SneakyPastes arata ca lipsa infrastructurii si a instrumentelor
avansate nu reprezinta un impediment in calea succesului. Ne asteptam ca daunele
provocate de toate cele trei grupuri din Gaza Cybergang sa se intensifice, iar atacurile sa se
extinda si in alte regiuni care au legatura cu problemele palestiniene.”
Toate produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.
Pentru a evita sa cadeti victima unui atac directionat al unui grup cunoscut sau necunoscut
de atacatori, cercetatorii Kaspersky Lab recomanda implementarea urmatoarelor masuri:
• Utilizati instrumente de securitate complexe si asigurati-va ca echipa de securitate are
acces la cele mai recente informatii despre amenintarile cibernetice.
• Asigurati-va ca actualizati periodic tot software-ul utilizat in organizatie, in special atunci
cand este lansat un nou patch de securitate. Produsele de securitate cu functii de evaluare a
vulnerabilitatilor si de gestionare a patch-urilor pot ajuta la automatizarea acestor procese.
• Alegeti o solutie de securitate cu eficienta dovedita, cum este Kaspersky Endpoint Security
for Business, dotata cu functii de detectie bazate pe comportament, pentru o protectie
eficienta impotriva amenintarilor cunoscute si necunoscute, inclusiv a exploit-urilor.
• Asigurati-va ca angajatii inteleg masurile elementare de securitate cibernetica, deoarece
multe atacuri directionate incep cu phishing sau cu alte tehnici de inginerie sociala.

Pe Securelist este disponibil raportul despre operatiunea SneakyPastes, al Gaza
Cybergang.