Você está aqui: HomeFornecedor de TINotícias do FornecedorAtualidadesKaspersky Lab descobre a operação de ciberespionagem SneakyPastes

Kaspersky Lab descobre a operação de ciberespionagem SneakyPastes

Publicado em Atualidades
12 Abril 2019

Lançada pelo Gaza Cybergang, esta operação utiliza técnicas simples, mas efetivas, e foram identificadas vítimas em mais de 39 países relacionados com o Oriente Médio

Em 2018, o Gaza Cybergang, que compreende vários grupos com diferentes níveis de sofisticação, lançou uma operação de ciberespionagem dirigida a indivíduos e organizações políticas no Oriente Médio. Chamada de SneakyPastes, ela fez uso de endereços de e-mail descartáveis para espalhar a infecção via mensagens de phishing, em seguida o malware é baixado passando por diversos estágios, que utilizam diferentes sites gratuitos. Esta abordagem eficaz e de custo baixo, permitiu ao grupo atingir cerca de 240 vítimas importantes em 39 países, incluindo entidades políticas, diplomáticas, veículos de imprensa, ONGs, entre outras. A descoberta da Kaspersky Lab foi compartilhada com as autoridades responsáveis e resultou na remoção de uma parte significativa da infraestrutura de ataque.

O Gaza Cybergang é uma ciberameaça de língua árabe, politicamente motivado, formada por grupos especializados e interrelacionados que atacam alvos principalmente no Oriente Médio e Norte da África, com um interesse especial nos territórios palestinos. A Kaspersky Lab identificou pelo menos três deles, que apresentam motivações e objetivos semelhantes – a ciberespionagem voltada ao Oriente Médio e com interesse político – mas apresentam diferentes ferramentas, técnicas e níveis de sofisticação. São estes elementos em comum que permitiram a correlação entre eles. 

Entre os envolvidos, estão alguns dos grupos mais avançados, como a Operation Parliament  e Desert Falcons, conhecidos desde 2018 e 2015, respectivamente, e um com papel crucial, mas menos complexo, conhecido como MoleRats e ativo desde pelo menos 2012. Na primavera de 2018, este último grupo lançou a operação SneakyPastes. 

O SneakyPastes começou com ataques de phishing com temas políticos, disseminados por endereços de e-mail e domínios descartáveis. O objetivo dos links maliciosos ou dos arquivos anexados era iniciar a infecção no dispositivo vítima.

Para evitar a detecção e ocultar a localização do servidor comando e controle (C&C), outro malware era baixado no dispositivo da vítima, usando sucessivas etapas e sites gratuitos como Pastebin e Github. Os diferentes implantes maliciosos utilizavam PowerShell, VBS, JS e .NET para tentar garantir sua permanência nos sistemas infectados. O estágio final da infecção é um trojan de acesso remoto que, ao contatar com seu servidor de comando e controle, irá reunir, compactar, criptografar e roubar uma grande quantidade de documentos e planilhas. O nome SneakyPastes é derivado do uso intenso de “sites de colar” por parte dos invasores para entregar o RAT gradualmente nos sistemas de vítimas.

Os especialistas da Kaspersky Lab trabalharam com a polícia para descobrir o ciclo completo de ataque e invasão da operação SneakyPastes. Esse esforço resultou não apenas em um entendimento detalhado das ferramentas, técnicas e metas, também foi possível realizar a remoção de uma parte significativa da infraestrutura usada.

A operação SneakyPastes foi a mais ativa entre abril e meados de novembro de 2018, concentrando-se em uma pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e veículos de comunicação.

Graças ao uso da telemetria da Kaspersky Lab e outras fontes, foram identificadas cerca de 240 vítimas individuais e corporativas relevantes em 39 países ao redor do mundo, onde a maioria está localizada nos territórios palestinos, na Jordânia, em Israel e no Líbano. Entre essas vítimas estão embaixadas, entidades governamentais, veículos de comunicação e jornalistas, ativistas, partidos políticos e políticos, bem como organizações educacionais, bancos, empresas na área da saúde e de contratações.

“A descoberta do Desert Falcons em 2015 foi um marco no cenário de ciberameaças, ao ser o primeiro APT em língua árabe identificado. Sabemos agora que sua matriz, o Gaza Cybergang, vem atuando ativamente no Oriente Médio desde 2012, inicialmente confiando a maioria das suas atividades de uma equipe pouco sofisticada, mas implacável – esta equipe lançou, em 2018, a operação SneakyPastes. Ela mostra que a falta de infraestrutura e ferramentas avançadas não são um obstáculo para o sucesso. Esperamos que os danos causados pelos três grupos da Gaza Cybergang se intensificarão e que os ataques se estendam a outras regiões ligadas às questões palestinas”, afirma Amin Hasbini, chefe da equipe de pesquisa da Kaspersky Lab no Oriente Médio.

 

Entre para postar comentários