Nel 2018 Gaza Cybergang, ora nota per avere al suo interno vari gruppi con diversi livelli di sofisticazione, ha lanciato un'operazione di spionaggio informatico che aveva come obiettivi individui e organizzazioni con interessi politici nell’area mediorientale. La campagna, soprannominata SneakyPastes, ha utilizzato indirizzi e-mail “usa e getta” per diffondere l'infezione attraverso il phishing, prima del download dei malware in fasi concatenate, utilizzando più siti gratuiti. Questo approccio, “low cost” ma efficace, ha aiutato il collettivo a colpire circa 240 vittime di alto profilo in 39 paesi in tutto il mondo, tra entità politiche, diplomatiche, del mondo dell’attivismo o dei media. Le ricerche di Kaspersky Lab, presentate in questi giorni al Kaspersky Security Analyst Summit 2019 - l’evento annuale che riunisce i più importanti ricercatori di cybersecurity di tutto il mondo, in corso a Singapore - sono state condivise prima con le forze dell'ordine e hanno portato alla rimozione di una parte significativa dell'infrastruttura di attacco.
Milano, 10 aprile 2019 - Gaza Cybergang è un collettivo, mosso da motivazioni di carattere politico, di lingua araba, composto da gruppi di cybercriminali in relazione tra loro, che prendono di mira in modo attivo il Medio Oriente e il Nord Africa, con particolare attenzione ai territori palestinesi.
Kaspersky Lab ha identificato almeno tre gruppi all'interno di Gaza Cybergang con scopi e obiettivi simili - ovvero attività di cyberspionaggio legata ad interessi politici nell’area mediorientale - che utilizzano strumenti, tecniche e livelli di sofisticazione molto diversi tra loro.
C'è un elemento, però, che condividono e che li accomuna.
All’interno di Gaza Cybergang ci sono gruppi più avanzati, come Operation Parliament e Desert Falcons, noti rispettivamente dal 2018 e dal 2015, e un gruppo che potrebbe essere definito “di supporto”, meno complesso e noto anche con il nome MoleRats, attivo almeno dal 2012.
Nella primavera del 2018, è stato proprio questo gruppo “base” a lanciare l’operazione SneakyPastes.
SneakyPastes ha avuto inizio con attacchi di phishing a sfondo politico, diffusi con indirizzi e-mail e domini “usa e getta”. Link malevoli o allegati, che sono stati cliccati o scaricati, hanno poi portato all’infezione sul dispositivo della vittima.
Per evitare il rilevamento e nascondere la posizione del server di comando e controllo, è stato scaricato un malware aggiuntivo sui dispositivi delle vittime, in una serie di fasi concatenate e utilizzando dei siti gratuiti, come Pastebin e Github. I vari impianti dannosi hanno utilizzato PowerShell, VBS, JS e dotnet per garantire la resilienza e la persistenza all’interno dei sistemi infetti. La fase finale dell'intrusione è rappresentata da un RAT - Remote Access Trojan, che prende contatto con il server di comando e controllo e quindi raccoglie, comprime, procede con la crittografia e con l’upload, su di esso, di una grande quantità di di documenti e fogli di calcolo rubati.
Il nome “SneakyPastes” deriva dall’ampio uso di “paste sites”, utilizzati per introdurre gradualmente il Remote Access Trojan nei sistemi delle vittime.
I ricercatori di Kaspersky Lab hanno lavorato con le forze dell'ordine per scoprire l'intero processo di attacco e di intrusione dell'operazione SneakyPastes. Questi sforzi hanno portato, non solo ad una comprensione più chiara degli strumenti, delle tecniche, degli obiettivi e di molto altro ancora, ma anche all'effettiva rimozione di una parte significativa dell'infrastruttura di attacco.
L'operazione SneakyPastes è stata la più attiva tra aprile e metà novembre 2018 e si è concentrata su una lista contenuta di obiettivi all’interno della quale si trovavano entità diplomatiche e governative, o legate al mondo delle ONG e dei media. Utilizzando la telemetria e altre fonti, Kaspersky Lab ha individuato circa 240 vittime, tra realtà individuali e aziendali di alto profilo, in 39 paesi in tutto il mondo, la maggior parte delle quali nei territori palestinesi, in Giordania, Israele e Libano. Tra le vittime c’erano ambasciate, enti governativi, organi d’informazione e giornalisti, attivisti, partiti politici e singoli individui, nonché organizzazioni legate al mondo dell’educazione, delle banche, della sanità ed enti aggiudicatori.
"La scoperta di Desert Falcons nel 2015 è stata un punto di svolta nel panorama delle cyberminacce: si è trattato, infatti, degli autori della prima campagna APT di lingua araba. Ora sappiamo che il suo artefice, Gaza Cybergang, punta in modo attivo agli interessi mediorientali dal 2012, basandosi soprattutto all’inizio sulle attività di un team non molto sofisticato, ma instancabile - lo stesso team che, nel 2018, ha lanciato l'operazione SneakyPastes. SneakyPastes dimostra che la mancanza di infrastrutture e di strumenti avanzati non è assolutamente un ostacolo alla realizzazione di un progetto cybercriminale di successo. Ci aspettiamo che i danni esercitati da tutti e tre i gruppi che fanno parte di Gaza Cybergang si intensifichino e che gli attacchi si estendano anche ad altre regioni, comunque collegate alle questioni palestinesi", ha commentato Amin Hasbini, Head of Middle East Research Center, Global Research and Analysis Team (GReAT) di Kaspersky Lab.
Tutti i prodotti Kaspersky Lab rilevano con successo e bloccano questo tipo di minacce.
Per non diventare vittime di un attacco mirato, da parte di autori di minacce noti o ancora sconosciuti, i ricercatori di Kaspersky Lab raccomandano di mettere in atto le seguenti misure:
-Utilizzare tool di sicurezza avanzata come Kaspersky Anti Targeted Attack Platform (KATA) e assicurarsi che l’intero team di sicurezza abbia accesso alle più recenti informazioni di intelligence delle minacce.
-Assicurarsi di aggiornare regolarmente tutti i software utilizzati all’interno di un’organizzazione, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi.
-Scegliere una soluzione di sicurezza affidabile, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento “behavior-based”, per una protezione efficace contro minacce note o ancora sconosciute, compresi gli exploit.
-Assicurarsi che il proprio personale sia adeguatamente formato in merito alla “cybersecurity hygiene”, dal momento che molti attacchi mirati partono da campagne di phishing o sfruttano altre tecniche di social engineering.
Maggiori informazioni sull’operazione SneakyPastes di Gaza Cybergang sono disponibili online, in un blogpost dedicato su Securelist.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 21 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante.
Per ulteriori informazioni: www.kaspersky.com/it
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://t.me/KasperskyLabIT
