TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Kaspersky Lab descobre operação de ciberespionagem SneakyPastes

Postado em: 13/04/2019, às 13:05 por Redação

Em 2018, o Gaza Cybergang, que compreende vários grupos com diferentes níveis de sofisticação, lançou uma operação de ciberespionagem dirigida a indivíduos e organizações políticas no Oriente Médio. Chamada de SneakyPastes, ela fez uso de endereços de e-mail descartáveis para espalhar a infecção via mensagens de phishing, em seguida o malware é baixado passando por diversos estágios, que utilizam diferentes sites gratuitos. Esta abordagem eficaz e de custo baixo, permitiu ao grupo atingir cerca de 240 vítimas importantes em 39 países, incluindo entidades políticas, diplomáticas, veículos de imprensa, ONGs, entre outras. A descoberta da Kaspersky Lab foi compartilhada com as autoridades responsáveis e resultou na remoção de uma parte significativa da infraestrutura de ataque.

O Gaza Cybergang é uma ciberameaça de língua árabe, politicamente motivado, formada por grupos especializados e interrelacionados que atacam alvos principalmente no Oriente Médio e Norte da África, com um interesse especial nos territórios palestinos. A Kaspersky Lab identificou pelo menos três deles, que apresentam motivações e objetivos semelhantes – a ciberespionagem voltada ao Oriente Médio e com interesse político – mas apresentam diferentes ferramentas, técnicas e níveis de sofisticação. São estes elementos em comum que permitiram a correlação entre eles.

Entre os envolvidos, estão alguns dos grupos mais avançados, como a Operation Parliament  e Desert Falcons, conhecidos desde 2018 e 2015, respectivamente, e um com papel crucial, mas menos complexo, conhecido como MoleRats e ativo desde pelo menos 2012. Na primavera de 2018, este último grupo lançou a operação SneakyPastes.

O SneakyPastes começou com ataques de phishing com temas políticos, disseminados por endereços de e-mail e domínios descartáveis. O objetivo dos links maliciosos ou dos arquivos anexados era iniciar a infecção no dispositivo vítima.

Para evitar a detecção e ocultar a localização do servidor comando e controle (C&C), outro malware era baixado no dispositivo da vítima, usando sucessivas etapas e sites gratuitos como Pastebin e Github. Os diferentes implantes maliciosos utilizavam PowerShell, VBS, JS e .NET para tentar garantir sua permanência nos sistemas infectados. O estágio final da infecção é um trojan de acesso remoto que, ao contatar com seu servidor de comando e controle, irá reunir, compactar, criptografar e roubar uma grande quantidade de documentos e planilhas. O nome SneakyPastes é derivado do uso intenso de "sites de colar" por parte dos invasores para entregar o RAT gradualmente nos sistemas de vítimas.

Os especialistas da Kaspersky Lab trabalharam com a polícia para descobrir o ciclo completo de ataque e invasão da operação SneakyPastes. Esse esforço resultou não apenas em um entendimento detalhado das ferramentas, técnicas e metas, também foi possível realizar a remoção de uma parte significativa da infraestrutura usada.

A operação SneakyPastes foi a mais ativa entre abril e meados de novembro de 2018, concentrando-se em uma pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e veículos de comunicação.

Graças ao uso da telemetria da Kaspersky Lab e outras fontes, foram identificadas cerca de 240 vítimas individuais e corporativas relevantes em 39 países ao redor do mundo, onde a maioria está localizada nos territórios palestinos, na Jordânia, em Israel e no Líbano. Entre essas vítimas estão embaixadas, entidades governamentais, veículos de comunicação e jornalistas, ativistas, partidos políticos e políticos, bem como organizações educacionais, bancos, empresas na área da saúde e de contratações.

"A descoberta do Desert Falcons em 2015 foi um marco no cenário de ciberameaças, ao ser o primeiro APT em língua árabe identificado. Sabemos agora que sua matriz, o Gaza Cybergang, vem atuando ativamente no Oriente Médio desde 2012, inicialmente confiando a maioria das suas atividades de uma equipe pouco sofisticada, mas implacável – esta equipe lançou, em 2018, a operação SneakyPastes. Ela mostra que a falta de infraestrutura e ferramentas avançadas não são um obstáculo para o sucesso. Esperamos que os danos causados pelos três grupos da Gaza Cybergang se intensificarão e que os ataques se estendam a outras regiões ligadas às questões palestinas", afirma Amin Hasbini, chefe da equipe de pesquisa da Kaspersky Lab no Oriente Médio.

RSS
Facebook
Twitter
LinkedIn

Tags: , , , , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)

Top
Social media & sharing icons powered by UltimatelySocial