Publicidade
Início Segurança Cases Kaspersky Lab descobre operação de ciberespionagem SneakyPastes

Kaspersky Lab descobre operação de ciberespionagem SneakyPastes

0
Publicidade

Em 2018, o Gaza Cybergang, que compreende vários grupos com diferentes níveis de sofisticação, lançou uma operação de ciberespionagem dirigida a indivíduos e organizações políticas no Oriente Médio. Chamada de SneakyPastes, ela fez uso de endereços de e-mail descartáveis para espalhar a infecção via mensagens de phishing, em seguida o malware é baixado passando por diversos estágios, que utilizam diferentes sites gratuitos. Esta abordagem eficaz e de custo baixo, permitiu ao grupo atingir cerca de 240 vítimas importantes em 39 países, incluindo entidades políticas, diplomáticas, veículos de imprensa, ONGs, entre outras. A descoberta da Kaspersky Lab foi compartilhada com as autoridades responsáveis e resultou na remoção de uma parte significativa da infraestrutura de ataque.

O Gaza Cybergang é uma ciberameaça de língua árabe, politicamente motivado, formada por grupos especializados e interrelacionados que atacam alvos principalmente no Oriente Médio e Norte da África, com um interesse especial nos territórios palestinos. A Kaspersky Lab identificou pelo menos três deles, que apresentam motivações e objetivos semelhantes – a ciberespionagem voltada ao Oriente Médio e com interesse político – mas apresentam diferentes ferramentas, técnicas e níveis de sofisticação. São estes elementos em comum que permitiram a correlação entre eles.

Entre os envolvidos, estão alguns dos grupos mais avançados, como a Operation Parliament  e Desert Falcons, conhecidos desde 2018 e 2015, respectivamente, e um com papel crucial, mas menos complexo, conhecido como MoleRats e ativo desde pelo menos 2012. Na primavera de 2018, este último grupo lançou a operação SneakyPastes.

O SneakyPastes começou com ataques de phishing com temas políticos, disseminados por endereços de e-mail e domínios descartáveis. O objetivo dos links maliciosos ou dos arquivos anexados era iniciar a infecção no dispositivo vítima.

Para evitar a detecção e ocultar a localização do servidor comando e controle (C&C), outro malware era baixado no dispositivo da vítima, usando sucessivas etapas e sites gratuitos como Pastebin e Github. Os diferentes implantes maliciosos utilizavam PowerShell, VBS, JS e .NET para tentar garantir sua permanência nos sistemas infectados. O estágio final da infecção é um trojan de acesso remoto que, ao contatar com seu servidor de comando e controle, irá reunir, compactar, criptografar e roubar uma grande quantidade de documentos e planilhas. O nome SneakyPastes é derivado do uso intenso de “sites de colar” por parte dos invasores para entregar o RAT gradualmente nos sistemas de vítimas.

Os especialistas da Kaspersky Lab trabalharam com a polícia para descobrir o ciclo completo de ataque e invasão da operação SneakyPastes. Esse esforço resultou não apenas em um entendimento detalhado das ferramentas, técnicas e metas, também foi possível realizar a remoção de uma parte significativa da infraestrutura usada.

A operação SneakyPastes foi a mais ativa entre abril e meados de novembro de 2018, concentrando-se em uma pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e veículos de comunicação.

Graças ao uso da telemetria da Kaspersky Lab e outras fontes, foram identificadas cerca de 240 vítimas individuais e corporativas relevantes em 39 países ao redor do mundo, onde a maioria está localizada nos territórios palestinos, na Jordânia, em Israel e no Líbano. Entre essas vítimas estão embaixadas, entidades governamentais, veículos de comunicação e jornalistas, ativistas, partidos políticos e políticos, bem como organizações educacionais, bancos, empresas na área da saúde e de contratações.

“A descoberta do Desert Falcons em 2015 foi um marco no cenário de ciberameaças, ao ser o primeiro APT em língua árabe identificado. Sabemos agora que sua matriz, o Gaza Cybergang, vem atuando ativamente no Oriente Médio desde 2012, inicialmente confiando a maioria das suas atividades de uma equipe pouco sofisticada, mas implacável – esta equipe lançou, em 2018, a operação SneakyPastes. Ela mostra que a falta de infraestrutura e ferramentas avançadas não são um obstáculo para o sucesso. Esperamos que os danos causados pelos três grupos da Gaza Cybergang se intensificarão e que os ataques se estendam a outras regiões ligadas às questões palestinas”, afirma Amin Hasbini, chefe da equipe de pesquisa da Kaspersky Lab no Oriente Médio.

SEM COMENTÁRIOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Sair da versão mobile