Redacción 11 abril, 2019
Gaza Cybergang quedó expuesto en #TheSAS2019

Aproximadamente 240 víctimas de alto perfil en 39 países se han transformado en víctimas de un ataque de ciberespionaje APT, comandado por una organización reconocida Gaza Cybergang, y que alcanza varios grupos de diversa sofisticación.

Las víctimas, que fueron atacadas el año pasado, incluyen entidades políticas, diplomáticas, de medios y activistas, según la investigación de Kaspersky Lab presentada en la Cumbre de analistas de seguridad (SAS) 2019 esta semana en Singapur.

Todos compartían una cosa en común: un interés en la política del Medio Oriente

«Gaza Cybergang” es un grupo árabe, motivado políticamente, formado por grupos conexos amenazantes que se enfocan vivamente a Oriente Medio y África del Norte, con una orientación singular en los territorios palestinos», dijo la empresa en un análisis de la compañía.

“Kaspersky Lab ha identificado al menos 3 grupos dentro de la organización cibercriminal, con objetivos y misiones similares, ciberespionaje relacionado con intereses políticos del Medio Oriente, pero herramientas, técnicas y niveles de sofisticación muy diferentes. Hay un elemento de compartir y superponerse entre ellos «.

Los grupos involucrados incluyen la Operación Parlamento más avanzada (vista por 1ra vez en 2018) y Desert Falcons; así como un grupo menos complejo conocido como MoleRats que ha existido desde al menos 2012.

Kaspersky Lab dijo que el descubrimiento de Desert Falcons en 2015 marcó un punto de inflexión en el panorama de amenazas, ya que era la primera APT conocida totalmente árabe.

«Ahora sabemos que su matriz, Gaza Cybergang ha estado atacando activamente los intereses del Medio Oriente desde 2012, inicialmente confiando más en las actividades de un equipo bastante poco sofisticado pero implacable», dijo Amin Hasbini, jefe del Centro de Investigación de Medio Oriente en el Global Research and Equipo de análisis (GReAT) en Kaspersky Lab, en el informe.

Los investigadores de Kaspersky Lab, que llamaron a la campaña SneakyPastes, dijeron que comenzó la primavera pasada, haciendo uso de direcciones de correo electrónico desechables para propagar la infección a través de mensajes de phishing de temática política.

Los correos tenían enlaces maliciosos o archivos adjuntos

Curiosamente, para evitar la detección y ocultar la ubicación del servidor de comando y control (C2), SneakyPastes también empleó un enfoque práctico, pero de bajo costo que implicaba la descarga de software espía en etapas encadenadas usando múltiples sitios gratuitos como Pastebin y Github.

«Los diversos implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para asegurar la resistencia y la persistencia dentro de los sistemas infectados», dijeron los investigadores de Kaspersky Lab en el análisis. «La etapa final de la intrusión fue un troyano de acceso remoto (RAT), que estableció contacto con el servidor de comando y control y luego recopiló, comprimió, cifró y cargó una amplia gama de documentos y hojas de cálculo robados».

La operación SneakyPastes estuvo en su nivel más activo entre abril y mediados de noviembre de 2018, centrándose en una lista específica de objetivos.

La mayoría de las víctimas se encuentran en los territorios palestinos (211 de ellos), con otros grupos en Jordania, Israel y el Líbano.

Los partidos políticos y políticos, así como los centros de investigación constituyeron la mayoría de los objetivos.

«Las víctimas incluían embajadas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, de salud y de contratación», según Kaspersky Lab.

Según el análisis, la investigación se compartió con la policía y dio como resultado la eliminación de una parte significativa de la infraestructura de ataque.

El peligro de SneakyPastes está lejos de terminar, en opinión de los investigadores

“Esta operación muestra que la falta de infraestructura y herramientas avanzadas no es un impedimento para el éxito.”

«Esperamos que el daño ejercido por los tres grupos de Gaza Cybergang se intensifique y que los ataques se extiendan a otras regiones que también están vinculadas a los problemas palestinos», sostuvieron los analistas presentes en SAS 2019, el evento anual de analistas globales de Kaspersky Lab.

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

A %d blogueros les gusta esto: