Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Gaza Cybergang un tās operācija SneakyPastes

Gaza Cybergang un tās operācija SneakyPastes

Konferencē Kaspersky Security Analyst Summit (SAS) uzņēmuma eksperti parasti stāsta par APT uzbrukumiem: tieši tur viņi publicēja ziņas par Slingshot, Carbanak, Careto. Tā kā mērķtiecīgo uzbrukumu skaits nesamazinās, viņi turpina šo tradīciju: konferencē SAS 2019 Singapūrā viņi stāstīja par APT grupu Gaza Cybergang.

 

 

Plašs arsenāls

Grupa Gaza Cybergang nodarbojas ar kiberspiegošanu un galvenokārt darbojas Tuvo Austrumu un Centrālās Āzijas valstu teritorijā. Tā interesējas par politiķiem, diplomātiem, žurnālistiem, aktīvistiem un citiem politiski aktīviem šī reģiona iedzīvotājiem. No 2018. gada janvāra līdz 2019. gada janvārim visvairāk uzbrukumu tika sarīkots mērķiem, kas atrodas Palestīnā. Daudz inficēšanas mēģinājumu notika arī Jordānijā, Izraēlā un Libānā.

Savos uzbrukumos šī grupa izmanto dažāda sarežģītības līmeņa metodes un instrumentus, tāpēc Kaspersky Lab eksperti izšķir vismaz trīs apakšgrupas tās sastāvā.

 

 

Par divām no tām jau tika rakstīts. Viena rīkoja kampaņu Desert Falcons, bet otra veica mērķtiecīgo uzbrukumu sēriju Operation Parliament. Tagad laiks parunāt par trešo, kurai dots nosaukums MoleRATs. Šī grupa galvenokārt izmanto samērā vienkāršus instrumentus, bet tādēļ tās operācija SneakyPastes (tā nosaukta sakarā ar aktīvu pastebin.com izmantošanu) nebūt nav mazāk bīstama.

 

SneakyPastes

Operācijas ietvaros tiek veikti uzbrukumi, kas sastāv no vairākiem posmiem. Tie sākas ar pikšķerēšanu, turklāt ar vēstulēm, ko sūta no vienreizējas lietošanas adresēm un domēniem. Dažreiz šajās vēstulēs ir atsauce uz kaitēkli, citreiz inficētās datnes ir pievienotas vēstulei. Ja upuris palaiž tādu datni (vai atver atsauci), ierīcē nonāk pirmā posma kaitīgā programma, kas uzsāk inficēšanas procedūru.

Vēstules, kuru uzdevums ir lasītāja modrības iemidzināšana, parasti ir par politiskām tēmām. Tie ir vai nu politiķu sarunu protokoli, vai viltoti sūtījumi no respektablām organizācijām.

Pēc upura datora inficēšanas ar pirmā posma kaitēkli ļaundari cenšas nostiprināt savas pozīcijas ierīcē, noslēpties no drošības risinājumiem un maksimāli aizsargāt savu vadības serveri.

Viņi izmanto publiskus servisus (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com un pomf.cat), lai organizētu nākamos uzbrukuma posmus (arī kaitēkļu piegādi), bet galvenais — lai nodrošinātu saziņu ar vadības serveri. Interesanti, ka parasti izmanto uzreiz vairākus iegūtās informācijas izņemšanas paņēmienus.

Galu galā ierīcē tiek uzstādīts RAT kaitēklis ar plašām iespējām. Tas var, piemēram, lejupielādēt un augšupielādēt datnes, palaist lietojumprogrammas, meklēt dokumentus un šifrēt informāciju.

Šis kaitēklis uzmeklē upura datorā visus PDF, DOC, DOCX un XLSX dokumentus, saglabā tos pagaidu datņu mapēs, bet pēc tam klasificē, arhivē, šifrē un tādā veidā sūta uz vadības serveri caur veselu virkni domēnu.

Bet Kaspersky Lab atklāja arī daudzus citus instrumentus, kas tiek izmantoti šajā uzbrukumā. Gan par tiem, gan par pārējām tehniskajām detaļām var vairāk uzzināt šajā Securelist ierakstā.

 

 

Kompleksa aizsardzība pret kompleksiem apdraudējumiem

Kaspersky Lab produkti prot efektīvi cīnīties ar komponentiem, kuri tiek izmantoti operācijā SneakyPastes. Lai jūs nekļūtu par vienu no tās upuriem, iesakām ņemt vērā šādus padomus.

  • Gaza Cybergang uzbrukumi sākas ar pikšķerēšanu. Iemāciet sava uzņēmuma darbiniekiem atšķirt bīstamās vēstules —ne tikai masveidā sūtītās, bet arī tikai jūsu uzņēmumam adresētās. Mūsu interaktīvā platforma Kaspersky ASAP ļauj apgūt ne tikai šim nolūkam vajadzīgās zināšanas, bet arī nepieciešamās prasmes.
  • Iespējams, ka vienkāršāki antivīrusi netiks galā ar sarežģītiem vairāku posmu mērķtiecīgajiem uzbrukumiem. Izmantojiet kompleksos risinājumus, kas izstrādāti aizsardzībai pret sarežģītiem uzbrukumiem. Lai pretotos ļaundariem tīkla līmenī, iesakām vienlaikus lietot Kaspersky Anti Targeted Attack un Kaspersky Endpoint Detection and Response.
  • Ja jūsu uzņēmumā ir atsevišķs dienests, kas atbild par IT drošību, tad iesakām abonēt Kaspersky Threat Intelligence Services, kuros eksperti sīki aplūko pašreizējos kiberdraudus slēgtās atskaitēs.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

2 + 3 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu