Stručnjaci iz kompanije Kaspersky Lab uočili su značajne promene u načinu rada poznate sajber kriminalne grupe iz Gaze, koja aktivno targetira komercijalne i vladine organizacije na Bliskom Istoku i Africi (MENA region). Iako je ova grupa prisutna već nekoliko godina, u 2017. godini je unapredila svoj arsenal oružja novim malicioznim alatima.
Kriminalna grupa iz Gaze je aktivno napadala ambasade, diplomate, političare, naftne i gasne kompanije, kao i medije u MENA regionu od 2012. godine, pri čemu su bezbednosne agencije redovno detektovale nove verzije njihovog malvera. Tokom 2015. godine, istraživači iz kompanije Kaspersky Lab počeli su sa detaljnom istragom aktivnosti grupe, nakon što su primetili značajne promene u njihovim malicioznim operacijama.
Ovom prilikom, uočeno je da su napadači targetirali IT stručnjake kako bi dobili pristup legitimnim alatima za bezbednosnu procenu i u velikoj meri sakrili tragove svojih aktivnosti. Tokom 2017. godine, stručnjaci iz kompanije Kaspersky Lab otkrili su novu promenu u načinu rada grupe iz Gaze.
Profil meta i njihova geografska lokacija su ostali isti, ali se obim aktivnosti ove kriminalne grupe značajno povećao. Napadači su bili u potrazi za različitim vrstama informacija u MENA regionu, što prethodno nije bio slučaj. Što je još bitnije, alati koje su napadači koristili ovom prilikom bili su sofisticiraniji, pri čemu je grupa kreirala veoma specifične, geopolitičke „fišing“ dokumente pomoću kojih je isporučivala malver, a koristila je i ranjivosti u Microsoft Access-u, kao i na Android operativnom sistemu.
Napadači su sprovodili maliciozne aktivnosti tako što su slali i-mejl poruke koje su sadržale brojne daljinske trojan viruse (Remote Access Trojans – RAT) unutar lažnih office dokumenata, ili URL adrese ka malicioznim stranicama.
Nakon pokretanja malicioznih fajlova, malver je napadačima omogućavao da prikupe informacije o tome šta korisnici unose na tastaturi na svojim uređajima, kao i prikaze njihovih ekrana. Ako bi žrtve uočile prvobitni malver i pokušale da ga izbrišu, on bi pokušao da instalira druge fajlove koji bi mu omogućili da izbegne detekciju.
Daljim istraživanjem stručnjaka iz kompanije Kaspersky Lab ustanovljeno je da je hakerska grupa koristila i mobilni malver, budući da su neki od dokaza koji su otkriveni tokom istrage ukazivali na Android trojan virus. Ovi noviteti, kada su u pitanju tehnike za sprovođenje napada, omogućili su kriminalcima da zaobiđu bezbednosna rešenja i manipulišu operativnim sistemom žrtve duži vremenski period.
„Konstatna aktivnost kriminalne grupe iz Gaze, koju smo posmatrali nekoliko godina, ukazuje na činjenicu da je situacija u MENA regionu nebezbedna kada su u pitanju sajber špijunske pretnje. Usled značajnih unapređenja koja je kriminalna grupa uvela u svoje aktivnosti, očekujemo da će se obim njihovih aktivnost u velikoj meri povećati u budućnosti”, izjavio je Dejvid Em (David Emm), bezbednosni stručnjak u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju napade sprovedene pomoću ovih tehnika.
Kako korisnici ne bi postali žrtve ovih napada, stručnjaci iz kompanije Kaspersky Lab savetuju sledeće:
- Edukaciju zaposlenih kako bi bili u stanju da detektuju „fišing“ i-mejl poruke ili linkove;
- Korišćenje dokazanog i kvalitetnog bezbednosnog rešenja u kombinaciji sa specijalizovanom zaštitom od naprednih pretnji, kao što je Kaspersky Anti Targeted Attack platform, koji je u stanju da blokira napade kroz detekciju anomalija na mreži;
- Obezbeđivanje relevantnih i najnovijih informacija o sajber pretnjama za zaposlene