Kaspersky Lab descobre a operação de ciberespionagem SneakyPastes

Em 2018, o Gaza Cybergang, que compreende vários grupos com diferentes níveis de sofisticação, lançou uma operação de ciberespionagem dirigida a indivíduos e organizações políticas no Oriente Médio. Chamada de SneakyPastes, ela fez uso de endereços de e-mail descartáveis para espalhar a infecção via mensagens de phishing, em seguida o malware é baixado passando por diversos estágios, que utilizam diferentes sites gratuitos. Esta abordagem eficaz e de custo baixo, permitiu ao grupo atingir cerca de 240 vítimas importantes em 39 países, incluindo entidades políticas, diplomáticas, veículos de imprensa, ONGs, entre outras. A descoberta da Kaspersky Lab foi compartilhada com as autoridades responsáveis e resultou na remoção de uma parte significativa da infraestrutura de ataque.

O Gaza Cybergang é uma ciberameaça de língua árabe, politicamente motivado, formada por grupos especializados e interrelacionados que atacam alvos principalmente no Oriente Médio e Norte da África, com um interesse especial nos territórios palestinos. A Kaspersky Lab identificou pelo menos três deles, que apresentam motivações e objetivos semelhantes – a ciberespionagem voltada ao Oriente Médio e com interesse político – mas apresentam diferentes ferramentas, técnicas e níveis de sofisticação. São estes elementos em comum que permitiram a correlação entre eles.

Entre os envolvidos, estão alguns dos grupos mais avançados, como a Operation Parliament e Desert Falcons, conhecidos desde 2018 e 2015, respectivamente, e um com papel crucial, mas menos complexo, conhecido como MoleRats e ativo desde pelo menos 2012. Na primavera de 2018, este último grupo lançou a operação SneakyPastes.

O SneakyPastes começou com ataques de phishing com temas políticos, disseminados por endereços de e-mail e domínios descartáveis. O objetivo dos links maliciosos ou dos arquivos anexados era iniciar a infecção no dispositivo vítima.

Para evitar a detecção e ocultar a localização do servidor comando e controle (C&C), outro malware era baixado no dispositivo da vítima, usando sucessivas etapas e sites gratuitos como Pastebin e Github. Os diferentes implantes maliciosos utilizavam PowerShell, VBS, JS e .NET para tentar garantir sua permanência nos sistemas infectados. O estágio final da infecção é um trojan de acesso remoto que, ao contatar com seu servidor de comando e controle, irá reunir, compactar, criptografar e roubar uma grande quantidade de documentos e planilhas. O nome SneakyPastes é derivado do uso intenso de “sites de colar” por parte dos invasores para entregar o RAT gradualmente nos sistemas de vítimas.

Os especialistas da Kaspersky Lab trabalharam com a polícia para descobrir o ciclo completo de ataque e invasão da operação SneakyPastes. Esse esforço resultou não apenas em um entendimento detalhado das ferramentas, técnicas e metas, também foi possível realizar a remoção de uma parte significativa da infraestrutura usada.

A operação SneakyPastes foi a mais ativa entre abril e meados de novembro de 2018, concentrando-se em uma pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e veículos de comunicação.

Graças ao uso da telemetria da Kaspersky Lab e outras fontes, foram identificadas cerca de 240 vítimas individuais e corporativas relevantes em 39 países ao redor do mundo, onde a maioria está localizada nos territórios palestinos, na Jordânia, em Israel e no Líbano. Entre essas vítimas estão embaixadas, entidades governamentais, veículos de comunicação e jornalistas, ativistas, partidos políticos e políticos, bem como organizações educacionais, bancos, empresas na área da saúde e de contratações.

“A descoberta do Desert Falcons em 2015 foi um marco no cenário de ciberameaças, ao ser o primeiro APT em língua árabe identificado. Sabemos agora que sua matriz, o Gaza Cybergang, vem atuando ativamente no Oriente Médio desde 2012, inicialmente confiando a maioria das suas atividades de uma equipe pouco sofisticada, mas implacável – esta equipe lançou, em 2018, a operação SneakyPastes. Ela mostra que a falta de infraestrutura e ferramentas avançadas não são um obstáculo para o sucesso. Esperamos que os danos causados pelos três grupos da Gaza Cybergang se intensificarão e que os ataques se estendam a outras regiões ligadas às questões palestinas”, afirma Amin Hasbini, chefe da equipe de pesquisa da Kaspersky Lab no Oriente Médio.

Todos os produtos da Kaspersky Lab já detectam e bloqueiam essa ameaça. Para evitar ser vítima de um ataque dirigido de grupos conhecidos ou desconhecidos, os analistas da Kaspersky Lab recomendam implementar as seguintes medidas:

Utilize ferramentas de segurança avançada como o Kaspersky Anti Targeted Attack Platform e tenha certeza de que a sua equipa de segurança tem acesso aos mais recente relatórios de inteligência em ciberameaças;
Atualize regularmente todos os softwares usados na empresa, especialmente quando um patch de segurança é lançado. Soluções de segurança com a função de Avaliação de Vulnerabilidades e Gestão de Patches podem automatizar esse processo;
Escolha uma solução de segurança com qualidade comprovada, como o Kaspersky Endpoint Security, e com detecção baseadas em comportamentos para garantir uma proteção efetiva contra ameaças conhecidas e desconhecidas, incluindo aquelas que exploram vulnerabilidades;
Conscientize os funcionários sobre as regras básicas de cibersegurança e que eles saibam que muitas das ameaças dirigidas começam com phishing ou outra técnica de engenharia social.

Para mais informações sobre a operação SneakyPastes da Gaza Cybergang está disponível em Securelist.

Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 21 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.
Copyright © 2014 JeffreyGroup Brasil, All rights reserved.