30 września 2015

Bliski Wschód i Afryka Północna - rządowy personel ds. IT oraz reagowania na incydenty celem cyberataków

Kaspersky Lab informuje o aktywności arabskojęzycznego ugrupowania cyberprzestępczego znanego jako "cybergang Gaza". Grupa działa w regionie Bliskiego Wschodu i Afryki Północnej, głównie w Egipcie, Zjednoczonych Emiratach Arabskich oraz Jemenie. Swoją działalność rozpoczęła w 2012 r., wykazując szczególnie dużą aktywność w drugim i trzecim kwartale 2015 r. Cyberprzestępcy koncentrują się na podmiotach rządowych, zwłaszcza ambasadach, i uderzają głównie w personel IT oraz zespoły odpowiedzialne za reagowanie na incydenty.


Cybergang Gaza aktywnie wysyła pliki szkodliwego oprogramowania do swoich ofiar. Personel IT posiada większy dostęp i więcej zezwoleń wewnątrz organizacji niż inni pracownicy, głównie dlatego, że musi zarządzać i obsługiwać infrastrukturę. Z tego powodu uzyskanie dostępu do urządzeń takich pracowników ma znacznie większą wartość dla cyberprzestępców niż dostęp do urządzeń zwykłych użytkowników w sieci korporacyjnej. Osoby zajmujące się reagowaniem na incydenty posiadają dostęp do poufnych danych związanych z prowadzonymi dochodzeniami cybernetycznymi w swoich organizacjach, jak również specjalny dostęp i zezwolenia, które umożliwiają im identyfikować szkodliwe lub podejrzane działania w sieci.

Atakując podmioty wysokiego szczebla, takie jak organy rządowe, ugrupowanie Gaza wykorzystuje znane narzędzia zdalnej administracji (ang. RAT) - XtremeRAT i PoisonIvy - rozprzestrzeniając infekcje za pośrednictwem oszustw phishingowych. Przy użyciu prostych narzędzi atakujący skutecznie uderzają w swoje cele, stosując sztuczki socjotechniczne - specjalne nazwy plików (np. sfałszowane pakiety instalacyjne programów antywirusowych), treści wiadomości i nazwy domen (np. gov.uae.k*m). Poniżej znajdują się przykłady nazw plików, które posłużyły do dostarczenia szkodliwych programów do komputerów ofiar:
  • Indications of disagreement between Saudi Arabia and UAE.exe,
  • Wikileaks documents on Sheikh.exe,
  • Scandalous pictures of Egyptian militants, judges and consultants,
  • President Mahmoud Abbas cursing Majed Faraj.exe,
  • Leaked conversation with the Egyptian leader of military forces Sodqi Sobhi.exe,
  • Secret_Report.exe,
  • Military Police less military sexual offenses, drug offenses more.exe.

"Z listy celów, która obejmuje podmioty rządowe w regionie Bliskiego Wschodu i Afryki Północnej, można wywnioskować, że mamy do czynienia z cyberatakami motywowanymi politycznie. Przejmując kontrolę nad komputerami oferującymi dostęp do wielu usług i zasobów sieci, cyberprzestępcy zwiększają swoje szanse na kradzież cennych informacji i mogą spowodować znaczne szkody. Ponieważ określenie autorstwa kampanii cyberprzestępczej jest zawsze bardzo trudne, a w wielu przypadkach nawet niemożliwe, nie wiemy jeszcze, kto stoi za omawianymi atakami" - powiedział Mohammad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Eksperci z Kaspersky Lab zalecają następujące działania mogące pomóc użytkownikom w zmniejszeniu ryzyka infekcji przy użyciu omawianego cyberataku i podobnych szkodliwych operacji:
  • Uważaj na wiadomości z załącznikami.
  • Uaktualniaj oprogramowanie, zwłaszcza takie, które jest popularne i często wykorzystywane przez cyberprzestępców.
  • Unikaj korzystania z oprogramowania na Twoim urządzeniu, jeśli wiesz, że zawiera luki w zabezpieczeniach, dla których nie istnieją jeszcze łaty.
  • Korzystaj ze sprawdzonego rozwiązania antywirusowego.
Szczegóły techniczne dotyczące cyberataków prowadzonych przez cybergang Gaza są dostępne w serwisie SecureList.com prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/8WsR5.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.