En 2018, Gaza Cybergang, que comprende varios grupos con diferentes niveles de sofisticación, lanzó una campaña de ciberespionaje contra usuarios y organizaciones con intereses políticos en el Medio Oriente. La campaña, llamada SneakyPastes, utilizó direcciones de correo desechables para propagar la infección mediante phishing y descargar el malware en varias etapas y desde múltiples sitios gratuitos. Esta táctica efectiva y de bajo costo permitió al grupo afectar a unas 240 víctimas de alto nivel en 39 países, incluyendo desde entidades políticas, diplomáticas, y medios de comunicación hasta ONGs, entre otros. Kaspersky Lab compartió su investigación con las autoridades policiales, originando el desmantelamiento de una parte importante de la infraestructura de ataque.
Gaza Cybergang es un colectivo de habla árabe, motivado políticamente, formado por grupos de amenazas interrelacionados que suelen atacar objetivos principalmente en el Medio Oriente y Norte de África, con un interés especial en los territorios palestinos. Kaspersky Lab ha identificado al menos a tres grupos de este colectivo, con motivaciones y objetivos parecidos, el ciberespionaje con intereses políticos del Medio Oriente-, pero con herramientas, técnicas y niveles de sofisticación muy diferentes. Hay un elemento que comparten y se solapa entre ellos.
Entre estos grupos se encuentran algunos de los más avanzados, como Operation Parliament y Desert Falcons, conocidos desde 2018 y 2015 respectivamente, y también uno crucial pero menos complejo, conocido como MoleRats, activo desde al menos 2012. En la primavera de 2018, este último grupo lanzó la operación SneakyPastes.
SneakyPastes empezó con ataques de phishing de temática política, difundidos utilizando direcciones de correo electrónico y dominios efímeros de un solo uso. Los enlaces maliciosos, o los archivos adjuntos en los que se hizo clic, procedieron después a infectar el dispositivo víctima.
Para evitar la detección y ocultar la ubicación del servidor de comando y control, en los dispositivos de las víctimas se descargaba un malware adicional en etapas sucesivas, utilizando sitios gratuitos como Pastebin y Github. Los diferentes implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para garantizar la resiliencia y su persistencia en los sistemas infectados. La etapa final de la intrusión era un troyano de acceso remoto que, tras contactar con su servidor de control, procedía a recopilar, comprimir, cifrar y subir una gran variedad de hojas de cálculo y documentos robados. El nombre SneakyPastes se deriva del uso intensivo de “paste sites” para implantar progresivamente herramientas de control remoto (RAT) en los sistemas víctimas.
Los analistas de Kaspersky Lab trabajaron en colaboración con la policía para descubrir el ciclo completo de ataques e intrusiones de la operación SneakyPastes. Estos esfuerzos no solo han dado como resultado una comprensión detallada de las herramientas, técnicas, objetivos y otros, sino también en el desmantelamiento de una parte importante de la infraestructura.
La operación SneakyPastes tuvo su punto de máxima actividad entre abril y mediados de noviembre de 2018, centrándose en una pequeña lista de objetivos que incluía desde entidades diplomáticas y gubernamentales y ONGs hasta medios de comunicación. Gracias al uso de la telemetría de Kaspersky Lab y de otros medios, se han identificado cerca de 240 víctimas individuales y corporativas relevantes en 39 países de todo el mundo; aunque la mayoría se encuentra en los territorios palestinos, Jordania, Israel y Líbano. Entre las víctimas se pueden encontrar delegaciones diplomáticas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, sanitarias y empresas constructoras.
“El descubrimiento de Desert Falcons en 2015 marcó un punto de inflexión en el panorama de amenazas, al ser la primera APT de lengua árabe identificada. Ahora sabemos que su matriz, Gaza Cybergang, ha estado atacando activamente objetivos en el Medio Oriente desde 2012, gracias a la actividad de un grupo poco sofisticado pero implacable, y que en 2018 lanzó la operación SneakyPastes. SneakyPastes demuestra que la falta de infraestructura y herramientas avanzadas no es un obstáculo para el éxito. Anticipamos que el daño causado por los tres grupos de Gaza Cybergang siga intensificándose y que los ataques se extiendan a otras regiones que también están vinculadas a la cuestión palestina», afirma Amin Hasbini, director del Centro de Investigación y Análisis del Medio Oriente en Kaspersky Lab.
Todos los productos de Kaspersky Lab detectan y bloquean con éxito esta amenaza,
Para evitar ser víctimas de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
- Utilizar herramientas avanzadas de seguridad como Kaspersky Anti Targeted Attack Platform y asegurarse que todo el equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas.
- Actualizar regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
- Seleccionar una solución de seguridad probada, como Kaspersky Endpoint Security que, para una mejor protección frente amenazas conocidas y desconocidas -incluidos exploits-, dispone de funciones de detección basadas en comportamiento.
- Concienciar a los empleados de la organización de las medidas de protección básicas a seguir, sobre todo cuando muchos de los ataques utilizan phishing y otras técnicas de ingeniería social.
Información adicional sobre la operación SneakyPastes de Gaza Cybergang está disponible en Securelist y en nuestro blog.