כנופיית הסייבר Gaza Team השתדרגה עם כלי פריצה וריגול נגד אנדרואיד
מאת: מערכת Telecom News, 30.10.17, 15:29

כנופיית הסייבר ,Gaza Team שפועלת כנגד מגוון ארגונים מסחריים וגופי ממשל באזור המזרח התיכון ואפריקה, שדרגה את ארסנל הנשק שלה עם כלים זדוניים חדשים, גם עם פרצות עדכניות ב-Access של מיקרוסופט, ובתכונות ריגול לאנדרואיד, תוך שימוש במסמכים הנוגעים לאסירים הביטחוניים וממצאים על שלטון החמאס. מה עושים?

מומחי מעבדת קספרסקי זיהו שינויים חשובים בפעילות של כנופיית הסייבר המוכרת Gaza Team, שפועלת כנגד מגוון ארגונים מסחריים וגופי ממשל באזור המזרח התיכון ואפריקה (MENA). הקבוצה אומנם נוכחת באופק האיומים כבר מספר שנים, אך במהלך החודשים האחרונים התברר, שהיא שדרגה את ארסנל הנשק שלה עם כלים זדוניים חדשים.

כנופיית הסייבר Gaza Team התקיפה שגרירויות, דיפלומטים ופוליטיקאים וארגוני גז ונפט ומדיה באזור המזרח התיכון ואפריקה על בסיס קבוע מאז 2012. ב-2015, דיווחו חוקרי החברה על פעילות הכנופיה אחרי שזיהו שינוי משמעותי בתבנית הפעילות הזדונית שלה. אז זוהו התוקפים כשהם תוקפים מערכות מחשוב וצוותי תגובה לאירועים, בניסיון להשיג גישה לכלים חוקיים לביצוע הערכת אבטחה, כדי למזער את החשיפה שלהם ברשתות המותקפות. באחרונה, זוהה זינוק חדש בפעילות כנופיית הסייבר. 

פרופיל המטרות והאזור הגיאוגרפי נותרו ללא שינוי גם בהתקפות חדשות אלו. אולם, היקף הפעילות של Gaza Team התרחב. התוקפים זוהו כשהם מחפשים מודיעין באזור המזרח התיכון, דבר שלא נראה בעבר. חשוב מכך, כלי ההתקפה הפכו למתוחכמים יותר – הקבוצה פיתחה מסמכי פישינג גיאופוליטיים ממוקדים (הנוגעים למשל לשביתת הרעב של אסירי הרשות בבתי כלא בישראל או ממצאים על שלטון החמאס בעזה) המשמשים כדי לשאת את הקוד הזדוני אל היעד, והיא משתמשת בכלי פריצה עבור פרצות עדכניות יחסית, כגון CVE 2017-0199 ב-Access של מיקרוסופט, ואפילות בתוכנות ריגול לאנדרואיד. 

התוקפים מבצעים את הפעילות הזדונית שלהם באמצעות שליחת דואר אלקטרוני המכיל RAT (Remote Access Trojans) שונים בתוך מסמכי אופיס מזויפים או בקישורים לעמודים זדוניים. כאשר אלה מופעלים, הקורבן נדבק בקוד זדוני, שלאחר מכן מאפשר לתוקפים לאסוף קבצים, הקלדות וצילומי מסך ממכשירי הקורבן. אם הקורבן מזהה את הקוד הזדוני היורד למחשב, תוכנת ההורדה מנסה להתקין קבצים אחרים על מכשיר הקורבן בניסיון לעקוף את הזיהוי.

חקירת המשך של החברה העלתה את האפשרות של שימוש בקוד זדוני נייד: חלק משמות הקבצים, שנמצאו במהלך ניתוח הפעילות של ,Gaza Team נראה קשור לטרויאני לאנדרואיד. שדרוגים אלה בטכניקות ההתקפה מאפשרים ל-Gaza Team לעקוף פתרונות אבטחה ולשהות במערכת הקורבן לתקופות ממושכות.

כדי להימנע מליפול קורבן להתקפות אלו מומלץ להטמיע את האמצעים הבאים:

תרגול של הצוות בזיהוי הודעות דואר אלקטרוני הכוללות פישינג ממוקד או קישורי פישינג המופיעים בהודעות דואר אלקטרוני רגילות.

שימוש בפתרון אבטחת נקודות קצה המתאים לארגונים, בשילוב עם הגנה ייעודית כנגד איומים מתקדמים, שמסוגלת ללכוד התקפות באמצעות ניתוח אנומליה ברשת.

לספק לצוות האבטחה גישה למודיעין האיומים העדכני ביותר, אשר יחמש אותו בכלים למחקר ומניעה של התקפות ממוקדות, כגון חוקי YARA וסממנים לפריצה - ICO.

מידע נוסף - כאן.
 
דיוויד אם, מומחה אבטחה במעבדת קספרסקי. "אנו עוקבים אחרי Gaza Team כבר מספר שנים, והמצב באזור המזה"ת רחוק מלהיות בטוח בכל הנוגע לאיומי ריגול סייבר. בעקבות שדרוגים משמעותיים בטכניקות של הקבוצה, אנו צופים התחזקות באיכות ובכמות של התקפות בעתיד הקרוב. אנשים וארגונים הפועלים בגבולות הגזרה נדרשים להיזהר יותר ברשת".