נחשפה SneekyPastes - פעילות ריגול סייבר פוליטית של Gaza Cybergang שהצליחה לפגוע בגורמים בישראל וגם בשטחי הרשות, ירדן ולבנון
מאת:
מערכת Telecom News, 11.4.19, 17:43
קבוצת Cybergang היא קבוצה דוברת ערבית המורכבת מאוסף של קבוצות נפרדות בעלות מוטיבציה פוליטית לתקיפה של מטרות במזרח התיכון וצפון אפריקה, עם מיקוד מיוחד בשטחי הגדה. איך בוצעה הפעילות?
מעבדת קספרסקי פרסמה ניתוח של קמפיין ריגול סייבר בשם
SneekyPastes כנגד משתמשים וארגונים בעלי אינטרסים פוליטיים במזרח התיכון, ביניהן
ישראל. את הקמפיין הובילה קבוצת
Gaza Cybergang, שמורכבת ממספר יישויות נפרדות בעלות רמות תחכום שונות והוא עשה שימוש בכתובות דואר אלקטרוני זמניות להפצת פישינג נגוע.
בשלב הבא התבצעה הורדה מדורגת של הקוד הזדוני דרך מספר אתרים חינמיים. דרך הפעולה החסכונית אבל היעילה הזו סייעה לקבוצה להגיע להיקף מרשים של 240 קורבנות בפרופיל גבוה ב-39 מדינות ברחבי העולם, כולל גורמים דיפלומטיים, גופי מדיה ואקטיביסטים.
קבוצת
Cybergang היא קבוצה דוברת ערבית המורכבת מאוסף של קבוצות נפרדות בעלות מוטיבציה פוליטית לתקיפה של מטרות במזרח התיכון וצפון אפריקה, עם מיקוד מיוחד בשטחי הגדה. החברה זיהתה לפחות 3 קבוצות פעילות, שכולן בעלות מטרות ויעדים דומים - ריגול סייבר של גורמים הקשורים לפוליטיקה במזרח התיכון, אבל ברשותן עמדו כלים, טכניקות ורמות תחכום שונים.
הקבוצות כוללות את
Operation Parliament ו-
Desert Falcons המתוחכמות יותר, המוכרות החל מהשנים 2015 ו-2018, בהתאמה. ואת הקבוצה בעלת רמת התחכום הנמוכה יותר, הידועה בשם
MoleRats, הפעילה עוד מ-2012. באביב 2018, הקבוצה הזו הוציאה לפועל את
SneakyPastes.
SneakyPastes החל במתקפת פישינג סביב נושא פוליטי, שהופצה באמצעות כתובות דוא"ל ודומיינים זמניים. הקישורים הזדוניים שנלחצו או הקבצים המצורפים שנפתחו, התקינו את הקוד הזדוני במכשיר הקורבן.
כדי להימנע מזיהוי ולהחביא את מיקום שרת הפיקוד והשליטה, נעשתה הורדה מדורגת של קוד זדוני נוסף אל מכשירי הקורבנות דרך מספר אתרים חינמיים לשימוש, כולל
Pastebin ו-
Github. הקוד הזדוני שהוטמע השתמש ב-
PowerShell,
VBS,
JS ו-
.net כדי להבטיח עמידות בתוך המערכות שהודבקו.
השלב האחרון בחדירה היה טרויאני לגישה מרחוק, שיצר קשר עם שרת הפיקוד והשליטה, ואז אסף, כיווץ, הצפין וטען, טווח רחב של מסמכים וגיליונות חישוב גנובים. השם
SneakyPastes נגזר מהשימוש הנרחב, שהתוקפים עשו באתרים לשיתוף קוד (
paste sites) כדי להחדיר את הקוד הזדוני בהדרגה אל מערכות הקורבן.
חוקרי החברה פעלו בשיתוף רשויות אכיפה כדי לחשוף את מחזור ההתקפה והחדירה המלאים של
SneakyPastes. מאמצים אלה הביאו, לא רק להבנה מלאה של הכלים, הטכניקות והמטרות של הפעילות, אלא גם להפלת חלק משמעותי מהתשתית שלה.
פעילות
SneakyPastes רשמה את שיא פעילותה בין אפריל לאמצע נובמבר 2018, כשהיא מתמקדת ברשימה קטנה של גופים דיפלומטיים וגופי ממשל, גופים ללא מטרות רווח וגופי מדיה.
מהמחקר התגלה, ש-240 מטרות בפרופיל גבוה ב-39 מדינות ברחבי העולם נפלו קורבן למתקפה. רובם ממוקממים בשטחים, בירדן,
בישראל ובלבנון. מספר הקורבנות בשטחי הרשות היה הגבוה ביותר – 110. בירדן זוהו 25 קורבנות ובישראל - 17 קורבנות. הקורבנות כוללים
שגרירויות, גופי ממשל, גופי מדיה ועיתונאים, אקטיביסטים, מפלגות פוליטיות ואנשים פרטיים, וכן מוסדות חינוך, בנקאות ושירותי בריאות.
אמין הסביני, ראש מרכז מחקר המזרח התיכון, צוות מחקר וניתוח בינלאומי (
GReAT) במעבדת קספרסקי: "החשיפה של
Desert Falcons ב-2015 היוותה נקודת מפנה באופק האיומים של ה-
APT דובר הערבית שהיה מוכר עד אז. כיום אנו יודעים, שהקבוצה "המייסדת",
Gaza Cybergang, תוקפת מטרות עם אינטרסים במזרח התיכון כבר מאז 2012.
לרוב, הפעילות מסתמכת על אופרציה בתחכום נמוך יחסי, מה שבהחלט מוכיח, שתשתית או כלים מתקדמים אינם תנאי להצלחה. אנו צופים שהנזק, שתגרומנה 3 הקבוצות, יתעצם, ושההתקפות שלהן תתרחבו לתחומים נוספים מעבר לנושא הפלסטיני".
מידע נוסף על המחקר והקבוצה -
כאן ו
כאן.
עדכון 28.4.19: עוד על הקבוצה באתר ה-CERT הלאומי -
כאן.