כנופיית הסייבר Gaza Team הפועלת באזור המזרח התיכון ואפריקה משדרגת את מערך הכלים שלה עם כלי פריצה וריגול כנגד אנדרואיד

מומחי מעבדת קספרסקי זיהו שינויים חשובים בפעילות של כנופיית הסייבר המוכרת Gaza Team, אשר פועלת כנגד מגוון ארגונים מסחריים וגופי ממשל באזור המזרח התיכון ואפריקה (MENA). הקבוצה אומנם נוכחת באופק האיומים כבר מספר שנים, אך במהלך החודשים האחרונים התברר כי היא שדרגה את ארסנל הנשק שלה עם כלים זדוניים חדשים.

כנופיית הסייבר Gaza Team התקיפה שגרירויות, דיפלומטים ופוליטיקאים, וכן ארגוני גז ונפט ומדיה באזור המזרח התיכון ואפריקה על בסיס קבוע מאז 2012. ב-2015, דיווחו חוקרי מעבדת קספרסקי על פעילות הכנופיה אחרי שזיהו שינוי משמעותי בתבנית הפעילות הזדונית שלה. אז זוהו התוקפים כשהם תוקפים מערכות מחשוב וצוותי תגובה לאירועים, בניסיון להשיג גישה לכלים חוקיים לביצוע הערכת אבטחה, במטרה למזער את החשיפה שלהם ברשתות המותקפות. באחרונה, זיהו חוקרי מעבדת קספרסקי זינוק חדש בפעילות כנופיית הסייבר.

פרופיל המטרות והאזור הגיאוגרפי נותרו ללא שינוי גם בהתקפות חדשות אלה, אבל היקף הפעילות של Gaza Team התרחב. התוקפים זוהו כשהם מחפשים מודיעין באזור המזרח התיכון, דבר שלא נראה בעבר. חשוב מכך, כלי ההתקפה הפכו למתוחכמים יותר – הקבוצה פיתחה מסמכי פישינג גיאופוליטיים ממוקדים (הנוגעים למשל לשביתת הרעב של אסירי הרשות בבתי כלא בישראל או ממצאים על שלטון החמאס בעזה) המשמשים כדי לשאת את הקוד הזדוני אל היעד, והיא משתמשת בכלי פריצה עבור פרצות עדכניות יחסית, כגון CVE 2017-0199 ב- Access של מיקרוסופט, ואפילות בתוכנות ריגול לאנדרואיד.

התוקפים מבצעים את הפעילות הזדונית שלהם באמצעות שליחת דואר אלקטרוני המכיל RAT (Remote Access Trojans) שונים בתוך מסמכי אופיס מזויפים או בקישורים לעמודים זדוניים. כאשר אלה מופעלים, הקורבן נדבק בקוד זדוני שלאחר מכן מאפשר לתוקפים לאסוף קבצים, הקלדות וצילומי מסך ממכשירי הקורבן. אם הקורבן מזהה את הקוד הזדוני אשר יורד למחשב, תוכנת ההורדה מנסה להתקין קבצים אחרים על מכשיר הקורבן בניסיון לעקוף את הזיהוי.

חקירת המשך של מעבדת קספרסקי העלתה את האפשרות של שימוש בקוד זדוני נייד: חלק משמות הקבצים שנמצאו במהלך ניתוח הפעילות של Gaza Team נראה קשור לטרויאני לאנדרואיד. שדרוגים אלה בטכניקות ההתקפה מאפשרים ל- Gaza Team לעקוף פתרונות אבטחה ולשהות במערכת הקורבן לתקופות ממושכות.
"הפעילות המתמשכת של Gaza Team, שאנו עוקבים אחריה כבר מספר שנים, מראה כי המצב באזור המזה"ת רחוק מלהיות בטוח בכל הנוגע לאיומי ריגול סייבר. בעקבות שדרוגים משמעותיים בטכניקות של הקבוצה, אנו צופים התחזקות באיכות ובכמות של התקפות Gaza Team בעתיד הקרוב. אנשים וארגונים הפועלים בגבולות הגזרה נדרשים להיזהר יותר ברשת", אמר דיוויד אם, מומחה אבטחה במעבדת קספרסקי.

כדי להימנע מליפול קורבן להתקפות אלה, חוקרי מעבדת קספרסקי ממליצים להטמיע את האמצעים הבאים:
– תרגול של הצוות בזיהוי הודעות דואר אלקטרוני הכוללות פישינג ממוקד או קישורי פישינג המופיעים בהודעות דואר אלקטרוני רגילות.
– שימוש בפתרון אבטחת נקודות קצה המתאים לארגונים, בשילוב עם הגנה ייעודית כנגד איומים מתקדמים, כגון פלטפורמת Kaspersky Anti Targeted Attack, אשר מסוגלת ללכוד התקפות באמצעות ניתוח אנומליה ברשת.
– לספק לצוות האבטחה גישה למודיעין האיומים העדכני ביותר, אשר יחמש אותו בכלים למחקר ומניעה של התקפות ממוקדות, כגון חוקי YARA וסממנים לפריצה – ICO.

דילוג לתוכן