Alrededor de 240 personas de alto perfil en 39 países de todo el mundo se han convertido en víctimas de un ataque de ciberespionaje de APT, dirigido por una organización apodada el Cybergang de Gaza que comprende varios grupos de diversa sofisticación.
Entre los damnificados, que fueron blanco de ataques, durante 2018, se incluyen entidades políticas, diplomáticas, mediáticas y activistas, según la investigación de Kaspersky Lab presentada en la Cumbre de Analistas de Seguridad (SAS) 2019 de esta semana en Singapur. Todos ellos compartían una cosa en común: un interés en la política de Oriente Medio.
“El Cybergang de Gaza es un colectivo de habla árabe, políticamente motivado, de grupos amenazantes interrelacionados que atacan activamente el Medio Oriente y el Norte de África, con un enfoque particular en los Territorios Palestinos”, dijo la firma en un análisis compartido con Threatpost antes de una presentación sobre el tema en la feria. “Kaspersky Lab ha identificado al menos tres grupos dentro de la banda, con objetivos y metas similares -el ciberespionaje relacionado con los intereses políticos de Oriente Medio- pero con herramientas, técnicas y niveles de sofisticación muy diferentes. Hay un elemento de compartir y superposición entre ellos.”
Los grupos involucrados incluyen la Operación Parlamento más avanzada (vista por primera vez el año pasado) y los Halcones del Desierto; así como un grupo menos complejo conocido como MoleRats que ha existido desde por lo menos 2012. Kaspersky Lab dijo que el descubrimiento de los Halcones del Desierto en 2015 marcó un punto de inflexión en el panorama de las amenazas, ya que entonces era la primera APT conocida de habla árabe.
“Ahora sabemos que su padre, Gaza Cybergang, ha estado dirigiéndose activamente a los intereses de Oriente Medio desde 2012, confiando inicialmente en las actividades de un equipo poco sofisticado pero implacable”, dijo Amin Hasbini, jefe del Centro de Investigación de Oriente Medio del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky Lab, en el informe.
Los investigadores de Kaspersky Lab, que llamaron a la campaña SneakyPastes, dijeron que comenzó hace un año, haciendo uso de direcciones de correo electrónico desechables para propagar la infección a través de mensajes de phishing con temas políticos. Los correos tenían enlaces o archivos adjuntos maliciosos. Curiosamente, para evitar la detección y ocultar la ubicación del servidor de mando y control (C2), SneakyPastes también empleó un enfoque de bajo coste pero eficaz que implicaba la descarga de spyware en etapas encadenadas utilizando múltiples sitios libres como Pastebin y Github, dando a la operación su nombre. Poco a poco “esconde” el malware en el ordenador al que va dirigido utilizando este tipo de sitios de pegado.
La operación SneakyPastes fue más activa entre abril y mediados de noviembre de 2018, centrándose en una lista específica de objetivos. La mayoría de las víctimas se encuentran en los territorios palestinos (211 de ellas), con otros grupos en Jordania, Israel y el Líbano. Los partidos políticos y los centros de investigación constituyeron la mayoría de los objetivos.
“Entre las víctimas se encontraban embajadas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, sanitarias y de contratación”, declararon voceros de Kaspersky Lab.
Según el análisis, la investigación se compartió con las fuerzas del orden y ha dado como resultado el desmantelamiento de una parte significativa de la infraestructura de ataque. Pero el peligro de las SneakyPastes está lejos de haber terminado, en la opinión de los investigadores.
“Esta operación demuestra que la falta de infraestructura y de herramientas avanzadas no es un impedimento para el éxito. Esperamos que se intensifiquen los daños causados por los tres grupos Cybergang de Gaza y que los ataques se extiendan a otras regiones que también están vinculadas a cuestiones palestinas”, dijo Hasbini.
Con información de: Alta Densidad.