Polityka i prawo
Palestyńscy i egipscy urzędnicy pod czujnym okiem cyberprzestępców
„Zidentyfikowano aktywną kampanię szpiegowską wykorzystującą trzy wcześniej niezidentyfikowane warianty złośliwego oprogramowania, które używają Facebooka, Dropbox, Google Docs i Simplenote do dowodzenia i kontroli oraz wykradania danych od celów na Bliskim Wschodzie” – poinformował zespół Cybereason Nocturnus.
Obecna kampania ma związek z działaniami grupy „Molerats” znanej również pod nazwą „The Gaza Cybergang”. Zdaniem ekspertów Cybereason jest to arabskojęzyczna grupa motywowana politycznie, która prawdopodobnie działa od 2012 roku. Obecnie wykryta operacja ma związek z obserwowaniem działalności grupy od lutego 2020 roku, kiedy to ogłoszono wykrycie działań przeciwko palestyńskim urzędnikom, poprzez wykorzystanie backdorów o egzotycznych nazwach Spark i … Pierogi.
Kampania phishingowa w celu zwabienia potencjalnych ofiar wykorzystywała bardzo newralgiczne tematy związane z bieżącymi wydarzeniami na Bliskim Wschodzie. Potencjalne ofiary były kuszone informacjami, które nawiązywały do zagadnień stosunków izraelsko-saudyjskich, wyborów oraz wydarzeń regionalnych.
Biorąc pod uwagę charakter wykorzystywanych do ataków treści phinshingowych, eksperci przewidują, że cyberprzestępcy starają się dotrzeć do wysokiej rangi polityków i urzędników. Jak czytamy w raporcie, zidentyfikowanym obszarem zainteresowania grupy były głównie terytorium Palestyny, Zjednoczonych Emiratów Arabskich, Egipt i Turcja.
Grupa wykorzystywała dwa dotychczas nieznane backdoory o nazwie SharpStage, DropBook oraz program do pobierania danych nazwany MoleNet. W swojej działalności hakerzy posługiwali się popularnymi serwisami jak Facebook i Dropbox, aby ukryć swoją działalności oraz pozyskiwać dane. Sztandarowy serwis Marka Zuckerberga był wykorzystywany do koordynowania działalności natomiast Dropbox do przechowywania swoich narzędzi i przechwyconych danych.
Operacje phishingowe są częstym sposobem działania cyberprzestępców. Na początku grudnia informowaliśmy o globalnej operacji ukierunkowanej na instytucje związane z łańcuchem chłodniczym przygotowywanej szczepionki na Covid-19 na trop której wpadło IBM. W pierwszej kolejności starano się podszyć pod dyrektora biznesowego Haier Biomedical - jednej z firm dostarczającej rozwiązania do stworzenia łańcucha dostaw. „Przebrani” za przedstawiciela realnie funkcjonującego przedsiębiorstwa cyberprzestępcy rozsyłali wiadomości phishingowe sugerujące, że pochodzą one od dobrze znanej i cenionej firmy.
W listopadzie informowaliśmy o kampanii, gdzie wykorzystano usługę Dysk Google jako platformę do udostępniania zainfekowanych plików. W wypadku tej operacji rozsyłane były przez hakerów e-maile oraz powiadomienia, które miały rzekomo pochodzić bezpośrednio od Google. W ten sposób hakerzy chcieli zachęcić ofiary do interakcji i zaangażowania się we „współpracę” nad udostępnianymi dokumentami.
Ciekawym sposobem działania cyberprzestępców była operacja, w ramach której podszywano się pod dwie konferencje: Monachijską Konferencję Bezpieczeństwa oraz The Think 20 (T20) Summit odbywającą się w Arabii Saudyjskiej. Cyberprzestępcy drogą mailową wysyłali potencjalnym uczestnikom zaproszenia do udziału w tych wydarzeniach. Wiadomości zostały skierowane do byłych urzędników rządowych, ekspertów politycznych, naukowców i liderów organizacji pozarządowych. Cyberprzestępcy wykazywali się dużą empatią i z uwagi na pandemię koronawirusa oferowali możliwość uczestnictwa w wydarzeniu online. Po zdobyciu zaufania ofiary poprzez wymianę maili, celem działań phishingowych przestępców było przejęcie danych logowania do skrzynek mailowych.