Το 2018, η Gaza Cybergang, η οποία σήμερα είναι γνωστό ότι αποτελείται από πολλές ομάδες διαφορετικής πολυπλοκότητας, ξεκίνησε μια επιχείρηση ψηφιακής κατασκοπείας, με στόχο άτομα και οργανισμούς πολιτικού ενδιαφέροντος για τη Μέση Ανατολή. Η εκστρατεία με το όνομα SneakyPastes, χρησιμοποίησε διευθύνσεις email μίας χρήσης για να εξαπλώσει τη “μόλυνση” μέσω phishing, προτού πραγματοποιήσει λήψη του κακόβουλου λογισμικού σε αλυσιδωτά στάδια χρησιμοποιώντας πολλαπλούς δωρεάν ιστότοπους.
Αυτή η χαμηλού κόστους αλλά αποτελεσματική προσέγγιση βοήθησε την ομάδα να χτυπήσει περίπου 240 θύματα υψηλού προφίλ σε 39 χώρες παγκοσμίως (με την πλειονότητα να βρίσκεται στα Παλαιστινιακά Εδάφη, την Ιορδανία, το Ισραήλ και τον Λίβανο), συμπεριλαμβανομένων πολιτικών, διπλωματικών και ακτιβιστικών φορέων, καθώς και ΜΜΕ μεταξύ άλλων.
Η έρευνα της Kaspersky Lab, η οποία κοινοποιήθηκε στις διωκτικές αρχές, είχε ως αποτέλεσμα την κατάργηση ενός σημαντικού μέρους της υποδομής των επιτιθέμενων.
Η Gaza Cybergang είναι ένα αραβόφωνο, πολιτικά υποκινούμενο σύνολο αλληλένδετων απειλητικών φορέων, που στοχεύουν ενεργά στη Μέση Ανατολή και τη Βόρεια Αφρική, με ιδιαίτερη έμφαση στα Παλαιστινιακά Εδάφη. Η Kaspersky Lab έχει εντοπίσει τουλάχιστον τρεις ομάδες εντός της συμμορίας, με παρόμοιους στόχους και συμφέροντα – ψηφιακή κατασκοπεία που σχετίζεται με πολιτικά συμφέροντα της Μέσης Ανατολής - αλλά πολύ διαφορετικά εργαλεία, τεχνικές και επίπεδα πολυπλοκότητας. Υπάρχει ένα στοιχείο κοινής χρήσης και επικάλυψης μεταξύ τους.
Στις ομάδες περιλαμβάνονται οι πιο εξελιγμένες Operation Parliament και Desert Falcons, γνωστές από το 2018 και το 2015 αντίστοιχα, όπως και μια υποστηρικτική, λιγότερο περίπλοκη ομάδα, γνωστή και ως MoleRats, η οποία δραστηριοποιείται τουλάχιστον από το 2012. Την άνοιξη του 2018, αυτή η βασική ομάδα δημιούργησε την επιχείρηση SneakyPastes.
Η SneakyPastes ξεκίνησε με επιθέσεις phishing πολιτικού χαρακτήρα, που εξαπλώθηκαν με τη χρήση διευθύνσεων email και domain μίας χρήσης. Κακόβουλοι σύνδεσμοι ή συνημμένα που είτε κλικαρίστηκαν είτε κατέβηκαν στη συσκευή του χρήστη, εγκατέστησαν τη «μόλυνση» στην εκάστοτε συσκευή.
Προκειμένου να αποφευχθεί η ανίχνευση και να επιτευχθεί η απόκρυψη της θέσης του command and control server, πρόσθετο κακόβουλο λογισμικό κατέβηκε στις συσκευές θύματος σε αλυσιδωτά στάδια χρησιμοποιώντας έναν αριθμό δωρεάν ιστοσελίδων, συμπεριλαμβανομένων των Pastebin και Github.
Τα διάφορα κακόβουλα εμφυτεύματα χρησιμοποίησαν το PowerShell, το VBS, το JS και το dotnet για να εξασφαλίσουν ανθεκτικότητα και επιμονή στα «μολυσμένα» συστήματα. Το τελευταίο στάδιο της εισβολής ήταν ένα Trojan Remote Access, το οποίο ήρθε σε επαφή με τον command and control server και στη συνέχεια συγκέντρωσε, συμπίεσε, κρυπτογράφησε και ανέβασε σε αυτόν ένα ευρύ φάσμα κλεμμένων εγγράφων και υπολογιστικών φύλλων. Το όνομα SneakyPastes προέρχεται από την έντονη χρήση ιστοσελίδων επικόλλησης από τους επιτιθέμενους για να γλιστρήσουν σταδιακά το RAT στα συστήματα των θυμάτων.
Οι ερευνητές της Kaspersky Lab συνεργάστηκαν με τις διωκτικές αρχές για να αποκαλύψουν τον πλήρη κύκλο επίθεσης και εισβολής για την επιχείρηση SneakyPastes. Αυτές οι προσπάθειες οδήγησαν όχι μόνο σε μια λεπτομερή κατανόηση των εργαλείων, τεχνικών, στόχων και άλλων πολλών, αλλά στην πραγματική κατάργηση ενός σημαντικού μέρους της υποδομής.
«Η ανακάλυψη των Desert Falcons το 2015 σηματοδότησε ένα σημείο καμπής στο απειλητικό τοπίο, καθώς έγινε η πρώτη γνωστή πλήρως αραβόφωνη ομάδα τύπου APT. Γνωρίζουμε τώρα ότι η Gaza Cybergang στοχεύει ενεργά τα συμφέροντα της Μέσης Ανατολής από το 2012, αρχικά βασιζόμενη κυρίως στις δραστηριότητες μιας αρκετά απλής, αλλά αμείλικτης ομάδας - της ομάδας που το 2018 ξεκίνησε την επιχείρηση SneakyPastes. Η SneakyPastes δείχνει ότι η έλλειψη υποδομής και προηγμένων εργαλείων δεν αποτελεί εμπόδιο στην επιτυχία. Αναμένουμε οι ζημίες που πραγματοποιήθηκαν και από τις τρεις ομάδες της Gaza Cybergang να ενταθούν και οι επιθέσεις να επεκταθούν και σε άλλες περιοχές που συνδέονται επίσης με παλαιστινιακά ζητήματα», δήλωσε ο Amin Hasbini, επικεφαλής του Κέντρου Ερευνών στη Μέση Ανατολή, Global Research and Analysis Team (GReAT) Kaspersky Lab.