Seguridad TI, Tendencias

Es descubierta campaña de ciberespionaje SneakyPastes con objetivos en 39 países

En 2018, Gaza Cybergang, que comprende varios grupos con diferentes niveles de sofisticación, lanzó una campaña de ciberespionaje contra usuarios y organizaciones con intereses políticos en el Medio Oriente.

La campaña, llamada SneakyPastes, utilizó direcciones de correo desechables para propagar la infección mediante phishing y descargar el malware en varias etapas y desde múltiples sitios gratuitos.

Esta táctica efectiva y de bajo costo permitió al grupo afectar a unas 240 víctimas de alto nivel en 39 países, incluyendo desde entidades políticas, diplomáticas, y medios de comunicación hasta ONGs, entre otros.

Kaspersky Lab compartió su investigación con las autoridades policiales, originando el desmantelamiento de una parte importante de la infraestructura de ataque.

Gaza Cybergang es un colectivo de habla árabe, motivado políticamente, formado por grupos de amenazas interrelacionados que suelen atacar objetivos principalmente en el Medio Oriente y Norte de África, con un interés especial en los territorios palestinos.

Kaspersky Lab ha identificado al menos a tres grupos de este colectivo, con motivaciones y objetivos parecidos, el ciberespionaje con intereses políticos del Medio Oriente-, pero con herramientas, técnicas y niveles de sofisticación muy diferentes. Hay un elemento que comparten y se solapa entre ellos.

Entre estos grupos se encuentran algunos de los más avanzados, como Operation Parliament y Desert Falcons, conocidos desde 2018 y 2015 respectivamente, y también uno crucial pero menos complejo, conocido como MoleRats, activo desde al menos 2012. En la primavera de 2018, este último grupo lanzó la operación SneakyPastes.

SneakyPastes empezó con ataques de phishing de temática política, difundidos utilizando direcciones de correo electrónico y dominios efímeros de un solo uso. Los enlaces maliciosos, o los archivos adjuntos en los que se hizo clic, procedieron después a infectar el dispositivo víctima.

Para evitar la detección y ocultar la ubicación del servidor de comando y control, en los dispositivos de las víctimas se descargaba un malware adicional en etapas sucesivas, utilizando sitios gratuitos como Pastebin y Github. Los diferentes implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para garantizar la resiliencia y su persistencia en los sistemas infectados.

La etapa final de la intrusión era un troyano de acceso remoto que, tras contactar con su servidor de control, procedía a recopilar, comprimir, cifrar y subir una gran variedad de hojas de cálculo y documentos robados.

El nombre SneakyPastes se deriva del uso intensivo de “paste sites” para implantar progresivamente herramientas de control remoto (RAT) en los sistemas víctimas.

Los analistas de Kaspersky Lab trabajaron en colaboración con la policía para descubrir el ciclo completo de ataques e intrusiones de la operación SneakyPastes.

Estos esfuerzos no solo han dado como resultado una comprensión detallada de las herramientas, técnicas, objetivos y otros, sino también en el desmantelamiento de una parte importante de la infraestructura.

La operación SneakyPastes tuvo su punto de máxima actividad entre abril y mediados de noviembre de 2018, centrándose en una pequeña lista de objetivos que incluía desde entidades diplomáticas y gubernamentales y ONGs hasta medios de comunicación.

Gracias al uso de la telemetría de Kaspersky Lab y de otros medios, se han identificado cerca de 240 víctimas individuales y corporativas relevantes en 39 países de todo el mundo; aunque la mayoría se encuentra en los territorios palestinos, Jordania, Israel y Líbano.

Entre las víctimas se pueden encontrar delegaciones diplomáticas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, sanitarias y empresas constructoras.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>