نشست SAS 2019 تلاش‌های پیچیده گروه سایبری غزه

به گزارش کارگروه بین‌الملل سایبربان؛ برخی رسانه‌های جهان، اخیراً مدعی شده‌اند که حدود 240 نفر، در 39 کشور دنیا، قربانیان یک حمله جاسوسی سایبری، به رهبری سازمانی به نام گروه سایبری غزه بوده‌اند.

طبق تحقیقات ارائه‌شده ازسوی آزمایشگاه کسپرسکی، در نشست تحلیل امنیتی (SAS 2019) در سنگاپور، قربانیان –که همگی در طول سال گذشته، هدف قرارگرفته‌اند– شامل نهادهای سیاسی، دیپلماتیک و رسانه‌ای فعال بوده‌اند. همه گروه‌های یادشده، در سیاست‌های آسیای غربی، منافعی داشته‌اند.

این شرکت، در تجزیه‌وتحلیل مشترک با «Threatpost»، پیش از ارائه مطلب در نشست امسال گفت:

باند سایبری غزه، یک گروه تهدید ترکیبی عربی، با انگیزه سیاسی است که منطقه خاورمیانه و آفریقای شمالی را هدف قرار می‌دهد و تمرکز ویژه‌ای بر سرزمین‌های اشغالی دارد. آزمایشگاه کسپرسکی، حداقل 3 گروه را در این باند با هدف مشترک جاسوسی مرتبط با منافع سیاسی این منطقه شناسایی کرد که ابزارها، تکنیک‌ها و سطوح پیچیدگی متفاوتی دارند. عنصر به اشتراک‌گذاری و همپوشانی در میان آن‌ها، به‌صورت مشترک وجود دارد.

گروه‌ها شامل پارلمان عملیاتی پیشرفته‌تر -که اولین بار در سال گذشته مشاهده شد- شاهین‌های صحرا و یک مجموعه با پیچیدگی کمتر به نام «MoleRats» بودند که از سال 2012 به بعد شناخته شدند. آزمایشگاه کسپرسکی اعلام کرد که کشف فالکون‌های کویر در سال 2015، نقطه عطفی در چشم‌انداز تهدید بود؛ زیرا بعدها به عنوان اولین گروه APT کاملاً عربی شناخته شد.

امین حسبینی (Amin Hasbini)، رئیس مرکز تحقیقاتی غرب آسیا در تیم جهانی تحقیق و تحلیل آزمایشگاه کسپرسکی (GReAT) در گزارشی اظهار داشت:

اکنون ما می‌دانیم که باند سایبری غزه، از سال 2012، منافع خاورمیانه را هدف قرار داده و در ابتدا بیشتر روی فعالیت‌های یک تیم غیرپیچیده؛ اما بی‌رحم تکیه داشته است.

به گفته محققان آزمایشگاه کسپرسکی -که این کمپین را «SneakyPastes» نام نهادند- گروه کارشان را بهار گذشته با استفاده از ایمیل‌های یک‌بارمصرف، برای گسترش آلودگی از طریق پیام‌های فیشینگ، با مضمون سیاسی تشکیل دادند. ایمیل‌ها، حاوی لینک‌ها، یا پیوست‌های مخرب بودند. به منظور جلوگیری از شناسایی و مخفی کردن موقعیت سرور فرماندهی و کنترل (C2)، پویش یادشده، از یک رویکرد مؤثر کم‌هزینه شامل دانلود نرم‌افزارهای جاسوسی در مراحل پشت سرهم به کمک چندین سایت رایگان مانند: «Pastebin» و «Github» استفاده کرد و نام خود را روی عملیات گذاشت. به‌تدریج این بدافزار، به کمک سایت‌ها وارد کامپیوتر هدف شد.

محققان در تحلیل خود توضیح دادند:

کاشت‌های مختلف ویرانگر، از «PowerShell»، «VBS»، «JS» و دات‌نت، برای انعطاف‌پذیری و پایداری ایمن در سیستم‌های آلوده استفاده کردند. مرحله نهایی نفوذ، یک تروجان دسترسی از راه دور (RAT) بود که ارتباط با سرور فرماندهی و کنترل را میسر و مجموعه اسناد به سرقت رفته را جمع‌آوری، فشرده‌سازی، رمزگذاری و آپلود می‌کرد.

عملیات SneakyPastes، بین آوریل، تا اواسط نوامبر سال گذشته، بسیار فعال بود و روی اهداف خاصی تمرکز داشت. اکثر قربانیان (211 نفر) در محدوده فلسطین بودند و بقیه در اردن، سایر سرزمین‌های اشغالی و لبنان قرار داشتند. احزاب سیاسی، سیاستمداران و همچنین مراکز تحقیقاتی، اکثریت اهداف را تشکیل می‌دادند.

آزمایشگاه کسپرسکی خاطرنشان کرد:

قربانیان شامل سفارتخانه‌ها، نهادهای دولتی، رسانه‌ها و روزنامه‌نگاران، فعالان، احزاب و افراد سیاسی و همچنین آموزش‌وپرورش، بانکداری، خدمات بهداشتی و سازمان‌های قراردادی بودند.

براساس تجزیه‌وتحلیل انجام شده، این تحقیق، با اجرای قانون، به اشتراک گذاشته و منجر به تخریب بخش قابل‌ توجهی از زیرساخت‌های حمله شد؛ اما به اعتقاد محققان، خطر SneakyPastes بسیار زیاد است.

حسبینی افزود:

این عملیات نشان می‌دهد که کمبود زیرساخت و ابزارهای پیشرفته، مانع موفقیت نمی‌شود. ما انتظار داریم که 3 گروه باند سایبری غزه، آسیب‌ها را تشدید کنند و حملات در دیگر مناطق مرتبط با مسائل فلسطین افزایش یابند.