نشست SAS 2019 تلاشهای پیچیده گروه سایبری غزه
به گزارش کارگروه بینالملل سایبربان؛ برخی رسانههای جهان، اخیراً مدعی شدهاند که حدود 240 نفر، در 39 کشور دنیا، قربانیان یک حمله جاسوسی سایبری، به رهبری سازمانی به نام گروه سایبری غزه بودهاند.
طبق تحقیقات ارائهشده ازسوی آزمایشگاه کسپرسکی، در نشست تحلیل امنیتی (SAS 2019) در سنگاپور، قربانیان –که همگی در طول سال گذشته، هدف قرارگرفتهاند– شامل نهادهای سیاسی، دیپلماتیک و رسانهای فعال بودهاند. همه گروههای یادشده، در سیاستهای آسیای غربی، منافعی داشتهاند.
این شرکت، در تجزیهوتحلیل مشترک با «Threatpost»، پیش از ارائه مطلب در نشست امسال گفت:
باند سایبری غزه، یک گروه تهدید ترکیبی عربی، با انگیزه سیاسی است که منطقه خاورمیانه و آفریقای شمالی را هدف قرار میدهد و تمرکز ویژهای بر سرزمینهای اشغالی دارد. آزمایشگاه کسپرسکی، حداقل 3 گروه را در این باند با هدف مشترک جاسوسی مرتبط با منافع سیاسی این منطقه شناسایی کرد که ابزارها، تکنیکها و سطوح پیچیدگی متفاوتی دارند. عنصر به اشتراکگذاری و همپوشانی در میان آنها، بهصورت مشترک وجود دارد.
گروهها شامل پارلمان عملیاتی پیشرفتهتر -که اولین بار در سال گذشته مشاهده شد- شاهینهای صحرا و یک مجموعه با پیچیدگی کمتر به نام «MoleRats» بودند که از سال 2012 به بعد شناخته شدند. آزمایشگاه کسپرسکی اعلام کرد که کشف فالکونهای کویر در سال 2015، نقطه عطفی در چشمانداز تهدید بود؛ زیرا بعدها به عنوان اولین گروه APT کاملاً عربی شناخته شد.
امین حسبینی (Amin Hasbini)، رئیس مرکز تحقیقاتی غرب آسیا در تیم جهانی تحقیق و تحلیل آزمایشگاه کسپرسکی (GReAT) در گزارشی اظهار داشت:
اکنون ما میدانیم که باند سایبری غزه، از سال 2012، منافع خاورمیانه را هدف قرار داده و در ابتدا بیشتر روی فعالیتهای یک تیم غیرپیچیده؛ اما بیرحم تکیه داشته است.
به گفته محققان آزمایشگاه کسپرسکی -که این کمپین را «SneakyPastes» نام نهادند- گروه کارشان را بهار گذشته با استفاده از ایمیلهای یکبارمصرف، برای گسترش آلودگی از طریق پیامهای فیشینگ، با مضمون سیاسی تشکیل دادند. ایمیلها، حاوی لینکها، یا پیوستهای مخرب بودند. به منظور جلوگیری از شناسایی و مخفی کردن موقعیت سرور فرماندهی و کنترل (C2)، پویش یادشده، از یک رویکرد مؤثر کمهزینه شامل دانلود نرمافزارهای جاسوسی در مراحل پشت سرهم به کمک چندین سایت رایگان مانند: «Pastebin» و «Github» استفاده کرد و نام خود را روی عملیات گذاشت. بهتدریج این بدافزار، به کمک سایتها وارد کامپیوتر هدف شد.
محققان در تحلیل خود توضیح دادند:
کاشتهای مختلف ویرانگر، از «PowerShell»، «VBS»، «JS» و داتنت، برای انعطافپذیری و پایداری ایمن در سیستمهای آلوده استفاده کردند. مرحله نهایی نفوذ، یک تروجان دسترسی از راه دور (RAT) بود که ارتباط با سرور فرماندهی و کنترل را میسر و مجموعه اسناد به سرقت رفته را جمعآوری، فشردهسازی، رمزگذاری و آپلود میکرد.
عملیات SneakyPastes، بین آوریل، تا اواسط نوامبر سال گذشته، بسیار فعال بود و روی اهداف خاصی تمرکز داشت. اکثر قربانیان (211 نفر) در محدوده فلسطین بودند و بقیه در اردن، سایر سرزمینهای اشغالی و لبنان قرار داشتند. احزاب سیاسی، سیاستمداران و همچنین مراکز تحقیقاتی، اکثریت اهداف را تشکیل میدادند.
آزمایشگاه کسپرسکی خاطرنشان کرد:
قربانیان شامل سفارتخانهها، نهادهای دولتی، رسانهها و روزنامهنگاران، فعالان، احزاب و افراد سیاسی و همچنین آموزشوپرورش، بانکداری، خدمات بهداشتی و سازمانهای قراردادی بودند.
براساس تجزیهوتحلیل انجام شده، این تحقیق، با اجرای قانون، به اشتراک گذاشته و منجر به تخریب بخش قابل توجهی از زیرساختهای حمله شد؛ اما به اعتقاد محققان، خطر SneakyPastes بسیار زیاد است.
حسبینی افزود:
این عملیات نشان میدهد که کمبود زیرساخت و ابزارهای پیشرفته، مانع موفقیت نمیشود. ما انتظار داریم که 3 گروه باند سایبری غزه، آسیبها را تشدید کنند و حملات در دیگر مناطق مرتبط با مسائل فلسطین افزایش یابند.