Facebook Linkedin Twitter Instagram Youtube Telegram

SneakyPastes: operación básica pero efectiva con objetivos en 39 países relacionados con Oriente Medio

En 2018, Gaza Cybergang, que comprende varios grupos con diferentes niveles de sofisticación, lanzó una campaña de ciberespionaje contra usuarios y organizaciones con intereses políticos en Oriente Medio.

La campaña, llamada SneakyPastes, utilizó direcciones de correo desechables para extender la infección mediante phishing y descargar el malware en varias etapas encadenadas y desde múltiples sitios gratuitos. Esta aproximación efectiva y de bajo coste permitió al grupo afectar a unas 240 víctimas de alto nivel en 39 países, incluyendo desde entidades políticas, diplomáticas, y medios de comunicación hasta ONGs, entre otros. Kaspersky Lab compartió su investigación con las autoridades policiales, originando el desmantelamiento de una parte importante de la infraestructura de ataque.

Gaza Cybergang es un colectivo de habla árabe, motivado políticamente, formado por grupos de amenazas interrelacionados que suelen atacar objetivos principalmente en Oriente Medio y Norte de África, con un interés especial en los territorios palestinos. Kaspersky Lab ha identificado al menos a tres grupos de este colectivo, con motivaciones y objetivos parecidos, el ciberespionaje con intereses políticos de Oriente Medio-, pero con herramientas, técnicas y niveles de sofisticación muy diferentes. Hay un elemento que comparten y se solapa entre ellos.

Entre estos grupos se encuentran algunos de los más avanzados, como Operation Parliament y Desert Falcons, conocidos desde 2018 y 2015 respectivamente, y también uno crucial pero menos complejo, conocido como MoleRats, activo desde al menos 2012. En la primavera de 2018, este último grupo lanzó la operación SneakyPastes.

SneakyPastes empezó con ataques de phishing de temática política, difundidos utilizando direcciones de correo electrónico y dominios efímeros de un solo uso. Los enlaces maliciosos, o los archivos adjuntos en los que se hizo clic, procedieron después a infectar el dispositivo víctima.

Para evitar la detección y ocultar la ubicación del servidor de comando y control, en los dispositivos de las víctimas se descargaba un malware adicional en etapas sucesivas, utilizando sitios gratuitos como Pastebin y Github. Los diferentes implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para garantizar la resiliencia y su persistencia en los sistemas infectados. La etapa final de la intrusión era un troyano de acceso remoto que, tras contactar con su servidor de control, procedía a recopilar, comprimir, cifrar y subir una gran variedad de hojas de cálculo y documentos robados. El nombre SneakyPastes se deriva del uso intensivo de “paste sites” para implantar progresivamente herramientas de control remoto (RAT) en los sistemas víctimas.

Los analistas de Kaspersky Lab trabajaron en colaboración con la policía para descubrir el ciclo completo de ataques e intrusiones de la operación SneakyPastes. Estos esfuerzos no solo han dado como resultado una comprensión detallada de las herramientas, técnicas, objetivos y otros, sino también en el desmantelamiento de una parte importante de la infraestructura.

La operación SneakyPastes tuvo su punto de máxima actividad entre abril y mediados de noviembre de 2018, centrándose en una pequeña lista de objetivos que incluía desde entidades diplomáticas y gubernamentales y ONGs hasta medios de comunicación. Gracias al uso de la telemetría de Kaspersky Lab y de otros medios, se han identificado cerca de 240 víctimas individuales y corporativas relevantes en 39 países de todo el mundo; aunque la mayoría se encuentra en los territorios palestinos, Jordania, Israel y Líbano. Entre las víctimas se pueden encontrar delegaciones diplomáticas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, sanitarias y empresas constructoras.

“El descubrimiento de Desert Falcons en 2015 marcó un punto de inflexión en el panorama de amenazas, al ser la primera APT de lengua árabe identificada. Ahora sabemos que su matriz, Gaza Cybergang, ha estado desde 2012 atacando activamente objetivos en Oriente Medio, gracias a la actividad de un grupo poco sofisticado pero implacable, y que en 2018 lanzó la operación SneakyPastes. SneakyPastes demuestra que la falta de infraestructura y herramientas avanzadas no es un obstáculo para el éxito. Esperamos que el daño causado por los tres grupos de Gaza Cybergang siga intensificándose y que los ataques se extiendan a otras regiones que también están vinculadas a la cuestión palestina», afirma Amin Hasbini, responsable del Centro de Investigación de Próximo Medio, Equipo de Análisis e Investigación Global (GReAT) en Kaspersky Lab.

Todos los productos de Kaspersky Lab detectan y bloquean con éxito esta amenaza,

Para evitar ser víctimas de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:

  • Utilizar herramientas avanzadas de seguridad como Kaspersky Anti Targeted Attack Platform (KATA) y asegurarse que todo el equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas.
  • Actualizar regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
  • Seleccionar una solución de seguridad probada, como Kaspersky Endpoint Security que, para una mejor protección frente amenazas conocidas y desconocidas -incluidos exploits-, dispone de funciones de detección basadas en comportamiento.
  • Concienciar a los empleados de la organización de las medidas de protección básicas a seguir, sobre todo cuando muchos de los ataques utilizan phishing y otras técnicas de ingeniería social.

En Securelist.hay un informe disponible sobre la operación SneakyPastes de Gaza Cybergang

Picture of Vicente Ramírez

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.