«Лаборатория Касперского» раскрыла кампанию кибершпионажа, организованную политически мотивированной арабоязычной группировкой Gaza, которая действует на Ближнем Востоке и в Северной Африке. Кампания, проявившая наибольшую активность в апреле-ноябре 2018 года, оказалась весьма эффективной, несмотря на то что для её проведения использовались довольно простые и недорогие инструменты: заражение происходило путём фишинговой рассылки. Жертвами кампании стали около 240 людей и организаций в 39 странах, имеющих политические интересы на Ближнем Востоке, в том числе правительственные ведомства, политические партии, посольства, дипломатические представительства, информационные агентства, образовательные и медицинские учреждения, банки, подрядные организации, гражданские активисты и журналисты. Наибольшее число атакованных находится на Палестинских территориях, в Иордании, Израиле и Ливане.

Данная кампания получила название SneakyPastes — от английских глаголов paste (вставить текст из буфера) и sneak (незаметно проскользнуть), поскольку злоумышленники активно использовали сайты, позволяющие быстро распространять текстовые файлы, такие как веб-сервисы Pastebin и GitHub, чтобы тайком протащить в систему жертвы троянец для удалённого доступа. Этот зловред связывался с командным сервером, а затем объединял, сжимал, зашифровывал и отправлял широкий спектр украденных документов.

За проведением этой кампании стоит кибергруппировка Gaza, куда входит еще три группы атакующих — Operation Parliament, известная с 2018 года, Desert Falcons, известная с 2015 года, и MoleRats, начавшая свою деятельность не позднее 2012 года. Все они преследуют сходные цели, но используют для их достижения разные инструменты и техники, которыми частично делятся друг с другом.

«Лаборатория Касперского» предоставила результаты своего расследования правоохранительным органам, что помогло им ликвидировать значительную часть инфраструктуры, использованной злоумышленниками для проведения атак.

«Обнаружение в 2015 году Desert Falcons изменило представление о ландшафте киберугроз, так как они стали первой известной арабоговорящей APT-группировкой. Теперь мы знаем, что она является частью более крупной кибербанды Gaza, которая активно действует на Ближнем Востоке с 2012 года и в 2018 году провела операцию SneakyPastes. Эта операция показала, что нехватка изощрённых инструментов не мешает злоумышленникам проводить успешные атаки. Мы предполагаем, что ущерб, причиняемый кибербандой Gaza, будет расти и что в дальнейшем эта группировка проявит себя и в других регионах, также имеющих интересы в Палестине», — говорит Амин Хасбини, руководитель ближневосточного исследовательского центра «Лаборатории Касперского».

Все продукты «Лаборатории Касперского» успешно детектируют и блокируют эту угрозу.

Чтобы не стать жертвой целевых атак, «Лаборатория Касперского» рекомендует компаниям: использовать продвинутые защитные средства, такие как Kaspersky Anti Targeted Attack Platform, и предоставить сотрудникам ИБ-отделов доступ к самой актуальной информации о киберугрозах; убедиться, что всё ПО, используемое в организации, регулярно обновляется, особенно когда выпускаются новые патчи: помочь автоматизировать эти процессы могут защитные решения с функциями оценки уязвимостей и управления патчами; выбрать для эффективной защиты от известных и неизвестных угроз, включая эксплойты, надёжное защитное решение с возможностями обнаружения киберугроз, основанными на поведенческом анализе, такое как Kaspersky Endpoint Security; убедиться, что сотрудники обладают базовыми знаниями в области кибербезопасности, поскольку для совершения целевых атак злоумышленники часто используют фишинг и другие методы социальной инженерии.