Farklı seviyelerde birçok gruptan meydana gelen Gaza Cybergang, 2018’de Orta Doğu ile ilgili kişi ve kurumları hedef alan bir siber casusluk operasyonu gerçekleştirdi. SneakyPastes adı verilen operasyonda, zararlı yazılım bulaştırmak için tek kullanımlık e-posta adresleriyle kimlik avı saldırıları düzenlendi ve ardından zararlı yazılımın birçok ücretsiz siteden birbirine bağlı aşamalarla indirilmesi sağlandı. Bu düşük maliyetli fakat etkili yaklaşım sayesinde tüm dünyada 39 ülkeden yüksek profilli 240 kurban hedef alındı. Bunlar arasında politik ve diplomatik kurumlar, medya kuruluşları ve aktivistler yer aldı. Kaspersky Lab’ın emniyet güçleriyle paylaştığı araştırma sonucunda saldırı altyapısının önemli bir bölümü çökertildi.
Benzer politik amaçlara sahip, Arapça konuşan bağlantılı tehdit gruplarından oluşan Gaza Cybergang, Filistin başta olmak üzere Orta Doğu ve Kuzey Afrika’yı aktif bir şekilde hedef alıyor. Kaspersky Lab çete içinde benzer amaçları ve hedefleri paylaşan en az üç grup tespit etti. Orta Doğu’da politik amaçlı siber casusluk yapmayı amaçlayan bu grupların teknik düzeyleri, kullandıkları araçlar ve yöntemler birbirinden epey farklılık gösteriyor. Ancak aralarında bir bilgi ve hedef paylaşımı olduğu görülüyor.
Tespit edilen üç grup arasında, sırasıyla 2018 ve 2015’ten beri bilinen daha gelişmiş Operation Parliament ve Desert Falcons’un yanı sıra en az 2012’den beri etkin olduğu bilinen daha az gelişmiş MoleRats yer alıyor. 2018’de bu temel grup SneakyPastes operasyonunu başlattı.
SneakyPastes operasyonu, tek kullanımlık e-posta adresleri ve alan adları kullanılarak yapılan politik temalı kimlik avı saldırılarıyla başladı. Kurbanların cihazlarına kurulan zararlı yazılım, e-postalardaki kötü amaçlı bağlantılara tıklanarak veya ekteki dosyalardan indirildi.
Tespitten kaçınmak, komut ve kontrol sunucusunun yerini gizlemek için kurbanların cihazlarına ek zararlı yazılımlar da indirildi. Bunlar Pastebin ve Github gibi bazı ücretsiz sitelerden birbirine bağlı aşamalardan geçirilerek halledildi. Kurulan zararlı yazılımlar, bulaştıkları sistemlerde kalıcı olmak için PowerShell, VBS, JS ve dotnet’ten yararlandı. Saldırının en son aşamasında ise bir Uzaktan Erişim Truva Atı kuruluyordu. Bu parça, komut ve kontrol sunucusuyla iletişime geçip çalınan belgeleri ve tabloları sıkıştırıp şifreliyor ve sunucuya yüklüyordu. SneakyPastes adı, saldırganların hedef sistemlere RAT sızdırmak için yapıştırma (paste) sitelerinden yoğun bir şekilde yararlanmasından ileri geliyor.
Kaspersky Lab araştırmacıları SneakyPastes operasyonunun tüm saldırı ve sızma döngüsünü ortaya çıkarmak için emniyet güçleriyle birlikte çalıştı. Bu çalışmalar sonucunda grubun araçları, yöntemleri, hedefleri ve daha fazlası hakkında ayrıntılı bilgiler edinilmesinin yanı sıra saldırı altyapısının da önemli bir kısmı çökertildi.
SneakyPastes operasyonunun en aktif olduğu dönem Nisan- Kasım 2018 oldu. Bu süreçte diplomatik kuruluşlar, devlet kurumları, STK’lar ve medya şirketleri hedef alındı. Kaspersky Lab ölçümleri ve diğer kaynaklardan elde edilen bilgilere göre aralarında Filistin, Ürdün, İsrail ve Lübnan’ın da yer aldığı 39 ülkeden, yüksek profilli 240 kişi ve kurum bu saldırılardan etkilendi. Kurbanlar arasında elçilikler, devlet kurumları, medya kuruluşları, gazeteciler, aktivistler, siyasi partiler ve kişilerin yanı sıra eğitim ve sağlık kurumları, bankalar ve müteahhitler bulunuyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi (GReAT) Orta Doğu Araştırma Merkezi Lideri Amin Hasbini, “Tamamen Arapça konuşan kişilerden oluşan Desert Falcons’un 2015’te keşfedilmesi, bu bölgedeki tehdit unsurlarına bakış açısını değiştirdi.Desert Falcons’un da bir parçası olduğu Gaza Cybergang, 2012’den bu yana Orta Doğu’da birçok kişi ve kurumu hedef alıyor. Basit ama etkili saldırılarda bulunan bu grup 2018’de SneakyPastes operasyonunu başlattı. SneakyPastes operasyonu, başarı için gelişmiş altyapı ve araçların şart olmadığını gösterdi.Gaza Cybergang’in her üç grubu tarafından verilen hasarın daha da yoğunlaşmasını ve Filistin ile ilgili meselelerle bağlantılı olan bölgelere de sıçrayacağını tahmin ediyoruz.” dedi.
Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor.
Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
- Kaspersky Anti Targeted Attack Platform (KATA) gibi gelişmiş güvenlik araçları kullanın ve güvenlik ekibinizin en güncel siber tehdit istihbaratına erişmesini sağlayın.
- Kurumunuzda kullandığınız tüm yazılımları düzenli bir şekilde güncellediğinizden emin olun. Yeni bir güvenlik yaması yayınlandığında bunu hemen kurun. Açık Değerlendirme ve Yama Yönetimi özelliklerine sahip güvenlik çözümleri, bu işlemleri otomatik hale getirmenize yardımcı olur.
- Açıklar da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özellikleriyle donatılan, Kaspersky Endpoint Security gibi başarısı kanıtlanmış bir güvenlik çözümünü tercih edin.
- Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın.
Gaza Cybergang tarafından düzenlenen SneakyPastes operasyonu hakkındaki raporu Securelist sayfasında bulabilirsiniz.