1. صفحه نخست
  2. وبلاگ ایدکو
  3. مجرمان سایبری این بار در قالب گروهی به نام «گنگ سایبریِ غزه»

مجرمان سایبری این بار در قالب گروهی به نام «گنگ سایبریِ غزه»

30 اردیبهشت 1398 مجرمان سایبری این بار در قالب گروهی به نام «گنگ سایبریِ غزه»

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در کنفرانس SAS(نشست تحلیلگران امنیتی کسپرسکی[1]) عموماً حول محور حملات APT صحبت می‌شود: در همین کنفرانس بود که برای اولین بار اطلاعاتی در مورد Slingshot، Carbanak و  Careto منتشر کردیم. حملات هدف‌دار دارند روز به روز مانند قارچ رشد می‌کنند و امسال هم از این قاعده مستثنی نیست: در کنفرانس SAS سال جاری نیز (که در سنگاپور برگزار شد) در مورد یک گروه مجرم سایبری APT تحت عنوان «گنگ سایبریِ غزه» صحبت کردیم.

اسلحه‌خانه‌ای غنی

گنگ سایبریِ غزه کارش جاسوسیِ سایبری است و کمپینش نیز بیشتر به خاورمیانه و کشورهای آسیای مرکزی محدود شده است. هدف اصلی این گروه، سیاستمداران، دیپلمات‌ها، ژورنالیست‌ها، فعالان و سایر شهروندانی هستند که در این نواحی فعالیت سیاسی دارند. به لحاظ تعداد حملاتی که از تاریخ ژانویه سال 2018 تا ژانویه 2019 ثبت کردیم هدف‌های ساکن نواحی فلسطینی از همه بیشتر بوده‌اند. چند اقدام مخرب نیز در اردن، اسرائیل و لبنان دیده شده است. این گنگ در حملات خود از روش‌ها و ابزارهای مختلف با سطوح پیچیدگی متفاوت استفاده می‌کند.

متخصصین ما سه گروه زیر مجموعه برای این گنگ سایبری شناسایی کرده‌اند. تا کنون دو گروه از این سه گروه را تحت پوشش قرار دادیم. یکی از آن‌ها نویسنده‌ی کمپین Desert Falcons بود و دیگری در حملات Operation Parliament دست داشت. اکنون زمان آن فرارسیده است تا در مورد سومین گروه زیرمجموعه صحبت کنیم... گروهی که MoleRATs نام دارد. این گروه تجهیزات ساده‌ای دارد اما این بدان معنا نیست که کمپین SneakyPastesاش کم‌خطر است.

 SneakyPastes

این کمپین، چندمرحله ایست. اولش با فیشینگ شروع می‌شود: استفاده از نامه‌ها و دامنه‌های قدیمی. برخی اوقات این نامه‌ها حاوی لینک‌هایی هست که به بدافزار یا پیوست‌های آلوده منتج می‌شود. اگر قربانی، فایل پیوست‌شده را اجرا کند (و یا لینک را دنبال کند) دستگاهش بدافزار Stage One را -که با هدف فعالسازی زنجیره‌ی تخریب برنامه‌ریزی شده است- دریافت می‌کند. این نامه‌ها -که قرار است شک خواننده را بخواباند- بیشتر در مورد مسائل سیاسی است؛ حالا یا سیاهه‌ی مذاکرات سیاسی است و یا آدرس‌هایی از برخی سازمان‌های بسیار معتبر.

وقتی بدافزار Stage One با موفقیت و در نهایت اطمینان روی کامپیوتر نشست، سعی می‌کند موضع خود را از قبل امن‌تر کرده، حضورش را از هر محصول آنتی‌ویروسی پنهان نموده و سرور فرمان را نیز مخفی کند. مهاجمین برای مراحل بعدی حمله‌ی خود (که تحویل بدافزار را نیز شامل می‌شود) و مهم‌تر از آن، برای برقراری ارتباط با سرور فرمان از سرویس‌های عمومی (pastebin.com، github.com، mailimg.com، upload.cat، dev-point.com و pomf.cat) استفاده می‌کنند. آن‌ها به طور معمول همزمان از چندین روش برای تحویل اطلاعات استخراج‌شده استفاده می کنند. در نهایت، دستگاه به بدافزار RAT آلوده می‌شود که البته قابلیت‌های بسیار بالایی را در اختیار می‌گذارد. برای مثال اینکه می‌تواند به طور رایگان به دانلود و آپلود فایل‌ها، اجرای اپ، جست‌وجوی داکیومنت‌ها و رمزگذاری اطلاعات بپردازد. این بدافزار کامپیوتر قربانی را اسکن می‌کند تا تمام فایل‌های PDF، DOC، DOCX و XLSX را پیدا نموده و آن‌ها را در فولدرهای موقت فایل ذخیره، طبقه‌بندی، آرشیو، رمزگذاری در نهایت از طریق زنجیره‌ی دامنه‌ها ارسال نماید. در حقیقت، کار ما شناساییِ ابزار متعدد بکارگرفته شده در این نوع حمله است.

محافظت یکپارچه در برابر تهدیدهای یکپارچه

محصولات ما طوری طراحی شده‌اند که می‌توانند به طور موفقیت‌آمیزی با عوامل دخیل در کمپین SneakyPastes مبارزه کنند. اگر می‌خواهید قربانی بعدی، شما نباشید پس توصیه‌های زیر را جدی بگیرید:

  • به کارمندان خود، شناسایی نامه‌های خطرناک را (چه توده‌ای و چه به صورت هدف‌دار) آموزش دهید. حملات سایبرگنگ غزه ابتدا با فیشینگ شروع می‌شود. پلت‌فرم تعاملی Kaspersky ASAP ما نه تنها این اطلاعات را در دسترش شما قرار می‌دهد که همچنین مهارت‌های مورد نیاز را نیز ارائه می‌دهد.
  • از راه‌حل‌های یکپارچه که کارشان مقابله با حملات پیچیده و چندمرحله‌ایست استفاده کنید (محصولات ابتداییِ آنتی ویروس از پس این کارها برنمی‌آیند). برای مقابله در برابر حملات در سطح شبکه‌ای، بسته‌ای شامل ضد حمله هدف‌دار کسپرسکی[2] و شناسایی و واکنش اندپوینت کسپرسکی[3] را به شما توصیه می‌کنیم.
  • اگر شرکت‌تان از سرویس امنیت اطلاعات بخصوصی استفاده می‌کند، توصیه می‌کنیم در قسمت closed reports لابراتوار کسپرسکی عضو شوید؛ جایی که در آن مفصلاً به جزئیات تهدیدهای سایبری فعلی پرداخته می‌شود. با دادن نامه‌ای بهintelreports@kaspersky.com می‌توانید این اشتراک را خریداری کنید.

 

[1] Kaspersky Security Analyst Summit

[2] Kaspersky Anti Targeted Attack

[3] Kaspersky Endpoint Detection and Response

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.