Theo Kaspersky, năm 2018 băng nhóm tội phạm mạng Gaza Cybergang đã phát động một chiến dịch do thám mạng nhằm vào các cá nhân và tổ chức có lợi ích chính trị ở Trung Đông.
Chiến dịch có tên gọi là SneakyPastes này sử dụng các địa chỉ mail tạm thời dùng một lần để phán tán mã độc thông qua email lừa đảo, trước khi tải mã độc theo các giai đoạn được liên kết với nhau theo chuỗi dựa trên nhiều trang web miễn phí. Khuynh hướng tấn công có chi phí thấp nhưng lại hiệu quả này đã giúp băng nhóm tội phạm mạng trên tấn công khoảng 240 nạn nhân là những tổ chức và cá nhân nổi tiếng tại 39 quốc gia trên toàn thế giới, bao gồm chính khách, nhà ngoại giao, kênh truyền thông và các nhà hoạt động… Nghiên cứu của Kaspersky Lab đã được chia sẻ với các cơ quan thực thi pháp luật và góp phần đánh sập một phần rất lớn cơ sở hạ tầng của vụ tấn công.
Gaza Cybergang là băng nhóm tội phạm mạng nói tiếng Ả rập, có động cơ chính trị và có sự phối hợp để chủ động tấn công các nạn nhân ở khu vực Trung Đông và Bắc Phi, với trọng tâm đặc biệt nhắm vào Lãnh thổ Palestine. Kaspersky Lab đã xác định được ít nhất ba nhóm trong băng đảng này, cùng mục tiêu và đích tấn công là do thám mạng liên quan đến các lợi ích chính trị tại Trung Đông – nhưng lại sử dụng các công cụ, kỹ thuật với độ tinh vi khác nhau.
Trong số này bao gồm cả các nhóm Operation Parliament và Desert Falcons, có mức độ phức tạp cao hơn và đã được biết đến tương ứng từ năm 2018 và 2015, và một nhóm hỗ trợ ở mức độ cơ bản, với độ phức tạp thấp hơn, được biết đến với tên gọi MoleRats với thời gian hoạt động ít nhất là từ năm 2012. Vào mùa xuân năm 2018, nhóm cơ bản này đã khởi phát chiến dịch SneakyPastes.
SneakyPastes bắt đầu bằng các vụ tấn công phishing với động cơ chính trị, được phát tán thông qua sử dụng các địa chỉ và tên miền email tạm thời dùng một lần. Sau đó, các đường link hoặc file gửi kèm có chứa mã độc được người dùng click vào hoặc tải về sẽ cài mã độc trên thiết bị.
Để tránh bị phát hiện và ẩn dấu vị trí của máy chủ chỉ huy và điều khiển, nhiều mã độc khác được tải về thiết bị của nạn nhân theo các giai đoạn được liên kết thành chuỗi dựa trên một số trang web miễn phí, bao gồm cả Pastebin và Github. Những mã độc khác nhau sử dụng các kỹ thuật PowerShell, VBS, JS và dotnet để duy trì sự ẩn mình dai dẳng trên các hệ thống đã bị lây nhiễm của nạn nhân.
Giai đoạn cuối cùng của vụ xâm nhập là một Trojan truy cập từ xa (Remote Access Trojan – RAT) đảm nhiệm việc liên lạc với máy chủ chỉ huy điều khiển và sau đó thu thập, nén, mã hóa và tải lên nhiều loại tài liệu và bảng tính đã đánh cắp được về máy chủ đó. Cái tên SneakyPastes bắt nguồn từ việc tin tặc sử dụng rất nhiều paste sites khác nhau để từng bước đưa RAT vào các hệ thống của nạn nhân.
Các nhà nghiên cứu của Kaspersky Lab đã hợp tác với cơ quan thực thi pháp luật để khám phá toàn bộ chu trình tấn công và xâm nhập trong chiến dịch SneakyPastes. Những hoạt động này không chỉ giúp hiểu rõ về các công cụ, kỹ thuật, đích tấn công, vv… mà còn phá sập một phần khá lớn của cơ sở hạ tầng tấn công của tin tặc.
Chiến dịch SneakyPastes đạt đỉnh điểm hoạt động trong khoảng thời gian từ tháng 4 đến giữa tháng 11/2018, tập trung vào một nhóm nhỏ các mục tiêu liên quan đến các tổ chức ngoại giao và chính phủ, tổ chức phi chính phủ (NGO) và tổ chức truyền thông. Dựa vào công cụ đo lường từ xa của Kaspersky Lab và các nguồn thông tin khác, có khoảng 240 cá nhân và tổ chức nổi tiếng là nạn nhân của chiến dịch này, tại 39 quốc gia trên thế giới, phần lớn trong số đó nằm ở Lãnh thổ Palestine, Jordan, Israel và Lebanon. Nạn nhân bao gồm các đại sứ quán, cơ quan chính phủ, tổ chức truyền thông và phóng viên, các nhà hoạt động, đảng phái chính trị và các cá nhân cũng như là các tổ chức giáo dục, ngân hàng, y tế và nhà thầu.
“Việc phát hiện ra Desert Falcons vào năm 2015 đánh dấu một bước chuyển biến quan trọng về tình hình an ninh bảo mật vì đó chính là vụ tấn công có chủ đích (APT) đầu tiên được biết đến của các tổ chức tội phạm mạng nói tiếng Ả rập. Giờ đây, chúng ta đã biết rằng, tổ chức mẹ của Desert Falcons là Gaza Cybergang đã chủ động tấn công vào các nhóm lợi ích ở khu vực Trung Đông từ năm 2012, ban đầu chủ yếu dựa vào các hoạt động của nhóm khá đơn giản nhưng dai dẳng – nhóm đã phát động chiến dịch SneakyPastes vào năm 2018. SneakyPastes cho thấy rằng việc không có cơ sở hạ tầng và các công cụ tiên tiến không gây trở ngại cho việc đạt được mục đích tấn công của tin tặc. Chúng tôi dự báo rằng những thiệt hại gây bởi cả ba nhóm thuộc Gaza Cybergang sẽ tăng lên và các vụ tấn công sẽ mở rộng sang các khu vực khác có liên quan đến các vấn đề về Palestine,” ông Amin Hasbini, Giám đốc Trung tâm Nghiên cứu Trung Đông, Bộ phận Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky Lab chia sẻ.
Tất cả mọi sản phẩm của Kaspersky Lab đều phát hiện và chặn đứng thành công mối đe dọa bảo mật này.
Để tránh trở thành nạn nhân của một vụ tấn công có chủ đích bởi một nhóm tin tặc đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky Lab khuyến nghị triển khai các biện pháp dưới đây:
- Sử dụng những công cụ bảo mật tiên tiến như Kaspersky Anti Targeted Attack Platform (Nền tảng chống tấn công có chủ đích của Kaspersky – KATA) và đảm bảo rằng bộ phận bảo mật của bạn luôn được cập nhật những thông tin mới nhất về các mối đe dọa bảo mật.
- Đảm bảo rằng bạn thường xuyên cập nhật tất cả các phần mềm được sử dụng trong tổ chức, đặc biệt là mỗi khi có một bản vá lỗ hổng bảo mật mới được công bố. Các sản phẩm bảo mật với chức năng Quản lý hoạt động Đánh giá và Vá Lỗ hổng bảo mật (Vulnerability Assessment and Patch Management) có thể giúp tự động hóa các quy trình này.
- Lựa chọn một giải pháp bảo mật đã được kiểm chứng như là Kaspersky Endpoint Security (Bảo mật thiết bị đầu cuối của Kasspersky) được trang bị chức năng phát hiện mã độc căn cứ vào những bất thường để đối phó hiệu quả với những mối đe dọa bảo mật đã biết và chưa biết, bao gồm cả hoạt động khai thác lỗ hổng bảo mật.
- Đảm bảo rằng nhân viên của bạn hiểu rõ những biện pháp phòng ngừa cơ bản về an ninh mạng, vì nhiều vụ tấn công bắt nguồn từ kỹ thuật đánh lừa hay tấn công phi kỹ thuật.
Theo Kaspersky