La campaña de espionaje SneakyPastes golpea a víctimas de 39 países

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Desde 2012, Gaza Cybergang ha estado atacando activamente objetivos en Oriente Medio. Pues bien, investigadores de Kaspersky Lab han descubierto que este colectivo, formado por varios grupos de amenazas con diferentes niveles de sofisticación, lanzó una campaña de ciberespionaje contra usuarios y organizaciones con intereses políticos llamada SneakyPastes.

La campaña utilizó direcciones de correo desechables para extender la infección mediante phishing y descargar el malware en varias etapas encadenadas y desde múltiples sitios gratuitos. Esta aproximación efectiva y de bajo coste permitió al grupo afectar a unas 240 víctimas de alto nivel en 39 países, incluyendo desde entidades políticas, diplomáticas, y medios de comunicación hasta ONG. Kaspersky Lab compartió su investigación con las autoridades policiales, originando el desmantelamiento de una parte importante de la infraestructura de ataque.

En su investigación, Kaspersky Lab identificó al menos a tres grupos de Gaza Cybergang con motivaciones y objetivos parecidos –el ciberespionaje con intereses políticos de Oriente Medio–, pero con herramientas, técnicas y niveles de sofisticación muy diferentes. Los más avanzados son Operation Parliament y Desert Falcons, conocidos desde 2018 y 2015 respectivamente, mientras que MoleRats, activo desde al menos 2012, es menos complejo.

SneakyPastes empezó con ataques de phishing de temática política, difundidos utilizando direcciones de correo electrónico y dominios efímeros de un solo uso. Los enlaces maliciosos, o los archivos adjuntos en los que se hizo clic, procedieron después a infectar el dispositivo víctima. Para evitar la detección y ocultar la ubicación del servidor de comando y control, en los dispositivos de las víctimas se descargaba un malware adicional en etapas sucesivas, utilizando sitios gratuitos como Pastebin y Github. Los diferentes implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para garantizar la resiliencia y su persistencia en los sistemas infectados.

La etapa final de la intrusión era un troyano de acceso remoto que, tras contactar con su servidor de control, procedía a recopilar, comprimir, cifrar y subir una gran variedad de hojas de cálculo y documentos robados. El nombre SneakyPastes se deriva del uso intensivo de “paste sites” para implantar progresivamente herramientas de control remoto (RAT) en los sistemas víctimas.

La operación SneakyPastes tuvo su punto de máxima actividad entre abril y mediados de noviembre de 2018, centrándose en una pequeña lista de objetivos que incluía desde entidades diplomáticas y gubernamentales y ONGs hasta medios de comunicación. La mayoría se encuentra en los territorios palestinos, Jordania, Israel y Líbano. Entre las víctimas se pueden encontrar delegaciones diplomáticas, entidades gubernamentales, medios de comunicación y periodistas, activistas, partidos políticos e individuos, así como organizaciones educativas, bancarias, sanitarias y empresas constructoras.

“SneakyPastes demuestra que la falta de infraestructura y herramientas avanzadas no es un obstáculo para el éxito. Esperamos que el daño causado por los tres grupos de Gaza Cybergang siga intensificándose y que los ataques se extiendan a otras regiones que también están vinculadas a la cuestión palestina", afirma Amin Hasbini, responsable del Centro de Investigación de Próximo Medio, Equipo de Análisis e Investigación Global (GReAT) en Kaspersky Lab.