Ciberataques estratégicos en Oriente Próximo

Oriento Próximo y el norte de África quizá sea uno de los enclaves geográficos más importantes del mundo. Y es precisamente en esta zona en la que se centran las acciones de Gaza Cybergang, un grupo de hackers que ataca a objetivos estratégicos como embajadas, diplomáticos y políticos, así como a empresas petroleras y gasistas o medios de comunicación.

Kaspersky Lab asegura que este grupo lleva atacando en dicha área al menos desde 2012, pero ahora ha dado un giro en su forma de actuar. Los analistas de la compañía ya informaron en 2015 acerca de un cambio significativo en las operaciones maliciosas de Gaza Cybergang. Detectó que los ciberataques se dirigían contra equipos TI y de respuesta a incidentes, con la intención de obtener acceso a herramientas legítimas de evaluación de seguridad y disminuir la visibilidad de su acción en las redes atacadas.

Ahora, sus analistas han observado un aumento de la actividad criminal del grupo y nuevos cambios en su manera de proceder. Los objetivos personales y geográficos siguen siendo los mismos pero el tamaño de las operaciones ha aumentado. Kaspersky ha descubierto que Gaza Cibergang busca cualquier tipo de información. Además, las herramientas de ataque empleadas se han vuelto más sofisticadas. Por ejemplo, ha elaborado documentos que incluyen temas geopolíticos específicos de la región, con el fin de distribuir el malware a sus objetivos de forma personalizada. Además, utiliza exploits con una vulnerabilidad relativamente reciente, como CVE 2017-0199 en Microsoft Access. Incluso ha llegado a usar spyware para Android.

En cuanto al ‘modus operandi’ habitual en estos ciberataques, el grupo envía correos electrónicos que contienen varios RAT (troyanos de acceso remoto) en documentos de oficina falsos o enlaces que dirigen a páginas maliciosas. Una vez que se ejecutan, la víctima queda infectada con malware que permite recopilar archivos, pulsaciones de teclas y capturas de pantalla de los dispositivos. Y si el usuario detecta el malware, el descargador intenta instalar otros archivos en el dispositivo en un intento de evitar el bloqueo. Además, Karspersky Lab cree que hay indicadores que sugieren el uso de malware móvil, pues algunos de los nombres de archivo encontrados parecen estar relacionados con un troyano de Android.

La empresa de ciberseguridad considera que estas mejoras en las técnicas de ataque han permitido que Gaza Cybergang haya evitado las soluciones de seguridad, siendo capaz de manipular el sistema de la víctima durante largos períodos.

Con el fin de evitar ser víctimas de este tipo de ataques, Kaspersky Lab recomienda formar al personal para que sepan distinguir los correos electrónicos de spearphishing o un enlace de phishing, ofrecer al personal de seguridad TI acceso a los últimos datos e información sobre ciberamenazas -soluciones de análisis, investigación y prevención de ataques específicos, como los Indicadores de compromiso (IOC) y YARA-, así como utilizar una solución corporativa de seguridad endpoint en combinación con una protección especializada contra amenazas avanzadas.