El equipo de respuesta a incidentes de seguridad Cyberkov descubrió una campaña de espionaje cibernético en Libia llevada a cabo por un grupo denominado Scorpions Libia.
El equipo Cyberkov Seguridad de Respuesta a Incidentes (CSIRT) recogió la evidencia de una campaña de espionaje cibernético que operan en diferentes áreas en Libia, especialmente en Trípoli y Bengasi.
El 6 de agosto de 2016, en respuesta a incidentes Cyberkov Seguridad equipo (CSIRT) descubrió numerosas muestras de malware para Android em entidades de Libia.
Los expertos notaron que el malware para Android se propaga muy rápida a través de la aplicación de mensajería Telegrama dirigido a figuras influyentes y políticos libios de alto perfil.
De acuerdo con el CSIRT, el malware se vio por primera vez después de que se ha puesto en peligro una cuenta Telegrama altamente influyente en Libia desde la web utilizando la dirección IP del telegram de España.
Una vez que los atacantes comprometen el dispositivo móvil de la cuenta anterior se utilizo para apuntar todos sus contactos. Los expertos del equipo de respuesta a incidentes de seguridad Cyberkov vinculados a la campaña de espionaje cibernético a un grupo denominado Scorpions Libia.
"Scorpions Libia se cree que es un grupo politico motivado por un alto nivel de figuras influyentes y políticos en varias ciudades dentro de Libia. Scorpions Libia esta comprometio por primera vez una cuenta personal de telegram para una persona influyente de Libia con desconocidos. La víctima recibió una notificación de inserción de su aplicación telegram que alguien de España se registra en su cuenta ", segun el informe publicado por el CSIRT titulado" caza Scorpions Libia
"La víctima borra por error de aplicación telegram de su teléfono pensando que esto va a parar al atacante (s). El segundo día, el atacante utiliza el número de teléfono víctima lanza phishing en sus contactos en telegram al pretender de la persona real es el envío de una voz mensaje mientras el archivo es en realidad un archivo malicioso APK (paquete Android) ".
Los expertos han encontrado la aplicación legítima en la tienda oficial de aplicaciones, esto significa que el grupo Scorpions Libia tomó una instancia de la APK y troyanizado ella.
Con esta técnica, los agentes de amenaza difunden el malware que utiliza la misma técnica para infectar a través de telegrams otras víctimas de la red de contactos. Otras investigaciones revelaron que el malware ha sido activo al menos desde septiembre de 2015.
Los llamados Escorpiones de Libia es un grupo que intentaba por motivos políticos en la recopilación de inteligencia y espionaje de los influyentes y figuras políticas dentro de Libia. El grupo utiliza diferentes programas maliciosos en sus campañas, el código malicioso fueron diseñados para máquinas de destino Android y Windows.
Los investigadores hicieron una ingeniería inversa del código malicioso y descubrieron una archivos de configuración que contienen la información de la infraestructura de comando y control (C2). La muestra de malware analizado en el informe presenta muchas similitudes con el software espía populares como el AlienSpy RAT.
"Resolver el nombre de host da: 41.208.110.46 que es una dirección IP estática de Libia Libia propiedad de Telecom y Backbone Technology.", Dice el análisis. "Cyberkov descubrió que el malware no se ha cargado en VirusTotal. Sin embargo, 8 de cada 54 antivirus lo detectan que es una tasa de detección muy bajo (15%). Lo más importantes y las principales compañías estadounidenses Gartner antivirus no lo detectan !! "
Escorpiones de Libia no tiene habilidades de alto nivel técnico de todos modos que era capaz de utilizar un conjunto de métodos para ocultar y operar sus programas maliciosos, la operación de apalancamiento de espionaje cibernético en buenas tácticas de ingeniería social y phishing.
"El uso de malwares como arma en una zona de guerra activa como Libia, para la víctima es un blanco fácil para el asesinato o el secuestro mediante el seguimiento de su ubicación física y les monitoreo de día y de noche. "
