Los piratas informáticos vinculados a Hamas utilizaron Facebook, Dropbox y Google Drive para enviar software espía dirigido a los líderes y estados árabes, utilizando Netanyahu y MBS como cebo.
Los piratas informáticos afiliados a Hamas han lanzado una compleja campaña de ciberespionaje dirigida a funcionarios árabes y líderes políticos en todo el Medio Oriente, reveló el miércoles una firma israelí de ciberseguridad.
Los atacantes hicieron uso de plataformas legítimas como Facebook, Dropbox y Google Docs para enviar el software espía, en lo que los investigadores afirman es una muestra de nuevas capacidades que previamente se han atribuido a actores estatales.
Según el informe de Cybereason, que fue examinado para Haaretz por dos expertos independientes en ciberseguridad, el equipo detrás del ataque es "Molerats", también conocido como "The Gaza Cybergang". El grupo se reveló por primera vez en 2012 y se ha relacionado con Hamas y ataques anteriores contra Israel y la Autoridad Palestina, según la firma y uno de los expertos.
CLEARED FOR RELEASE: We thwarted an attempted Hamas cyber offensive against Israeli targets. Following our successful cyber defensive operation, we targeted a building where the Hamas cyber operatives work.
— Israel Defense Forces (@IDF) May 5, 2019
HamasCyberHQ.exe has been removed. pic.twitter.com/AhgKjiOqS7
El año pasado, Israel apuntó a la sede cibernética ofensiva de Hamas en Gaza, reveló el ejército israelí en un tweet, en lo que muchos dijeron que fue el primer caso de represalia militar física contra una operación cibernética, aunque el ejército no reveló el motivo del ataque o su sincronización.
El ataque fue una ofensiva de tres frentes que utilizó correos electrónicos de "phishing" para tratar de obtener acceso a las computadoras de funcionarios en Dubai, Egipto, Turquía y otros estados del Golfo, dijeron a Haaretz los investigadores detrás del informe. Se enviaron correos electrónicos con archivos infectados a los objetivos y aquellos que los abrieron tendrían el software espía instalado en su computadora sin que ellos lo supieran. El infame programa, dijeron los investigadores, podría acceder e incluso operar cada faceta de su computadora.
Este ataque, dijo el grupo de investigación, comenzó en septiembre pero alcanzó su punto máximo en octubre y noviembre, en "clara correlación con las conversaciones de normalización entre Israel y los estados del Golfo". También hizo uso de temas políticos clave para tratar de atraer a sus víctimas. De hecho, esto es parte de lo que hace que el ataque sea tan único, dicen los investigadores.
A diferencia de los ataques anteriores que enviaban archivos sospechosos a sus víctimas, este ataque implementó un sistema mucho más complejo: las víctimas no obtuvieron los archivos directamente, sino que se les envió un PDF alojado en un sitio web legítimo como Dropbox o Google Drive, y eso luego conduciría ellos al nefasto programa. Los PDF enviados tenían un tema político, por ejemplo, uno supuestamente era el acta secreta de la reunión del primer ministro Benjamin Netanyau con el príncipe heredero de Arabia Saudita Mohammed Bin Salman, un tema de claro interés para los funcionarios políticos de Oriente Medio.
En una clara indicación de que el objetivo del ataque eran funcionarios árabes, el malware instalado en la computadora de la víctima estaba programado para verificar si la computadora tenía un teclado árabe instalado o si usaba configuraciones de idioma árabe, explicaron los investigadores. Si no se encontró ningún uso del idioma árabe, el programa se eliminaría.
Al utilizar plataformas como Google Drive y Dropbox para enviar el software espía, explican los investigadores, los piratas informáticos se "escondían a la vista" y de facto circunnavegaban la mayoría de los antivirus o las ciberdefensas que buscan enlaces sospechosos pero no pueden verificar el contenido de los documentos. estar alojado en sitios legítimos.
Hubo dos usos de plataformas legítimas en este ataque específico, dicen los investigadores. Los piratas informáticos no solo usaban esos sitios web para atraer a sus víctimas, sino que también los usaban para almacenar e incluso operar el software espía, lo que dificultaba aún más su detección.
Un aspecto clave de esto fue Facebook, añaden los investigadores. La mayoría de los programas espía requieren algún operador, y ese programa operativo generalmente se encuentra en algún servidor que se puede encontrar o vincular al ataque o atacantes. Sin embargo, en este caso, los piratas informáticos se aprovecharon de Facebook para operar de forma remota el software malicioso y, por lo tanto, cortaron aún más el vínculo entre ellos y el ataque. Los piratas informáticos establecieron cuentas ficticias en Facebook, usuarios sin amigos reales o actividad, que publicarían el estado con código o instrucciones que el software espía podría buscar en Facebook. De esta manera, se utilizaron publicaciones crípticas en Facebook que no tendrían sentido para un humano para orquestar el ataque, completamente "fuera del radar de las ciberdefensas", dijeron los investigadores.
Según los investigadores, lo que hace que este ataque sea tan único es triple: en primer lugar, "muestra la correlación entre los eventos cibernéticos ofensivos y geopolíticos". En este caso, normalización entre Israel y los estados del Golfo. Hace solo dos días, los Emiratos Árabes Unidos anunciaron que habían sido blanco de un ciberataque, sin embargo, los investigadores se negaron a comentar si se trataba de la misma operación que se reveló aquí hoy.
En segundo lugar, dicen que corrobora una tendencia preocupante de piratas informáticos de todo tipo que explotan "plataformas legítimas con fines nefastos".
"El uso de perfiles de Facebook falsos con fines de comando y control es una técnica bastante rara que anteriormente solo la usaban actores de amenazas muy avanzados, por ejemplo, el grupo Turla, que se cree que trabaja en interés del gobierno ruso", dijo el director. del equipo de investigación, dijo. Este es también el tercer aspecto único del ataque: “Estamos viendo un derrame real de técnicas avanzadas previamente asociadas con estados que ahora se utilizan en otros contextos, especialmente en el ciberdelito”.
Esto se produce a raíz de un informe reciente de Haaretz sobre el pirateo masivo de la empresa de seguros israelí . El ataque se situó en la frontera entre los ciberataques ofensivos y criminales. Inicialmente planteado como un ataque de rescate, luego se reformuló como una extorsión por motivos políticos, si no una forma directa de "ciberterrorismo".
Como dijo el jefe de la unidad de ciberinteligencia de Check Point a Haaretz la semana pasada, “el ransomware se asocia inmediatamente con el ciberdelito y el dinero, y con razón. Sin embargo, el ransomware tiene más motivaciones que únicamente ganancias financieras . Hemos visto, por ejemplo, hacktivistas que utilizan ransomware para llevar mensajes específicos a la organización objetivo, o para servir una determinada idea ”, dijo Lotem Finkelstein, citando un caso reciente en el que piratas informáticos iraníes atacaron a empresas israelíes llamadas Pay2Key.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
