گروه "Gaza" تیم های IT را هدف قرار داد

باند سایبری Gaza که با انگیزه سیاسی در شمال، شرق، مرکز آفریقا، امارات و یمن مشغول فعالیت است چند وقتی است که بر شدت فعالیت های خود افزوده است.

به گفته ی شرکت امنیتی Kaspersky، باند Gaza مرتب فایل های بدافزاری را برای کارکنان بخش های IT و واکنش سریع نهادهای سیاسی ارسال می کند تا کارکنانی را که از اعتبارنامه های معتبرتری برخوردار هستند شناسایی کند. هدف Gaza از این اقدام نظارت و نصب زیرساخت های سیستمی و دستکاری نرم افزار است.

چنانچه کارمند فریب کمپین فیشینگ را بخورد و دستگاه هایش مختل شوند، Gaza این شانس را پیدا می کند تا ضمن توسعه ی درهای مخفی در داخل سیستم های قربانی، حق دسترسی ویژه ای هم به داده های حساس بیابد.

با راه اندازی کمپینی ضد تیم های واکنش سریع ، مهاجمین سایبری Gaza تلاش می کنند تا از گروهی از کارمندان که ضمن داشتن حق دسترسی ، مجوز ویژه ای هم برای نظارت بر فعالیت های مشکوک شبکه ها دارند به نفع خود استفاده کنند.

به گفته ی محققان، تروجان های دسترسی از راه دور XtremeRAT و PoisonIvy دو ماژول آلوده کننده ی اصلی هستند که از سوی گروه Gaza مورد استفاده قرار می گیرند. این دو سویه ی بدافزار با مختل کردن سیستم، ضمن امکان پذیر کردن نصب در مخفی در داخل سیستم آلوده شده، اجرای از راه دور کد ، آپلود و دانلود شدن فایل، دستکاری پروسه های در حال اجرا و بایگانی های PC را هم برای هکر ممکن می کنند.

از آن جا که همه ی تمرکز Gaza بر روی نهادهای دولتی و سفارتخانه هاست، هرزگاهی به منظور پالایش تکنیک های مهندسی اجتماعی این نهادها و یافتن شانس بیشتر در فریب دادن قربانیان، اقدام به استفاده از نام و دامنه های فایلی مثل gov.uae.kim می کند.

Gaza همچنین با گذاشتن نام هایی مثل WinRAR.exe، Microsoft Log.exe،WindowsUpdate.exe، Kaspersky.exe و Skype.exe می خواهد تا نام فایل های بدافزاری خود را مشابه نام نرم افزارهای قانونی کند.

گروه Gaza که برای اولین بار در سال 2012 از سوی شرکت های امنیتی مثل FireEye و Kaspersky شناسایی شد، تا کنون توانسته به دولت هایی مثل آمریکا، اسرائیل، انگلیس و اهدافی در فلسطین از راه بکارگیری فایل های RAR. مخرب در کمپین های فیشینگ به قصد قرار دادن بدافزار در داخل ماشین های قربانی حمله کند و از این راه ضمن اختلال در سیستم ها، داده های مهم و ارزشمندی را نیز به سرقت ببرد.