Skrót APT oznacza frazę „advanced persistent threat”, odnoszącą się do niewidocznych aktorów na scenie walki cybernetycznej, z reguły posiadających przynależność państwową lub też sponsorowanych przez dane państwo lub grupę państw. Poniższy tekst stanowi tłumaczenie analizy z bloga SentinelLabs, analizujący działalność APT w wojnie Hamasu z Izraelem, autorstwa Toma Hegela i Aleksandara Milenkoskiego. Opisuje ona aktorów po stronie Hamasu.
Od początku wojny między Izraelem a Hamasem domena cybernetyczna odegrała kluczową rolę w konflikcie, choć w sposób, którego świat mógł się nie spodziewać. Natychmiast po atakach Hamasu z 7 października, media społecznościowe stały się siedliskiem dezinformacji, niedokładnych badań OSINT i dezorientacji opinii publicznej. Niestety, wiodące platformy mediów społecznościowych nadal nie są w stanie powstrzymać rozprzestrzeniania się dezinformacji na temat tej wojny. Będziemy nadal obserwować nadużywanie mediów społecznościowych jako metody wpływania na postrzeganie wydarzeń przez opinię publiczną i nic nie wskazuje na to, by miało się to wkrótce skończyć.
Jednak poza nadużywaniem informacji w mediach społecznościowych i oportunistycznym haktywizmem, nie możemy zapominać o prawdopodobieństwie ukierunkowanych ataków pochodzących od konkretnych, sponsorowanych przez państwo podmiotów zagrażających. Zrozumienie i ścisłe monitorowanie wszystkich aspektów szybko rozwijającego się konfliktu w domenie cyfrowej ma kluczowe znaczenie, ponieważ takie ukierunkowane ataki przełożą się na konsekwencje w świecie rzeczywistym. Podczas gdy nadal współpracujemy prywatnie z partnerami, staramy się również wzmocnić szerszą wiedzę branżową na temat tego, gdzie należy umieścić nasze wysiłki.
Jest to zaktualizowane kompendium podmiotów, którym badacze cyberbezpieczeństwa, analitycy i obrońcy sieci powinni się uważnie przyglądać. Podmioty te mają potencjał do znacznego zaangażowania w miarę trwania wojny, w tym APT w klastrach aktywności Hamasu, Hezbollahu i Iranu. Podczas gdy APT sponsorowane przez państwo powinny pozostać w centrum uwagi, musimy również uważnie monitorować coraz powszechniejsze wykorzystywanie person haktywistów wykorzystywanych do ukrywania operacji sponsorowanych przez państwo.
W tym poście dzielimy się zalecanymi i publicznie dostępnymi informacjami w celu usprawnienia zrozumienia przez społeczność odpowiednich podmiotów w raportach historycznych. Ponadto dzielimy się naszą perspektywą pokrywania się nazw aktorów publicznych. Należy pamiętać, że każde źródło publicznego raportowania może dokonywać atrybucji i grupowania aktorów w sposób unikalny z ich perspektywy. Niemniej jednak źródła te powinny służyć jako punkty wyjścia dla czytelników, którzy chcą nadrobić zaległości w zakresie istotnych danych wywiadowczych z otwartego źródła dla własnych potrzeb związanych z obroną i analizą.
Klastry powiązane z Hamasem
Arid Viper
Aliasy:
– APT-C-23
– Grey Karkadann
– Desert Falcon
– Mantis
Opis:
Arid Viper to grupa prowadząca operacje cyberszpiegostwa i kradzieży informacji od co najmniej 2017 r., głównie przeciwko celom na Bliskim Wschodzie. Opierając się głównie na geopolitycznym kontekście swojej działalności, podejrzewa się, że Arid Viper działa w imieniu Hamasu, a dalsze rozstrzygające informacje są potrzebne do ugruntowania tej oceny. Na przykład Siły Obronne Izraela (IDF) poinformowały o kampanii wymierzonej w żołnierzy stacjonujących w pobliżu granicy ze Strefą Gazy, którą podejrzewa się, że zaaranżował Hamas. Kampania ta została oddzielnie przypisana Arid Viperowi ze średnią pewnością na podstawie wiktymologii i podobieństw do poprzednich działań przypisywanych temu aktorowi, takich jak nakładanie się początkowych technik infekcji.
Celowanie w pojedyncze osoby jest powszechną praktyką Arid Viper. Obejmuje to wstępnie wybrane palestyńskie i izraelskie cele o wysokim profilu, a także szersze grupy, zazwyczaj z krytycznych sektorów, takich jak organizacje obronne i rządowe, organy ścigania oraz partie lub ruchy polityczne. Typowe początkowe wektory infekcji obejmują inżynierię społeczną i ataki phishingowe z wykorzystaniem tematycznych dokumentów wabiących. Te ostatnie często polegają na nawiązywaniu relacji z celami za pośrednictwem mediów społecznościowych, takich jak Facebook i Instagram, przy czym często stosowaną techniką jest catfishing.
Arid Viper wykorzystuje różnorodne złośliwe oprogramowanie w ramach swoich operacji, w tym stagery, backdoory i mobilne aplikacje szpiegowskie na platformy iOS i Android. Złośliwe oprogramowanie Arid Viper jest aktywnie utrzymywane i aktualizowane, aby spełnić wymagania operacyjne grupy. Ten aktor zagrożeń konsekwentnie wykazuje się innowacyjnością, przyjmując nowe praktyki tworzenia złośliwego oprogramowania w wielu językach programowania i skryptowych, takich jak Delphi, Go, Python i C++.
Gaza Cybergang
Aliasy:
– Molerats
– TA402
– Gaza Hackers Team
– Moonlight
– Extreme Jackal
– Aluminum Saratoga
– JEA/Jerusalem Electronic Army (Low to Medium Confidence)
Opis:
Gaza Cybergang to podmiot stanowiący zagrożenie, który jest aktywny od co najmniej 2012 roku. Grupa atakuje głównie na Bliskim Wschodzie, w tym w Izraelu i Palestynie, a także w mniejszym stopniu w UE i USA. Na celowniku znajdują się podmioty rządowe, obronne, energetyczne, finansowe, medialne, technologiczne, telekomunikacyjne i społeczeństwa obywatelskiego. Obecna ocena Gaza Cybergang wskazuje na średni lub wysoki poziom zaufania do powiązań z Hamasem.
Grupa ta w przeszłości wykorzystywała w swoich atakach różne niestandardowe i publicznie dostępne narzędzia, wykazując znaczną preferencję dla spear phishingu jako metody początkowego dostępu. Wiadomo, że używają złośliwych dokumentów i załączników do wiadomości e-mail w celu dostarczania złośliwego oprogramowania i przynęt w postaci linków, a także często wdrażają implanty w celu utrzymania trwałości w zaatakowanych systemach. Narzędzia obejmują Molerat Loader, XtremeRAT, SharpStage, DropBook, Spark, Pierogi, PoisonIvy i wiele innych obserwowanych wyjątkowo na przestrzeni lat.
Wydaje się, że ogólnymi celami Gaza Cybergang jest przede wszystkim gromadzenie informacji wywiadowczych i szpiegostwo. Starają się gromadzić informacje wywiadowcze, monitorować rozwój sytuacji politycznej w regionie i wspierać swoją sprawę poprzez działania cybernetyczne. Grupa działa od wielu lat, a jej upór i zdolność adaptacji w obliczu ewoluujących napięć sprawiają, że jest ona znaczącym aktorem w pejzażu cyberzagrożeń.
Klastry sprzymierzone z Hezbollahem
Plaid Rain
Aliasy:
– Aqua Dev 1
– Polonium
Opis:
Plaid Rain to APT, którego istnienie udokumentowano po raz pierwszy w 2022 r., a którego głównym celem jest atakowanie podmiotów w Izraelu z wielu różnych branż, w tym organizacji obronnych, rządowych, produkcyjnych i finansowych. Uważa się, że Plaid Rain ma siedzibę w Libanie, jednak jego działania wskazują na potencjalną koordynację z podmiotami powiązanymi z Iranem, powiązanymi z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Niektóre wskaźniki potwierdzające tę ocenę obejmują zaobserwowane pokrywanie się celów w zakresie ukierunkowania i TTP. Potencjalna współpraca między MOIS i Plaid Rain umieszcza tę grupę zagrożeń w kręgu podmiotów pełniących rolę pełnomocników, zapewniając wiarygodne zaprzeczenie rządowi Iranu, takim jak Cobalt Sapling.
Podejrzewa się, że w przypadku początkowej infekcji Plaid Rain opiera się głównie na wykorzystaniu luk w zabezpieczeniach, włamaniach na wyższy poziom i kradzieży danych uwierzytelniających. Arsenał grupy składa się z szerokiej gamy dobrze utrzymanych, niestandardowych narzędzi, których przykładem jest zestaw narzędzi złośliwego oprogramowania Creepy. Szkodliwe oprogramowanie Plaid Rain obsługuje szeroką gamę uzupełniających funkcji, zgodnie z najnowszymi trendami w krajobrazie złośliwego oprogramowania. Na przykład złośliwe oprogramowanie CreepyDrive wykorzystuje usługi w chmurze do celów dowodzenia i kontroli, prawdopodobnie próbując uniknąć wykrycia, sprawiając, że złośliwy ruch wygląda na legalny.
Lebanese Cedar
Aliasy:
– Volatile Cedar
– DeftTorero
Opis:
Libanese Cedar to rzadziej zgłaszany APT z historią udanych włamań do Libanu, Izraela, Palestyny, Egiptu, Stanów Zjednoczonych, Wielkiej Brytanii i nie tylko. Grupę tę zaobserwowano po raz pierwszy w 2015 r. i od tego czasu cieszy się ograniczonym zainteresowaniem branży cybersec. Podobnie jak w przypadku Plaid Rain, kojarzymy Lebanese Cedar z libańską szyicką grupą bojowników Hezbollah, a także potencjalną koordynację z podmiotami powiązanymi z Iranem, powiązanymi z Ministerstwem Wywiadu i Bezpieczeństwa (MOIS).
Najlepiej zaobserwowane metody dostępu początkowego skupiały się na włamywaniu się na serwery internetowe ofiar za pomocą luk n-day umożliwiających wdrażanie powłok internetowych, w tym ASPXSpy, Devilzshell i Caterpillar. Dalsze wykorzystanie Meterpretera i jego niestandardowego Explosive RAT zostało powiązane z celami związanymi z utrzymaniem dostępu poprzez kradzież legalnych danych uwierzytelniających do sieci, co ostatecznie prowadzi do celów szpiegowskich.
Odpowiednie klastry irańskie
Iran jest gospodarzem dla różnorodnych, sponsorowanych przez państwo APT, których działalność szybko wykracza poza skupianie się wyłącznie na wojnie Izrael-Hamas. Te ugrupowania wykazują zmienność pod względem wielkości, możliwości i motywacji i są odpowiedzialne za szerokie spektrum operacji cybernetycznych. Chociaż niektóre mają wyraźne powiązania z rządem Iranu, wiele irańskich haktywistów twierdzi, że działa niezależnie. Należy koniecznie zaznaczyć, że wyłaniające się kolektywy haktywistów mogą służyć jako środek do ukrywania sponsoringu państwa, wpływania na opinię publiczną i ukrywania przypisania działań wrogich. Zdecydowanie zalecamy, aby media i koledzy z branży zachowali ostrożność podczas publicznego rozpowszechniania treści wytwarzanych przez kolektywy haktywistów. Propagowanie ich twierdzeń, punktów widzenia i działań wpisuje się w nadrzędną misję, a popieranie tych działań przyczynia się do ich sukcesu. Niemniej jednak różnorodność i zdolności przystosowawcze irańskich cyberprzestępców czynią ich znaczącym i wieloaspektowym elementem globalnego krajobrazu zagrożeń. . Monitorując ewoluującą sytuację na Bliskim Wschodzie, konieczne jest skupienie się na Iranie jako potencjalnym źródle zarówno bezpośrednich działań cyberofensywnych, jak i operacji zastępczych wspieranych przez grupy powiązane z Iranem, takie jak Hamas i Hezbollah.
ShoudedSnooper
Aliasy:
– brak
Opis:
ShroudedSnooper brał udział w wielu niedawnych włamaniach na Bliskim Wschodzie, w tym w Izraelu w ciągu ostatnich dwóch miesięcy, a w innych miejscach od co najmniej 2020 r. Najnowsze obserwacje i działania, które możemy potwierdzić, koncentrują się wokół włamań w sektorach telekomunikacyjnym i rządowym. Grupie przypisuje się irańskie Ministerstwo Wywiadu i Bezpieczeństwa (MOIS).
Według naszego obecnego rozumienia tego APT jej zadaniem jest gromadzenie danych wywiadowczych i danych dostępowych dla innych jednostek MOIS. Początkowe metody dostępu do ShroudedSnooper zostały i potencjalnie nadal są realizowane poprzez włamanie do publicznie dostępnych serwerów internetowych za pośrednictwem luk w zabezpieczeniach typu n-day.
Jak zaobserwowano podczas niedawnych izraelskich włamań telekomunikacyjnych, grupa ta wykorzystała następnie backdoory imitujące oprogramowanie zabezpieczające dla przedsiębiorstw.
Cobalt Sapling
Aliasy:
– Moses Staff
– Abraham’s Ax
– Marigold Sandstorm
Opis:
Są to APT znane ze swojej antyizraelskiej retoryki, destrukcyjnych ataków polegających na wydobywaniu danych, a także skłonności do wyciekania do Internetu skradzionych danych wraz z treściami propagandowymi w postaci filmów i zdjęć. Laska Mojżesza i Topór Abrahama to potencjalnie odrębne grupy. Od czasu pojawienia się tej pierwszej w 2021 r. a drugiej w 2022 r., ogłaszających wierność Hezbollahowi, grupy w dalszym ciągu oddzielnie utrzymują swoją obecność w Internecie. Łączy ich jednak wspólna ikonografia, redagowanie treści i praktyki zarządzania infrastrukturą. To oraz zgodność ich działań z geopolitycznymi interesami Iranu sugeruje, że te dwie grupy prawdopodobnie stanowią część jednego klastra (zwanego również Cobalt Sapling) i służą jako grupy zastępcze zapewniające Iranowi wiarygodne zaprzeczenie.
Moses Staff tradycyjnie skupiał swoje wysiłki na organizacjach biznesowych i rządowych, głównie w Izraelu. Natomiast Topór Abrahama przyznał się do ataków na podmioty zlokalizowane poza Izraelem, ale mające znaczenie geopolityczne dla tego kraju. Przykładowo rzekome wtargnięcia Topora Abrahama do podmiotów rządowych Arabii Saudyjskiej mogły być próbą przeciwstawienia się normalizacji stosunków między Izraelem a Arabią Saudyjską, warunkowanej wcześniej rozwiązaniem kwestii izraelsko-palestyńskiej.
Chociaż społeczność badaczy zagrożeń zidentyfikowała niestandardowe ofensywne narzędzia obserwowane w atakach Moses Staff, takie jak StrifeWater, PyDCrypt i DCSrv, nie wykluczamy, że Moses Staff i Abraham’s Axe dzielą się narzędziami i praktykami operacyjnymi, co utrudnia obecnie dokładne grupowanie. Operacje przypisywane Moses Staff obejmowały RAT i oprogramowanie ransomware, a nic nie wskazywało na motywacje finansowe, a raczej na zakłócanie, niszczenie i ukrywanie działań cyberszpiegowskich.