Kaspersky Lab uzmanları, Orta Doğu ve Afrika (MENA) bölgesinde aktif bir şekilde birçok ticari şirketi ve kamu kurumunu hedef alan Gaza Team siber çetesinin faaliyetlerinde önemli değişiklikler tespit etti. Birkaç yıldır aktif olduğu bilinen grubun 2017 içerisinde kendisini geliştirerek yeni zararlı araçlar edindiği anlaşılıyor.
Gaza Team siber çetesi MENA bölgesinde 2012 yılından bu yana elçiliklere, diplomatlara, politikacılara, petrol ve gaz şirketlerine ve medyaya devamlı bir şekilde saldırıyor ve bunun sonucunda düzenli olarak yeni zararlı yazılım örneklerine rastlanıyor. 2015 yılında çetenin faaliyetlerinde kayda değer bir değişim gören Kaspersky Lab araştırmacıları bir rapor yayınlamıştı. Saldırganlar, yasal güvenlik değerlendirme araçlarına erişmek ve saldırdıkları ağlarda görünürlüklerini azaltmak için BT ve olaylara müdahaleden sorumlu personeli hedef alırken görülmüştü. Araştırmacılar 2017 yılında Gaza Team’in faaliyetlerinde yeniden bir artış olduğunu fark etti.
Yeni saldırılarda hedeflerin profili ve coğrafyası değişmese de Gaza Team’in operasyonları arttı. Saldırganların, daha önce yapmadıkları bir şekilde MENA bölgesinde istihbarat peşinde oldukları görüldü. Daha da önemlisi, kullandıkları saldırı aletleri daha sofistike bir hale gelmiş bulunuyor. Grup, zararlı yazılımlarını hedeflerine ulaştırmak için çeşitli konular özelinde ve jeopolitik hedefli oltalama (spearphishing) dokümanları geliştirmenin yanı sıra, Microsoft Access’teki CVE 2017-0199 yazılım açığından ve büyük ihtimalle Android casusluk yazılımlarından faydalanıyor.
Siber çete, sahte ofis dokümanları içerisine gizlenmiş uzaktan kontrollü Truva atları (RAT – Remote Access Trojan) veya kötü niyetli sayfalara yönlendirme yapan linkler kullanarak çalışıyor. Sonuç olarak kurbanların cihazlarına zararlı yazılım bulaşıyor ve saldırganların dosyalara erişmesine, tuş vuruşlarını kaydetmesine ve ekran görüntüleri almasına olanak sağlıyor. Kurban ilk indirilen zararlı yazılımı fark ederse, indirici, kurbanın bilgisayarına başka dosyalar yükleyerek tespit edilmenin önüne geçmeye çalışıyor.
Kaspersky Lab tarafından yapılan incelemeler, grubun mobil zararlı yazılımlar kullandığına da işaret ediyor. Gaza Team’in faaliyetleri analiz edilirken bulunan bazı dosya adlarının Android Truva atlarıyla ilgili olduğu görülüyor. Bu geliştirilmiş saldırı teknikleri, Gaza Team’in güvenlik çözümlerini atlatmasını ve kurbanlarının sistemlerini uzunca bir süre manipüle etmesini sağladı.
Kaspersky Lab güvenlik uzmanlarından David Emm, “Gaza Team’in uzun yıllardır izlediğimiz ve halen devam eden faaliyetleri, MENA bölgesinde durumun, özellikle siber casusluk söz konusu olduğunda hiç güvenli olmadığını gösteriyor. Grubun kullandığı tekniklerin kayda değer şekilde gelişmesi dolayısıyla Gaza çetesi saldırılarının nitelik ve nicelik açısından yakın gelecekte artmasını bekliyoruz. Grubun hedef tanımına uyan kişi ve kuruluşların daha dikkatli olması gerekiyor” diyor.