Arid Viper: cyber-conflict tussen Gaza en Israël

Origineel artikel door TrendLabs

Trend Micro Operation Arid ViperVandaag publiceren we een onderzoeksrapport naar een malware-campagne gericht op vijf Israëlische organisaties uit de overheid, transport en infrastructuur, defensie en onderwijs. De malware-campagne maakt gebruik van de netwerkinfrastructuur in Duitsland. Deze campagne heeft nauwe banden met Arabische partijen in onder meer de Gazastrook maar ook elders. Het gaat volgens onze analyse om twee afzonderlijke, maar sterk met elkaar verbonden campagnes, namelijk Operation Arid Viper en Operation Advtravel. 

Operation Arid Viper
Dit is een zeer gerichte aanval op belangrijke Israëlische doelen. Hierbij wordt gebruik gemaakt van spear-phising emails met een bijlage die malware bevatten en vermomd zijn als pornografische video’s. De malware steelt gegevens en documenten van slachtoffers als een soort ‘smash-and-grab’ aanval. Halverwege 2013 werd het eerste patroon van deze malware gevonden.

Operation Advtravel
Operation Advtravel is, met honderden slachtoffers in Egypte, een minder gerichte aanval waarbij de geïnfecteerde systemen laptops lijken te zijn. Dit doet ons veronderstellen dat deze campagne minder geavanceerd is als Operation Arid Viper. De criminelen achter Operation Advtravel lijken afkomstig uit Egypte.

Campagnes nauw met elkaar verbonden
Maar wat wellicht nog interessanter is dan deze twee aanvallen op zichzelf, is dat deze campagnes op een aantal vlakken nauw met elkaar zijn verbonden. Beide aanvallen zijn op dezelfde servers in Duitsland gehost en de domeinen zijn door dezelfde individuen geregistreerd. Beide campagnes kunnen daarnaast worden gekoppeld aan activiteit uit Gaza, Palestina.

Enerzijds is er dus een geavanceerde gerichte aanval en anderzijds een veel minder goed uitgevoerde aanval die alle kenmerken heeft van een beginnende hacker. Waarom zouden deze groepen dus met elkaar samenwerken?

Onze voorlopige theorie (dat ook het onderwerp van ons voortdurende onderzoek is) is dat er mogelijk een overkoepelende organisatie of underground community is die de Arabische hackers helpt in hun strijd tegen vermeende vijanden van de Islam. Zij zouden dit kunnen doen door hen te helpen met het opzetten van onder meer infrastructuren en het bepalen van doelen.

Voorspelling: toename in Cyber Militia activity
We voorspellen een toename in dergelijke “Cyber Militia activity” in de Arabische wereld. Daar zullen niet-overheidsactoren de strijd aan gaan met andere organisaties die traditioneel gezien als vijanden worden beschouwd, vergelijkbaar met wat we eerder hebben besproken over de Russische banden in de CyberBerkut aanval op Duitsland.

Meer informatie
Ons complete onderzoeksverslag over Operation Arid Viper geeft onder andere meer inzicht in de slachtoffers en technische specificaties over de mogelijke aanvallers achter deze campagne. Download het verslag hier.

Lees hier het originele Engelstalige artikel

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.