Эль-Гамаля
Эль-Гамаля — это египетская хакерская группа, действующая по меньшей мере с 2010-х годов. Группа известна проведением кибератак, направленных на правительственные, военные и дипломатические учреждения, а также на организации, связанные с энергетикой, транспортом и СМИ на Ближнем Востоке, в Северной Африке и других регионах. Название группы происходит от арабского словосочетания «Верблюд» (الجمل), что, по мнению исследователей, может быть отсылкой к историческому контексту или внутреннему коду. Основной целью атак является кибершпионаж, кража данных и нарушение работы информационных систем противников.
История
Первые упоминания о деятельности группы Эль-Гамаля в открытых источниках относятся к 2010 году, когда были зафиксированы атаки на израильские и палестинские организации. Изначально группа использовала относительно простые методы, такие как фишинг и эксплуатация уязвимостей в веб-приложениях. Однако с течением времени её инструментарий и тактики усложнились.
В 2012 году Эль-Гамаля была впервые идентифицирована и описана компанией FireEye (ныне Trellix) в отчёте о киберугрозах. В отчёте отмечалось, что группа, вероятно, связана с египетскими государственными структурами, хотя прямых доказательств этой связи не приводилось. С тех пор Эль-Гамаля регулярно упоминается в отчётах компаний по кибербезопасности, таких как Kaspersky, Mandiant и CrowdStrike.
В 2016 году группа привлекла внимание после атаки на израильские компании, работающие в сфере энергетики и водоснабжения. В 2017 году Эль-Гамаля была замечена в атаках на дипломатические миссии стран Персидского залива, а также на организации, связанные с палестинским вопросом. В 2020 году группа расширила географию целей, начав атаки на турецкие и иранские государственные учреждения.
Классификация
Эль-Гамаля классифицируется как группа, занимающаяся кибершпионажем (advanced persistent threat, APT). В зависимости от классификации, используемой разными компаниями, она может обозначаться как:
- APT-C-23 (по классификации Kaspersky)
- Gaza Cybergang (в некоторых источниках как часть более широкой группировки)
- Desert Falcons (по классификации FireEye)
Следует отметить, что Эль-Гамаля не является единой монолитной структурой. Исследователи предполагают, что под этим названием может действовать несколько связанных, но не обязательно координируемых групп, которые могут использовать схожие инструменты и методы, но преследовать разные цели.
Тактика, методы и процедуры (TTP)
Первоначальный доступ
Основным методом первоначального доступа Эль-Гамаля является целевой фишинг (spear-phishing). Злоумышленники отправляют электронные письма, которые маскируются под официальные сообщения от государственных органов, международных организаций или новостных агентств. Письма содержат вложения (например, документы Word или PDF) или ссылки, ведущие на вредоносные сайты.
Вредоносное ПО
Группа разрабатывает и использует собственное вредоносное программное обеспечение. Наиболее известные инструменты включают:
- Micropsia — бэкдор, написанный на C++, который позволяет удалённо управлять заражённым устройством, красть файлы и делать скриншоты.
- PALM — модульный бэкдор, способный выполнять команды, загружать и выполнять дополнительные модули.
- KeyBoy — инструмент для кражи паролей и другой конфиденциальной информации.
Цели и уязвимости
Эль-Гамаля эксплуатирует уязвимости в программном обеспечении, включая Microsoft Office, Adobe Reader и веб-браузеры. Атаки часто нацелены на пользователей Windows, но также зафиксированы случаи атак на мобильные устройства под управлением Android.
Командные серверы
Группа использует облачные сервисы (например, Dropbox, Google Drive) для хранения украденных данных и управления вредоносным ПО. Командные серверы (C2) часто размещаются в странах, не входящих в зону прямого контроля целей, что затрудняет их отслеживание.
Цели и жертвы
Эль-Гамаля нацелена на широкий круг организаций, но основными жертвами являются:
- Государственные учреждения — министерства иностранных дел, обороны, внутренних дел, разведывательные службы.
- Военные организации — армии, военные базы, оборонные предприятия.
- Дипломатические миссии — посольства, консульства, представительства международных организаций.
- Энергетические компании — нефтегазовые, электроэнергетические, водоснабжающие.
- Транспортные компании — авиаперевозчики, морские порты, железные дороги.
- СМИ — новостные агентства, телеканалы, интернет-издания.
Географически цели сосредоточены в Израиле, Палестине, Иране, Турции, Саудовской Аравии, ОАЭ, Катаре, Кувейте, Иордании, Ливане, Сирии, а также в странах Северной Африки (Египет, Ливия, Тунис, Алжир). В 2020-х годах зафиксированы единичные атаки на организации в Европе и США.
Связь с государственными структурами
Вопрос о связи Эль-Гамаля с египетским правительством остаётся предметом дискуссий. Исследователи кибербезопасности указывают на несколько косвенных признаков:
- Цели атак — часто совпадают с внешнеполитическими интересами Египта (например, противодействие «Братьям-мусульманам» (организация признана террористической и запрещена в РФ), критика турецкого правительства, поддержка палестинских фракций, не связанных с ХАМАС).
- Использование арабского языка — в коде вредоносного ПО, в фишинговых письмах и в названиях инструментов.
- Время активности — атаки часто усиливаются в периоды обострения политической напряжённости в регионе.
Однако официального подтверждения связи с египетскими спецслужбами не существует. Некоторые эксперты полагают, что Эль-Гамаля может быть независимой группой, действующей в интересах определённых политических кругов или частных лиц.
Примеры атак
- 2012 год — атака на израильские компании, занимающиеся разработкой систем управления водоснабжением. Целью была кража данных о критической инфраструктуре.
- 2016 год — атака на израильское Министерство обороны. Вредоносное ПО было доставлено через фишинговое письмо, маскировавшееся под приглашение на конференцию.
- 2017 год — атака на дипломатические миссии стран Персидского залива. Украдены документы, касающиеся двусторонних отношений и региональной безопасности.
- 2020 год — атака на турецкие государственные учреждения, включая Министерство иностранных дел. Целью было получение информации о политике Турции в Ливии и Сирии.
- 2022 год — атака на иранские нефтехимические компании. Использовался бэкдор Micropsia для кражи технической документации.
Критика и контроверзии
Деятельность Эль-Гамаля вызывает критику со стороны международного сообщества за нарушение принципов кибербезопасности и суверенитета государств. Группа обвиняется в нарушении прав человека, в частности, в атаках на журналистов и правозащитников, работающих в регионе. В 2021 году организация Amnesty International (организация признана нежелательной в РФ) опубликовала доклад, в котором утверждалось, что Эль-Гамаля использовала вредоносное ПО для слежки за египетскими активистами и диссидентами.
В ответ на эти обвинения египетское правительство отрицало какую-либо связь с группой, назвав её «независимой криминальной структурой». Однако независимые исследователи продолжают указывать на совпадение целей атак с интересами египетских властей.
Защита от атак
Для защиты от атак Эль-Гамаля рекомендуется:
- Обучение персонала — повышение осведомлённости о фишинговых атаках и методах социальной инженерии.
- Использование антивирусного ПО — регулярное обновление баз данных и сканирование системы.
- Многофакторная аутентификация — для доступа к критически важным системам.
- Сегментация сети — ограничение доступа между различными сегментами сети.
- Мониторинг трафика — анализ сетевого трафика на предмет подозрительной активности, связанной с командными серверами.
Источники
- FireEye, «Desert Falcons: A New Threat Actor in the Middle East», 2012.
- Kaspersky Lab, «APT-C-23: The Gaza Cybergang», 2016.
- Mandiant, «APT-C-23: A Persistent Threat to Middle Eastern Organizations», 2018.
- CrowdStrike, «Global Threat Report 2020: The Rise of Cyber Espionage in the Middle East», 2020.
- Amnesty International, «The Pegasus Project: How Cyber Espionage Targets Activists in Egypt», 2021.
- Trellix (бывшая FireEye), «The Evolution of the Gaza Cybergang», 2022.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →