Hakerska grupa nazvana OilAlpha za koju se sumnja da je povezana s jemenskim pokretom Houthi povezana je s kampanjom kibernetičke špijunaže koja cilja razvojne, humanitarne, medijske i nevladine organizacije na Arapskom poluostrvu.
“OilAlpha je koristila šifrovane poruke za ćaskanje kao što je WhatsApp da pokrene napade socijalnog inženjeringa na svoje mete” rekla je kompanija za kibernetičku bezbjednost Recorded Future u tehničkom izvještaju objavljenom u utorak.
“Takođe je koristio URL skraćivače. Prema procjeni viktimologije, čini se da je većina ciljanih subjekata govorila arapski jezik i koristila Android uređaje.”
OilAlpha je novi kriptonim koji je Recorded Future dao preklapajućim klasterima koje je kompanija prethodno pratila pod imenima TAG-41 i TAG-62 od aprila 2022. godine. TAG-XX (skraćeno od Threat Activity Group) je privremeni nadimak dodijeljen novoj hakerskoj grupi.
Procjena da protivnik djeluje u interesu Houthi pokreta zasniva se na činjenici da je infrastruktura korištena u napadima gotovo isključivo povezana s javnom telekomunikacijskom korporacijom (PTC), jemenskim provajderom telekomunikacionih usluga pod kontrolom Houthi-a.
Imajući to u vidu, uporna upotreba PTC imovine ne isključuje mogućnost kompromisa od strane nepoznate treće strane. Recorded Future, međutim, napominje da nije pronašao nijedan dokaz koji bi podržao ovu liniju razmišljanja.
Drugi faktor je korištenje malicioznih aplikacija zasnovanih na Android-u za vjerovatno praćenje delegata povezanih s pregovorima koje vodi vlada Saudijske Arabije. Ove aplikacije su oponašale entitete povezane s vladom Saudijske Arabije i humanitarnom organizacijom u UAE-u.
Lanci napada počinju tako što potencijalne mete, politički predstavnici, medijske ličnosti i novinari, primaju APK fajlove direktno sa WhatsApp naloga koristeći telefonske brojeve Saudijske Arabije, maskirajući aplikacije kao da pripadaju UNICEF-u, nevladinim organizacijama i drugim humanitarnim organizacijama.
Aplikacije, sa svoje strane, djeluju kao kanal za izbacivanje trojanca za pristup na daljinu koji se zove SpyNote, aka SpyMax, koji dolazi s mnoštvom funkcija za hvatanje osjetljivih informacija sa zaraženih uređaja.
“Fokus OilAlpha na ciljanju Android uređaja nije iznenađujući zbog visoke zasićenosti Android uređaja u regiji Arapskog poluotoka” navodi Recorded Future.
Kompanija za kibernetičku bezbjednost je rekla da je takođe primijetila uzorke njRAT-a, aka Bladabindi, koji komuniciraju sa serverima za komandu i kontrolu (C2) povezanim sa grupom, što ukazuje da istovremeno koristi desktop malware u svojim operacijama.
“OilAlpha je pokrenula svoje napade po nalogu sponzorskog entiteta, naime jemenskih Houthi-a” teoretizuje se. “OilAlpha bi mogla biti direktno povezana sa svojim sponzorskim entitetom, ili bi takođe mogla djelovati kao ugovorna strana.”
“Iako je aktivnost OilAlpha pro-Houthi, nema dovoljno dokaza da sugerišu da su jemenski operativci odgovorni za ovu pretnju. Hakeri poput libanonskog ili iračkog Hezbolaha, ili čak iranski operateri koji podržavaju IRGC, možda su vodili ovu pretnju.”
Izvor: The Hacker News