- Kybernetická skupina Wirte se v rámci svých špionážních operací zaměřuje na Palestinskou samosprávu, Jordánsko, Egypt, Irák a Saúdskou Arábii
- Je spojována se skupinou Gaza Cybergang napojenou na Hamás
- Wirte nově provádí i destruktivní útoky na nejrůznější subjekty
Společnost Check Point Software upozorňuje na aktivity hackerské skupiny Wirte, která pochází z Blízkého východu a která je napojená na skupinu Gaza Cybergang, spojovanou s Hamásem. Wirte je aktivní minimálně od roku 2018 a „proslavila“ se politicky motivovanými kybernetickými špionážemi. Zaměřuje se zejména na subjekty na Blízkém východě, konkrétně na Palestinskou samosprávu, Jordánsko, Egypt, Irák a Saúdskou Arábii.
Řada kybernetických aktivit spojených s Hamásem byla vzhledem k pokračující válce zastavena, operace této skupiny jsou naopak mnohem intenzivnější. V poslední době kromě špionážních kampaní provedla také nejméně dvě destruktivní operace proti Izraeli.
Destruktivní útoky
V říjnu 2024 byla z účtu prodejce kyberbezpečnostních řešení ESET šířena škodlivá e-mailová kampaň. E-maily se zaměřovaly na různé cíle v Izraeli, včetně nemocnic a obcí, a tvrdily, že zařízení uživatele je cílem útoku národní hackerské skupiny. Součástí e-mailu byl odkaz na stránku, která nabízela instalaci programu chránícího před podobnými hrozbami.
Špionážní operace
Výzkumníci společnosti Check Point od října loňského roku zaznamenali několik kampaní využívajících malware spojovaný se skupinou Wirte.
- Řada špionážních kampaní využívá škodlivé soubory RAR, které šíří malware, s jehož pomocí mohou útočníci získat informace o verzi Office, verzi operačního systému, názvu počítače, uživatelské jméno a seznam nainstalovaných programů na napadeném počítači. V další fázi je do počítače stažen malware s ještě nebezpečnějšími schopnostmi.
- V září 2024 objevila společnost Check Point nový infekční řetězec, který využívá PDF soubor s malwarem, určeným pro pokročilé kybernetické operace. Jakmile útočníci získají přístup k napadeným systémům, mohou provádět různé škodlivé aktivity, včetně krádeže dat, dalšího šíření v síti a vzdáleného ovládání infikovaných zařízení.
Ve skutečnosti si uživatel stáhl do počítače wiper, tedy malware, jehož cílem je vymazat nebo poškodit data v počítači, případně v celé síti. Jednalo se o vylepšenou verzi wiperu SameCoin, což je multiplatformní wiper pro Android a Windows. V rámci infekčního řetězce došlo také ke snaze o připojení k webu izraelské civilní obrany, aby si útočníci ověřili, že oběť je z Izraele, protože odjinud není přístup možný.
Malware kromě instalace wiperu do počítače stáhl tapetu s odkazem na brigády Al-Kassám, vojenské křídlo Hamásu, propagandistické video Hamásu ukazující útoky ze 7. října a komponentu Infector, která odesílá přílohu na další adresy ve stejné organizaci a kopíruje wiper do dalších počítačů v síti.
Zdá se, že útočníci sledují dva cíle. Zaměřují se na destruktivní útoky uvnitř Izraele a zároveň provádí špionážní kampaně v sousedních zemích.
