Серия целевых кибератак на ближневосточные промышленные предприятия зафиксирована исследователями «Лаборатории Касперского». В рамках киберкампании Operation Ghoul, начатой в марте 2015 года, хакеры осуществили атаки на 130 организаций в 30 государствах, чтобы похитить конфиденциальную корпоративную и финансовую информацию.
Большая часть (70%) кибернападений проведена против предприятий, расположенных в Объединенных Арабских Эмиратах. Также хакеры были активны в Индии, Германии, Великобритании и Испании. По словам исследователей, киберкампания является опасной и одновременно несложной с технической точки зрения, поскольку хакеры пользовались лишь одним C&C-сервером.
Как утверждает эксперт «Лаборатории Касперского» Мохамад Амид Хасбини, эта кибергруппировка отличается от поддерживаемых правительствами хакеров, которые с большой тщательностью подходят к вопросу выбора свои целей, тем, что может организовать атаку на любое предприятие. Хотя для проведения этих атак используются простые инструменты, данные кибернападения являются очень эффективными.
Нападение начинается с того, что жертва получает фишинговое письмо с вложенным 7z-файлом. Открытие файла активирует вредоносную программу, способную похищать учетные данные и создавать скриншоты, а также имеющую функцию кейлоггера. Вся полученная информация отправляется на C&C-сервер, находящийся под контролем злоумышленников. Иногда фишинговые письма, рассылаемые в рамках Operation Ghoul, содержат вредоносные ссылки.
Вредоносная программа, разработанная на основе утилиты для шпионажа HawkEye, может похищать учетную информацию для доступа к FTP-серверам, сведения об аккаунтах, используемые браузерами, мессенджерами и почтовыми клиентами, а также данные из буфера обмена.