18/05/23
ИБ-компания Recorded Future обнаружила шпионскую кампанию, которую проводит хакерская группа OilAlpha, имеющая вероятные связи с движением хуситов в Йемене. Целью атак стали гуманитарные организации, СМИ и некоммерческие фонды, работающие на Аравийском полуострове.
По данным Recorded Future, с апреля по май 2022 года OilAlpha отправляла вредоносные файлы для Android через WhatsApp политикам и журналистам. Кампания совпала с переговорами между йеменскими лидерами, участвующими в почти 10-летних гражданских волнениях, которые проходили в Саудовской Аравии, пишут в Securitylab. Хакерская группа использует инструменты удаленного доступа для установки шпионского ПО SpyNote и SpyMax на мобильные устройства.
По словам Recorded Future, OilAlpha скорее всего будет продолжать атаковать субъекты, которые интересуются политической ситуацией в Йемене, а также гуманитарные и некоммерческие организации в Йемене.
Шпионские программы SpyNote и SpyMax позволяют получать доступ к следующим источникам:
- Журналы звонков;
- SMS;
- Контакты;
- Сетевая информация;
- Записи с камеры и микрофона устройства;
- Данные о местоположении по GPS.
OilAlpha также предпочитает атаковать телефоны на Android, которые более распространены в регионе.
Эксперты Recorded Future сообщили, что группа также подделывала приложения саудовских неправительственных организаций, таких как Детский фонд ООН (ЮНИСЕФ), Норвежский совет по делам беженцев и Общество Красного Полумесяца. Все организации занимаются или координируют действия по ликвидации последствий стихийных бедствий и гуманитарную работу в Йемене.
Группа не делает мало для того, чтобы скрыть свою инфраструктуру. OilAlpha в основном использует принадлежащую йеменцам Public Telecommunication Corporation, которая вероятно находится под контролем хуситских властей. Кроме того, группа почти исключительно использует динамический DNS (DDNS), который служил ещё одним признаком для определения.
На данный момент у специалистов нет данных о том, насколько успешны атаки OilAlpha. Кроме того, Recorded Future не может приписать OilAlpha к движению хуситов со 100% уверенностью, поскольку у экспертов недостаточно доказательств для того, чтобы определённо сказать, являются ли оперативники из Йемена ответственными за кампанию OilAlpha или же за ней стоят другие хакерские группы в регионе.
