Hamas cyberangreb ophørte efter terrorangrebet den 7. oktober. Men hvorfor?

Cybertrusselsaktører forbundet med Hamas har tilsyneladende ophørt med aktivitet lige siden terrorangrebet i Israel den 7. oktober, hvilket forvirrede eksperter.

Kombinationskrig er gammel hat i 2024. Som Mandiant sagde i en nyligt offentliggjort rapport, er cyberoperationer blevet et "første udvej" for enhver nation eller nationsforbundet gruppe rundt om i verden, der er involveret i langvarig konflikt, det være sig politisk, økonomisk eller krigerisk. Ruslands invasion af Ukraine – forudgået og understøttet af historiske bølger af cyberødelæggelse, spionage og misinformation – er naturligvis kvintessensen.

Sådan er det ikke i Gaza. Hvis dagens playbook skal understøtte ressourcekrævende kinetisk krig med lavrisiko, lavinvesteringscyberkrig, har Hamas smidt bogen ud.

"Det, vi så gennem hele september 2023, var meget typiske Hamas-tilknyttede cyberspionageaktiviteter - deres aktivitet var meget i overensstemmelse med, hvad vi har set i årevis," sagde Kristen Dennesen, trusselsefterretningsanalytiker for Googles Threat Analysis Group (TAG), i et pressemøde i denne uge. "Den aktivitet fortsatte indtil lige før den 7. oktober - der var ikke nogen form for skift eller optur før det tidspunkt. Og siden dengang har vi ikke set nogen væsentlig aktivitet fra disse aktører.”

At undlade at øge cyberangreb før den 7. oktober kan opfattes som strategisk. Men om hvorfor Hamas (uanset dens tilhængere) har afsluttet sine cyberoperationer i stedet for at bruge dem til at støtte sin krigsindsats, indrømmede Dennesen, "Vi giver ingen forklaring på hvorfor, fordi vi ikke ved det."

Hamas før okt. 7: 'BLACKATOM'

Typiske Hamas-nexus cyberangreb omfatter "masse phishing-kampagner for at levere malware eller for at stjæle e-mail-data," sagde Dennesen, såvel som mobil spyware via forskellige Android-bagdøre, der er droppet via phishing. "Og endelig, hvad angår deres målretning: meget vedvarende målretning af Israel, Palæstina, deres regionale naboer i Mellemøsten, såvel som målretning mod USA og Europa," forklarede hun.

For et casestudie af, hvordan det ser ud, tag BLACKATOM – en af ​​de tre primære Hamas-relaterede trusselsaktører sammen med BLACKSTEM (alias MOLERATS, Extreme Jackal) og DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

I september startede BLACKATOM en social engineering-kampagne rettet mod softwareingeniører i de israelske forsvarsstyrker (IDF) samt Israels forsvars- og rumfartsindustri.

Rusen indebar at udgive sig for at være ansatte i virksomheder på LinkedIn og sende meddelelsesmål med falske freelance-jobmuligheder. Efter den første kontakt ville de falske rekrutterere sende et lokkedokument med instruktioner om deltagelse i en kodningsvurdering.

Den falske kodningsvurdering krævede, at modtagerne downloadede et Visual Studio-projekt, der forklædte sig som en app til administration af menneskelige ressourcer, fra en angriberstyret GitHub- eller Google Drev-side. Modtagerne blev derefter bedt om at tilføje funktioner til projektet for at demonstrere deres kodningsevner. Indeholdt i projektet var dog en funktion, der hemmeligt downloadede, udpakkede og udførte en ondsindet ZIP-fil på den berørte computer. Inde i ZIP: SysJoker multiplatform bagdøren.

'Intet som Rusland'

Det kan virke kontraintuitivt, at Hamas' invasion ikke ville være blevet parret med et skift i dets cyberaktivitet svarende til Ruslands model. Dette kan skyldes dets prioritering af operationel sikkerhed - den hemmelighed, der gjorde dets terrorangreb den 7. oktober så chokerende effektivt.

Mindre forklarligt er, hvorfor den seneste bekræftede Hamas-relaterede cyberaktivitet ifølge Mandiant fandt sted tilbage den 4. oktober. (Gaza har i mellemtiden lidt af betydelige internetforstyrrelser i de seneste måneder).

"Jeg tror, ​​at det vigtigste er, at der er tale om meget forskellige konflikter, med meget forskellige enheder involveret," sagde Shane Huntley, seniordirektør hos Google TAG. "Hamas er intet som Rusland. Og derfor er det ikke overraskende, at brugen af ​​cyber er meget forskellig [afhængigt af] konfliktens karakter, mellem stående hære versus en slags angreb, som vi så den 7. oktober."

Men Hamas har sandsynligvis ikke helt trukket sine cyberoperationer på pension. "Selvom udsigterne for fremtidige cyberoperationer fra Hamas-tilknyttede aktører er usikre på kort sigt, forventer vi, at Hamas cyberaktivitet i sidste ende vil genoptages. Det bør fokuseres på spionage til efterretningsindsamling om disse intra-palæstinensiske anliggender, Israel, USA og andre regionale aktører i Mellemøsten,” bemærkede Dennesen.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why