Die Cyberangriffe der Hamas wurden nach dem Terroranschlag vom 7. Oktober eingestellt. Aber warum?

Cyber-Bedrohungsakteure, die mit der Hamas in Verbindung stehen, haben seit dem Terroranschlag in Israel am 7. Oktober offenbar ihre Aktivitäten eingestellt, was Experten verwirrt.

Kombinationskriege sind im Jahr 2024 ein alter Hut. Wie Mandiant sagte in einem neu veröffentlichten Bericht, Cyber-Operationen sind zum „Werkzeug der ersten Wahl“ für jede Nation oder national verbündete Gruppe auf der ganzen Welt geworden, die in langwierige Konflikte verwickelt ist, sei es politischer, wirtschaftlicher oder kriegerischer Natur. Die russische Invasion in der Ukraine – der historische Wellen von Cyber-Zerstörung, Spionage und Fehlinformationen vorausgingen und unterstützt wurden – ist natürlich die Quintessenz.

Nicht so in Gaza. Wenn das heutige Spielbuch darin besteht, einen ressourcenintensiven kinetischen Krieg mit einem Cyberkrieg mit geringem Risiko und geringen Investitionen zu unterstützen, hat die Hamas das Buch verworfen.

„Was wir den ganzen September 2023 über sahen, waren sehr typische Cyberspionageaktivitäten im Zusammenhang mit der Hamas – ihre Aktivitäten stimmten sehr gut mit dem überein, was wir seit Jahren beobachten“, sagte Kristen Dennesen, Threat Intelligence-Analystin bei der Threat Analysis Group (TAG) von Google eine Pressekonferenz diese Woche. „Diese Aktivität hielt bis kurz vor dem 7. Oktober an – bis zu diesem Zeitpunkt gab es keinerlei Verschiebung oder Anstieg. Und seitdem haben wir keine nennenswerten Aktivitäten dieser Akteure mehr gesehen.“

Das Versäumnis, die Cyberangriffe vor dem 7. Oktober zu verstärken, könnte als strategisch ausgelegt werden. Aber warum Hamas (unabhängig von seinen Unterstützern) hat seine Cyberoperationen eingestellt, anstatt sie zur Unterstützung seiner Kriegsanstrengungen zu nutzen, gab Dennesen zu: „Wir geben keine Erklärung dafür, warum, weil wir es nicht wissen.“

Hamas vor Okt. 7: 'BLACKATOM'

Zu den typischen Hamas-Nexus-Cyberangriffen gehören „Massen-Phishing-Kampagnen zur Verbreitung von Malware oder zum Diebstahl von E-Mail-Daten“, sagte Dennesen, sowie mobile Spyware über verschiedene Android-Hintertüren, die durch Phishing eingeschleust werden. „Und schließlich in Bezug auf ihre Angriffsziele: sehr hartnäckige Angriffe auf Israel, Palästina, ihre regionalen Nachbarn im Nahen Osten sowie auf die USA und Europa“, erklärte sie.

Für eine Fallstudie, wie das aussieht, nehmen Sie BLACKATOM – neben BLACKSTEM (alias MOLERATS, Extreme Jackal) und DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper) einer der drei wichtigsten mit der Hamas verbundenen Bedrohungsakteure.

Im September startete BLACKATOM eine Social-Engineering-Kampagne, die sich an Softwareentwickler der israelischen Streitkräfte (IDF) sowie der israelischen Verteidigungs- und Luft- und Raumfahrtindustrie richtete.

Der Trick bestand darin, sich auf LinkedIn als Mitarbeiter von Unternehmen auszugeben und Zielpersonen mit gefälschten freiberuflichen Stellenangeboten zu benachrichtigen. Nach dem ersten Kontakt schickten die falschen Personalvermittler ein Lockdokument mit Anweisungen zur Teilnahme an einem Coding-Assessment.

Bei der gefälschten Codierungsbewertung mussten die Empfänger ein Visual Studio-Projekt, das sich als Personalverwaltungs-App ausgab, von einer vom Angreifer kontrollierten GitHub- oder Google Drive-Seite herunterladen. Anschließend wurden die Empfänger gebeten, dem Projekt Funktionen hinzuzufügen, um ihre Programmierkenntnisse unter Beweis zu stellen. Das Projekt enthielt jedoch eine Funktion, die heimlich eine schädliche ZIP-Datei herunterlud, extrahierte und auf dem betroffenen Computer ausführte. In der Postleitzahl: die SysJoker-Multiplattform-Hintertür.

„Nichts geht über Russland“

Es mag kontraintuitiv erscheinen, dass die Invasion der Hamas nicht mit einer Verschiebung ihrer Cyberaktivitäten nach dem Vorbild Russlands einhergegangen wäre. Das mag an der Priorisierung der Betriebssicherheit liegen – der Geheimhaltung, die den Terroranschlag vom 7. Oktober so schockierend wirksam machte.

Weniger erklärbar ist, warum laut Mandiant die jüngste bestätigte Cyberaktivität im Zusammenhang mit der Hamas bereits am 4. Oktober stattfand. (In Gaza kam es in den letzten Monaten unter erheblichen Internetstörungen.)

„Ich denke, das Wichtigste ist, dass es sich um sehr unterschiedliche Konflikte handelt, an denen sehr unterschiedliche Einheiten beteiligt sind“, sagte Shane Huntley, Senior Director bei Google TAG. „Hamas ist nichts wie Russland. Und deshalb ist es nicht verwunderlich, dass der Einsatz von Cyberangriffen sehr unterschiedlich ist [abhängig von] der Art des Konflikts, zwischen stehenden Armeen und einer Art Angriff, wie wir ihn am 7. Oktober gesehen haben.“

Aber die Hamas hat ihre Cyber-Operationen wahrscheinlich noch nicht vollständig eingestellt. „Während die Aussichten für künftige Cyber-Operationen von Hamas-nahen Akteuren kurzfristig ungewiss sind, gehen wir davon aus, dass die Cyber-Aktivitäten der Hamas irgendwann wieder aufgenommen werden. „Der Schwerpunkt sollte auf Spionage liegen, um Informationen über diese innerpalästinensischen Angelegenheiten, Israel, die Vereinigten Staaten und andere regionale Akteure im Nahen Osten zu sammeln“, bemerkte Dennesen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why