Οι κυβερνοεπιθέσεις της Χαμάς σταμάτησαν μετά την τρομοκρατική επίθεση της 7ης Οκτωβρίου. Μα γιατί?

Παράγοντες απειλών στον κυβερνοχώρο που συνδέονται με τη Χαμάς φαινομενικά σταμάτησαν τη δράση τους μετά την τρομοκρατική επίθεση στο Ισραήλ στις 7 Οκτωβρίου, μπερδεύοντας τους ειδικούς.

Ο πόλεμος συνδυασμού είναι παλιό καπέλο το 2024. Όπως είπε ο Mandiant σε μια πρόσφατα δημοσιευμένη έκθεση, οι επιχειρήσεις στον κυβερνοχώρο έχουν γίνει ένα «εργαλείο πρώτης ανάγκης» για κάθε έθνος ή ομάδα ευθυγραμμισμένη με το έθνος σε όλο τον κόσμο που εμπλέκεται σε παρατεταμένες συγκρούσεις, είτε είναι πολιτικής, είτε οικονομικής είτε πολεμικής φύσης. Η εισβολή της Ρωσίας στην Ουκρανία —που προηγήθηκε και υποστηρίχθηκε από ιστορικά κύματα καταστροφής στον κυβερνοχώρο, κατασκοπεία και παραπληροφόρηση— είναι, φυσικά, η πεμπτουσία.

Όχι έτσι στη Γάζα. Εάν το σημερινό βιβλίο παιχνιδιού είναι να υποστηρίξει τον κινητικό πόλεμο έντασης πόρων με τον κυβερνοπόλεμο χαμηλού κινδύνου και χαμηλών επενδύσεων, η Χαμάς έχει πετάξει το βιβλίο.

«Αυτό που είδαμε όλο τον Σεπτέμβριο του 2023 ήταν πολύ τυπικές δραστηριότητες κατασκοπείας στον κυβερνοχώρο που συνδέονται με τη Χαμάς – η δραστηριότητά τους ήταν πολύ συνεπής με αυτό που βλέπαμε εδώ και χρόνια», δήλωσε η Kristen Dennesen, αναλύτρια πληροφοριών απειλών για την Ομάδα Ανάλυσης Απειλών (TAG) της Google. συνέντευξη Τύπου αυτή την εβδομάδα. «Αυτή η δραστηριότητα συνεχίστηκε μέχρι λίγο πριν από τις 7 Οκτωβρίου - δεν υπήρξε καμία μετατόπιση ή άνοδος πριν από εκείνο το σημείο. Και από τότε, δεν έχουμε δει καμία σημαντική δραστηριότητα από αυτούς τους ηθοποιούς».

Η αποτυχία αύξησης των επιθέσεων στον κυβερνοχώρο πριν από τις 7 Οκτωβρίου μπορεί να ερμηνευθεί ως στρατηγική. Αλλά σχετικά με το γιατί η Χαμάς (ανεξάρτητα από τους υποστηρικτές της) έχει εγκαταλείψει τις κυβερνοεπιχειρήσεις της αντί να τις χρησιμοποιεί για να υποστηρίξει την πολεμική της προσπάθεια, παραδέχτηκε ο Ντένεσεν, «Δεν προσφέρουμε καμία εξήγηση για το γιατί επειδή δεν γνωρίζουμε».

Η Χαμάς πριν από τον Οκτ. 7: 'BLACKATOM'

Οι τυπικές κυβερνοεπιθέσεις της Hamas-nexus περιλαμβάνουν "μαζικές εκστρατείες ηλεκτρονικού "ψαρέματος" για την παράδοση κακόβουλου λογισμικού ή την κλοπή δεδομένων ηλεκτρονικού ταχυδρομείου", είπε ο Ντένεσεν, καθώς και λογισμικό κατασκοπείας για κινητά μέσω διαφόρων κερκίδων Android που απορρίφθηκαν μέσω ηλεκτρονικού "ψαρέματος". «Και τέλος, όσον αφορά τη στόχευσή τους: πολύ επίμονη στόχευση του Ισραήλ, της Παλαιστίνης, των περιφερειακών γειτόνων τους στη Μέση Ανατολή, καθώς και στόχευση των ΗΠΑ και της Ευρώπης», εξήγησε.

Για μια μελέτη περίπτωσης σχετικά με αυτό, πάρτε το BLACKATOM - έναν από τους τρεις κύριους παράγοντες απειλών που συνδέονται με τη Χαμάς, μαζί με τους BLACKSTEM (γνωστός και ως MOLERATS, Extreme Jackal) και DESERTVARNISH (γνωστός και ως UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

Τον Σεπτέμβριο, η BLACKATOM ξεκίνησε μια εκστρατεία κοινωνικής μηχανικής που στόχευε σε μηχανικούς λογισμικού στις Ισραηλινές Αμυντικές Δυνάμεις (IDF), καθώς και στην αμυντική και αεροδιαστημική βιομηχανία του Ισραήλ.

Το τέχνασμα περιελάμβανε την εμφάνιση ως υπάλληλοι εταιρειών στο LinkedIn και την αποστολή μηνυμάτων σε στόχους με ψεύτικες ευκαιρίες εργασίας για ελεύθερους επαγγελματίες. Μετά την αρχική επαφή, οι ψευδείς προσλήπτες θα έστελναν ένα έγγραφο δέλεαρ με οδηγίες για τη συμμετοχή σε μια αξιολόγηση κωδικοποίησης.

Η αξιολόγηση ψευδούς κωδικοποίησης απαιτούσε από τους παραλήπτες να κατεβάσουν ένα έργο Visual Studio, που μεταμφιέζεται σε εφαρμογή διαχείρισης ανθρώπινων πόρων, από μια σελίδα GitHub ή Google Drive που ελέγχεται από τους εισβολείς. Στη συνέχεια ζητήθηκε από τους παραλήπτες να προσθέσουν χαρακτηριστικά στο έργο, για να δείξουν τις δεξιότητές τους κωδικοποίησης. Εντός του έργου, ωστόσο, περιείχε μια συνάρτηση που κατέβαζε κρυφά, εξήγαγε και εκτελούσε ένα κακόβουλο αρχείο ZIP στον επηρεαζόμενο υπολογιστή. Μέσα στο ZIP: την κερκόπορτα πολλαπλών πλατφορμών SysJoker.

«Τίποτα σαν τη Ρωσία»

Μπορεί να φαίνεται αδιανόητο ότι η εισβολή της Χαμάς δεν θα είχε συνδυαστεί με μια μετατόπιση της δραστηριότητάς της στον κυβερνοχώρο παρόμοια με το μοντέλο της Ρωσίας. Αυτό μπορεί να οφείλεται στην ιεράρχηση της επιχειρησιακής ασφάλειας — της μυστικότητας που έκανε την τρομοκρατική επίθεση της 7ης Οκτωβρίου τόσο σοκαριστικά αποτελεσματική.

Λιγότερο εξηγήσιμος είναι ο λόγος για τον οποίο η πιο πρόσφατη επιβεβαιωμένη δραστηριότητα στον κυβερνοχώρο που σχετίζεται με τη Χαμάς, σύμφωνα με τη Mandiant, σημειώθηκε στις 4 Οκτωβρίου. (Η Γάζα, εν τω μεταξύ, υπέφερε από σημαντικές διακοπές στο Διαδίκτυο τους τελευταίους μήνες.)

«Πιστεύω ότι το βασικό πράγμα που πρέπει να επισημανθεί είναι ότι πρόκειται για πολύ διαφορετικές συγκρούσεις, με πολύ διαφορετικές οντότητες εμπλεκόμενες», δήλωσε ο Shane Huntley, ανώτερος διευθυντής στο Google TAG. «Η Χαμάς δεν μοιάζει σε τίποτα με τη Ρωσία. Και επομένως, δεν προκαλεί έκπληξη το γεγονός ότι η χρήση του κυβερνοχώρου είναι πολύ διαφορετική [ανάλογα με] τη φύση της σύγκρουσης, μεταξύ μόνιμων στρατών έναντι ενός είδους επίθεσης όπως είδαμε στις 7 Οκτωβρίου».

Αλλά η Χαμάς πιθανότατα δεν έχει αποσύρει πλήρως τις δραστηριότητές της στον κυβερνοχώρο. «Ενώ οι προοπτικές για μελλοντικές επιχειρήσεις στον κυβερνοχώρο από φορείς που συνδέονται με τη Χαμάς είναι αβέβαιες στο εγγύς μέλλον, αναμένουμε ότι η κυβερνο-δραστηριότητα της Χαμάς θα ξαναρχίσει τελικά. Θα πρέπει να επικεντρωθεί στην κατασκοπεία για τη συλλογή πληροφοριών για αυτές τις ενδοπαλαιστινιακές υποθέσεις, το Ισραήλ, τις Ηνωμένες Πολιτείες και άλλους περιφερειακούς παράγοντες στη Μέση Ανατολή», σημείωσε ο Ντένεσεν.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why