Hamasi küberrünnakud lakkasid pärast 7. oktoobri terrorirünnakut. Aga miks?

Hamasiga seotud küberohtude osalised on näiliselt tegevuse lõpetanud alates 7. oktoobri terrorirünnakust Iisraelis, ajades eksperdid segadusse.

Kombineeritud sõda on vana müts aastal 2024. Nagu Mandiant ütles äsja avaldatud aruandes, on küberoperatsioonid muutunud "esimese abinõuks" igale riigile või rahvusrühmale üle maailma, kes osaleb pikaleveninud konfliktides, olgu see siis poliitiline, majanduslik või sõjaline. Venemaa sissetung Ukrainasse, millele eelnesid ja mida toetavad ajaloolised küberhävitus-, spionaaži- ja valeinformatsiooni lained, on loomulikult kõige olulisem.

Mitte nii Gazas. Kui tänane mänguraamat peaks toetama ressursimahukat kineetilist sõda madala riskitasemega ja väheinvesteeringutega kübersõjaga, on Hamas selle raamatu välja visanud.

"See, mida nägime kogu 2023. aasta septembris, oli väga tüüpiline Hamasiga seotud küberspionaažitegevus – nende tegevus oli väga kooskõlas sellega, mida oleme aastaid näinud," ütles Google'i ohuanalüüsi rühma (TAG) ohuluure analüütik Kristen Dennesen. pressikonverents sel nädalal. „See tegevus jätkus kuni 7. oktoobrini – enne seda ei toimunud mingit nihet ega tõusu. Ja sellest ajast peale pole me nendelt näitlejatelt märkimisväärset tegevust näinud.»

Kui küberrünnakuid enne 7. oktoobrit ei kiirendata, võib seda pidada strateegiliseks. Aga mis puudutab seda, miks Hamas (sõltumata selle toetajatest) on oma küberoperatsioonid lõpetanud, selle asemel, et neid sõjategevuse toetamiseks kasutada, tunnistas Dennesen: "Me ei anna põhjust, sest me ei tea."

Hamas enne okt. 7: "BLACKATOM"

Tüüpiliste Hamas-nexuse küberrünnakute hulka kuuluvad "massilised andmepüügikampaaniad pahavara kohaletoimetamiseks või meiliandmete varastamiseks", ütles Dennesen, aga ka mobiilset nuhkvara erinevate Androidi tagauste kaudu, mis on andmepüügist lahti saanud. "Ja lõpuks, mis puudutab nende sihtimist: väga järjekindel Iisraeli, Palestiina, nende Lähis-Ida piirkondlike naabrite sihtimine, samuti USA ja Euroopa sihtimine," selgitas ta.

Juhtumianalüüsiks selle kohta, kuidas see välja näeb, võtke BLACKATOM – üks kolmest peamisest Hamasiga seotud ohutegijast BLACKSTEMi (teise nimega MOLERATS, Extreme Jackal) ja DESERTVARNISHi (teise nimega UNC718, Renegade Jackal, Desert Falcons, Arid Viper) kõrval.

Septembris alustas BLACKATOM sotsiaaltehnoloogia kampaaniat, mis oli suunatud Iisraeli kaitsejõudude (IDF) tarkvarainseneridele ning Iisraeli kaitse- ja kosmosetööstusele.

Kaval oli LinkedInis ettevõtete töötajatena esinemine ja võltsitud vabakutseliste töövõimaluste sihtmärkide saatmine. Pärast esmast kontakti saadavad valevärbajad peibutusdokumendi koos juhistega kodeerimise hindamisel osalemiseks.

Võltskodeerimise hindamine nõudis, et adressaadid laadiksid ründaja juhitud GitHubi või Google Drive'i lehelt alla personalihaldusrakenduseks maskeeritud Visual Studio projekti. Seejärel paluti adressaatidel lisada projektile funktsioone, et näidata oma kodeerimisoskusi. Projekti sees oli aga funktsioon, mis laadis mõjutatud arvutis salaja alla, ekstraheeris ja käivitas pahatahtliku ZIP-faili. ZIP-i sees: SysJokeri mitmeplatvormiline tagauks.

"Mitte midagi sellist nagu Venemaa"

Võib tunduda vastuoluline, et Hamasi sissetung ei oleks olnud seotud tema kübertegevuse nihkega, mis sarnaneb Venemaa mudeliga. See võib olla tingitud operatiivjulgeoleku prioriteedist - salastatusest, mis muutis selle 7. oktoobri terrorirünnaku nii šokeerivalt tõhusaks.

Vähem seletatav on põhjus, miks viimane kinnitatud Hamasiga seotud kübertegevus leidis Mandiandi andmetel aset 4. oktoobril. (Vahepeal on Gaza kannatanud viimastel kuudel märkimisväärsete Interneti-katkestuste all.)

"Ma arvan, et peamine asi, mida tuleb välja tuua, on see, et tegemist on väga erinevate konfliktidega, milles osalevad väga erinevad üksused," ütles Google TAGi vanemdirektor Shane Huntley. "Hamas pole Venemaa moodi. Seetõttu pole üllatav, et kübertehnoloogia on väga erinev [olenevalt] konflikti olemusest, alaliste armeede ja rünnakute vahel, nagu nägime 7. oktoobril.

Kuid tõenäoliselt pole Hamas oma kübertegevust täielikult lõpetanud. "Kuigi Hamasiga seotud osalejate tulevaste küberoperatsioonide väljavaated on lähiajal ebakindlad, eeldame, et Hamasi kübertegevus lõpuks taastub. See peaks keskenduma luureandmete kogumisele nende Palestiina-siseste asjade, Iisraeli, USA ja teiste Lähis-Ida piirkondlike osalejate luureandmete kogumiseks," märkis Dennesen.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why