Hamasin kyberhyökkäykset loppuivat 7. lokakuuta tehdyn terrori-iskun jälkeen. Mutta miksi?

Hamasiin liittyvät kyberuhkien toimijat ovat ilmeisesti lopettaneet toimintansa Israelissa lokakuun 7. päivänä tehdyn terrori-iskun jälkeen, mikä hämmentää asiantuntijoita.

Yhdistelmäsodankäynti on vanha hattu vuonna 2024. Kuten Mandiant sanoi äskettäin julkaistussa raportissa, kyberoperaatioista on tullut "ensisijainen työkalu" mille tahansa kansalle tai kansakuntaan sitoutuneelle ryhmälle ympäri maailmaa, jotka ovat mukana pitkittyneissä konflikteissa, olipa kyseessä sitten poliittinen, taloudellinen tai sota. Venäjän hyökkäys Ukrainaan - jota edeltävät ja tukevat historialliset kybertuho-, vakoilu- ja väärän tiedon aallot - on tietysti olennainen osa.

Ei niin Gazassa. Jos tämän päivän pelikirjan on tarkoitus tukea resurssiintensiivistä kineettistä sotaa alhaisen riskin ja vähän investointeja vaativalla kybersodalla, Hamas on hylännyt kirjan.

"Se, mitä näimme koko syyskuun 2023 ajan, oli hyvin tyypillistä Hamasiin liittyvää kybervakoilua – niiden toiminta vastasi hyvin sitä, mitä olemme nähneet vuosien ajan", Kristen Dennesen, Googlen Threat Analysis Groupin (TAG) uhkatiedustelun analyytikko, sanoi. lehdistötilaisuus tällä viikolla. ”Tämä toiminta jatkui juuri ennen lokakuun 7. päivää – ennen sitä ei tapahtunut minkäänlaista muutosta tai nousua. Ja sen jälkeen emme ole nähneet näiltä toimijoilta mitään merkittävää toimintaa."

Jos kyberhyökkäyksiä ei pystytä lisäämään ennen 7. lokakuuta, sitä voidaan pitää strategisena. Mutta mitä tulee siihen, miksi Hamas (riippumatta sen kannattajista) on lopettanut kybertoimintansa sen sijaan, että olisi käyttänyt niitä sotaponnistelunsa tukemiseen, Dennesen myönsi: "Emme tarjoa mitään selitystä miksi, koska emme tiedä."

Hamas ennen lokakuuta 7: 'BLACKATOM'

Tyypillisiä Hamas-nexus-verkkohyökkäyksiä ovat "massatietojenkalastelukampanjat haittaohjelmien toimittamiseksi tai sähköpostitietojen varastamiseksi", Dennesen sanoi, sekä mobiilivakoiluohjelmat useiden Android-takaovien kautta, jotka on pudonnut tietojenkalastelulla. "Ja lopuksi, mitä tulee niiden kohdistamiseen: erittäin jatkuva kohdistaminen Israeliin, Palestiinaan, niiden Lähi-idän alueellisiin naapureihin sekä Yhdysvaltoihin ja Eurooppaan", hän selitti.

Jos haluat tapaustutkimuksen siitä, miltä se näyttää, ota BLACKATOM – yksi kolmesta ensisijaisesta Hamasiin liittyvästä uhkatekijästä BLACKSTEMin (alias MOLERATS, Extreme Jackal) ja DESERTVARNISHin (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper) rinnalla.

Syyskuussa BLACKATOM aloitti sosiaalisen suunnittelun kampanjan, joka on suunnattu Israelin puolustusvoimien (IDF) ohjelmistoinsinööreille sekä Israelin puolustus- ja ilmailuteollisuudelle.

Huijaan kuului esiintyminen yritysten työntekijöinä LinkedInissä ja viestien lähettäminen kohteisiin vale freelance-työmahdollisuuksilla. Ensimmäisen yhteydenoton jälkeen väärät rekrytoijat lähettivät houkutusasiakirjan, jossa oli ohjeet koodausarviointiin osallistumisesta.

Väärennetyn koodauksen arviointi vaati vastaanottajien lataamaan Visual Studio -projektin, joka naamioitui henkilöstöhallinnon sovellukseksi, hyökkääjän hallitsemalta GitHub- tai Google Drive -sivulta. Vastaanottajia pyydettiin sitten lisäämään projektiin ominaisuuksia osoittamaan koodaustaitojaan. Projektiin sisältyi kuitenkin toiminto, joka salaa latasi, puri ja suoritti haitallisen ZIP-tiedoston kyseisessä tietokoneessa. ZIP:n sisällä: SysJokerin monikäyttöinen takaovi.

"Ei mitään Venäjän kaltaista"

Saattaa tuntua ristiriitaiselta, että Hamasin hyökkäystä ei olisi yhdistetty sen kybertoiminnan muutokseen, joka on samanlainen kuin Venäjän malli. Tämä saattaa johtua siitä, että se asetti etusijalle operatiivisen turvallisuuden - salailusta, joka teki lokakuun 7. päivän terrori-iskusta niin järkyttävän tehokkaan.

Vähemmän selitettävissä on, miksi viimeisin vahvistettu Hamasiin liittyvä kybertoiminta Mandiantin mukaan tapahtui jo 4. lokakuuta. (Sillä välin Gaza on kärsinyt merkittävistä Internet-häiriöistä viime kuukausina.)

"Mielestäni tärkein asia on, että nämä ovat hyvin erilaisia ​​​​konflikteja, joihin liittyy hyvin erilaisia ​​​​yksiköitä", sanoi Shane Huntley, Google TAGin vanhempi johtaja. "Hamas ei ole samanlainen kuin Venäjä. Ja siksi ei ole yllättävää, että kyberin käyttö on hyvin erilaista [riippuen] konfliktin luonteesta, seisovien armeijoiden ja eräänlaisen hyökkäyksen välillä, kuten näimme lokakuun 7.

Mutta Hamas ei todennäköisesti ole kokonaan lopettanut kybertoimintojaan. "Vaikka näkymät Hamasiin liittyvien toimijoiden tulevasta kyberoperaatiosta ovat epävarmat lähitulevaisuudessa, odotamme, että Hamasin kybertoiminta alkaa lopulta palata. Sen pitäisi keskittyä vakoilun tiedustelutietojen keräämiseen näistä Palestiinan sisäisistä asioista, Israelista, Yhdysvalloista ja muista Lähi-idän alueellisista toimijoista”, Dennesen huomautti.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why