Les cyberattaques du Hamas ont cessé après l'attaque terroriste du 7 octobre. Mais pourquoi?

Les acteurs de la cybermenace liés au Hamas semblent avoir cessé leurs activités depuis l’attaque terroriste en Israël le 7 octobre, ce qui déroute les experts.

La guerre combinée est un vieux chapeau en 2024. Comme l’a dit Mandiant dans un rapport récemment publié, les cyberopérations sont devenues un « outil de premier recours » pour toute nation ou groupe d’alignement national dans le monde engagé dans un conflit prolongé, qu’il soit de nature politique, économique ou guerrière. L’invasion de l’Ukraine par la Russie – précédée et soutenue par des vagues historiques de cyberdestruction, d’espionnage et de désinformation – en est bien sûr la quintessence.

Ce n’est pas le cas à Gaza. Si la stratégie d’aujourd’hui consiste à soutenir une guerre cinétique à forte intensité de ressources avec une cyberguerre à faible risque et à faible investissement, le Hamas a rejeté cette stratégie.

"Ce que nous avons vu tout au long du mois de septembre 2023 était des activités de cyberespionnage très typiques liées au Hamas – leur activité était très cohérente avec ce que nous avons vu depuis des années", a déclaré Kristen Dennesen, analyste des renseignements sur les menaces pour le groupe d'analyse des menaces (TAG) de Google. une conférence de presse cette semaine. « Cette activité s'est poursuivie jusqu'au 7 octobre – il n'y a eu aucun changement ni aucune hausse avant ce point. Et depuis, nous n’avons constaté aucune activité significative de la part de ces acteurs.

Ne pas intensifier les cyberattaques avant le 7 octobre pourrait être interprété comme stratégique. Mais quant à la raison pour laquelle le Hamas (quels que soient ses partisans) a abandonné ses cyberopérations au lieu de les utiliser pour soutenir son effort de guerre, a admis Dennesen : « Nous n'offrons aucune explication sur pourquoi parce que nous ne le savons pas. »

Hamas avant octobre. 7 : « NOIR ATOME »

Les cyberattaques typiques du Hamas incluent « des campagnes de phishing de masse visant à diffuser des logiciels malveillants ou à voler des données de courrier électronique », a déclaré Dennesen, ainsi que des logiciels espions mobiles via diverses portes dérobées Android abandonnées via le phishing. « Et enfin, en termes de ciblage : ciblage très persistant d’Israël, de la Palestine, de leurs voisins régionaux du Moyen-Orient, ainsi que ciblage des États-Unis et de l’Europe », a-t-elle expliqué.

Pour une étude de cas de ce à quoi cela ressemble, prenons BLACKATOM – l’un des trois principaux acteurs menaçants liés au Hamas, aux côtés de BLACKSTEM (alias MOLERATS, Extreme Jackal) et DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

En septembre, BLACKATOM a lancé une campagne d'ingénierie sociale destinée aux ingénieurs logiciels des Forces de défense israéliennes (FDI), ainsi qu'aux industries de la défense et de l'aérospatiale israéliennes.

La ruse consistait à se faire passer pour des employés d'entreprises sur LinkedIn et à envoyer des messages à des cibles proposant de fausses opportunités d'emploi indépendant. Après un premier contact, les faux recruteurs envoyaient un document leurre contenant des instructions pour participer à une évaluation de codage.

La fausse évaluation de codage obligeait les destinataires à télécharger un projet Visual Studio, se faisant passer pour une application de gestion des ressources humaines, à partir d'une page GitHub ou Google Drive contrôlée par un attaquant. Les destinataires ont ensuite été invités à ajouter des fonctionnalités au projet, pour démontrer leurs compétences en codage. Cependant, le projet contenait une fonction qui téléchargeait, extrayait et exécutait secrètement un fichier ZIP malveillant sur l'ordinateur concerné. À l'intérieur du ZIP : la porte dérobée multiplateforme SysJoker.

« Rien de tel que la Russie »

Il peut sembler contre-intuitif que l’invasion du Hamas n’ait pas été accompagnée d’un changement dans ses activités cybernétiques semblable au modèle russe. Cela peut être dû à la priorité accordée à la sécurité opérationnelle – le secret qui a rendu l’attaque terroriste du 7 octobre si incroyablement efficace.

Selon Mandiant, la raison pour laquelle la plus récente cyberactivité confirmée liée au Hamas s'est produite le 4 octobre est moins explicable. (Gaza, quant à elle, a souffert d'importantes perturbations d'Internet ces derniers mois.)

"Je pense que l'essentiel à retenir est qu'il s'agit de conflits très différents, avec des entités très différentes impliquées", a déclaré Shane Huntley, directeur principal de Google TAG. « Le Hamas n’a rien à voir avec la Russie. Il n'est donc pas surprenant que l'utilisation du cyber soit très différente selon la nature du conflit, entre des armées permanentes et une sorte d'attaque comme celle du 7 octobre.»

Mais le Hamas n’a probablement pas complètement abandonné ses cyberopérations. « Même si les perspectives des futures cyberopérations menées par des acteurs liés au Hamas sont incertaines à court terme, nous prévoyons que les cyberactivités du Hamas finiront par reprendre. Elle devrait se concentrer sur l’espionnage pour la collecte de renseignements sur les affaires intra-palestiniennes, sur Israël, les États-Unis et d’autres acteurs régionaux du Moyen-Orient », a noté Dennesen.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why