A Hamász kibertámadásai az október 7-i terrortámadás után megszűntek. De miért?

A Hamászhoz köthető kiberfenyegetés szereplői látszólag beszüntették tevékenységüket az október 7-i izraeli terrortámadás óta, ami megzavarta a szakértőket.

A kombinált hadviselés régi kalap 2024-ben. Ahogy Mandiant mondta egy frissen megjelent jelentésben, a kiberműveletek „első menekülési eszközzé” váltak minden olyan nemzet vagy nemzethez kötődő csoport számára világszerte, amely elhúzódó konfliktusban vesz részt, legyen az politikai, gazdasági vagy háborús jellegű. Ukrajna orosz inváziója – amelyet a számítógépes pusztítás, kémkedés és félretájékoztatás történelmi hullámai előznek meg és támogatnak – természetesen a kvintesszenciája.

Nem úgy Gázában. Ha a mai játékkönyv az erőforrás-igényes kinetikus háborút alacsony kockázatú, alacsony befektetést igénylő kiberháborúval kívánja támogatni, a Hamasz kidobta a könyvet.

„Amit 2023 szeptemberében láttunk, az nagyon tipikus Hamaszhoz köthető kiberkémtevékenység volt – tevékenységük nagyon összhangban volt azzal, amit évek óta láttunk” – mondta Kristen Dennesen, a Google Fenyegetéselemző Csoportjának (TAG) fenyegetettségi hírszerzési elemzője. sajtótájékoztató a héten. „Ez a tevékenység egészen október 7-ig tartott – ezt megelőzően nem volt semmiféle elmozdulás vagy emelkedés. És azóta nem tapasztaltunk jelentősebb aktivitást ezektől a szereplőktől.”

A kibertámadások október 7. előtti felgyorsításának elmulasztása stratégiai jelentőségűnek tekinthető. De azzal kapcsolatban, hogy miért a Hamasz (támogatóitól függetlenül) felhagyott kiberműveleteivel, ahelyett, hogy háborús erőfeszítéseinek támogatására használta volna őket, Dennesen elismerte: „Nem adunk magyarázatot arra, hogy miért, mert nem tudjuk.”

Hamasz okt. 7: 'BLACKATOM'

A Hamas-nexus tipikus kibertámadásai közé tartoznak a „tömeges adathalász kampányok rosszindulatú programok kézbesítésére vagy e-mail adatok ellopására” – mondta Dennesen, valamint az adathalászat révén eldobott különféle Android-hátsó ajtókon keresztüli mobil kémprogramok. „És végül, ami a célzást illeti: nagyon kitartóan célozzák Izraelt, Palesztinát, regionális közel-keleti szomszédaikat, valamint az Egyesült Államokat és Európát” – magyarázta.

Egy esettanulmányhoz, hogy hogyan néz ki, vegyük BLACKATOM-ot – a három elsődleges, Hamászhoz köthető fenyegetés szereplőjének egyikét, BLACKSTEM (más néven MOLERATS, Extreme Jackal) és DESERTVARNISH (más néven UNC718, Renegade Jackal, Desert Falcons, Arid Viper) mellett.

Szeptemberben a BLACKATOM társadalmi tervezési kampányba kezdett, amelynek célja az Izraeli Védelmi Erők (IDF), valamint az izraeli védelmi és repülőgépipar szoftvermérnökei.

A csalás az volt, hogy cégek alkalmazottainak adta ki magát a LinkedIn-en, és hamis szabadúszó munkalehetőségekkel üzent a célpontoknak. Az első kapcsolatfelvételt követően a hamis toborzók küldenek egy csalidokumentumot, amely tartalmazza a kódolási értékelésben való részvételre vonatkozó utasításokat.

A hamis kódolási értékeléshez a címzetteknek le kellett tölteniük egy Visual Studio-projektet, amely emberi erőforrás-kezelő alkalmazásnak álcázza magát, a támadók által irányított GitHub- vagy Google Drive-oldalról. Ezután a címzetteket arra kérték, hogy adjanak hozzá funkciókat a projekthez, hogy bemutassák kódolási készségeiket. A projektben azonban szerepelt egy olyan funkció, amely titokban letöltött, kicsomagolt és végrehajtott egy rosszindulatú ZIP-fájlt az érintett számítógépen. A ZIP-en belül: a SysJoker többplatformos hátsó ajtó.

"Semmi olyan, mint Oroszország"

Ellentmondónak tűnhet, hogy a Hamász inváziója nem párosult volna kibertevékenységében az orosz modellhez hasonló elmozdulással. Ez annak köszönhető, hogy prioritásként kezeli a műveleti biztonságot – ez a titkosság tette olyan megdöbbentően hatásossá az október 7-i terrortámadást.

Kevésbé megmagyarázható, hogy a Mandiant szerint a legutóbbi megerősített Hamasszal kapcsolatos kibertevékenység miért történt még október 4-én. (Gáza ugyanakkor jelentős internetes zavaroktól szenvedett az elmúlt hónapokban.)

„Azt hiszem, a legfontosabb dolog, amit le kell szögezni, hogy ezek nagyon különböző konfliktusok, nagyon különböző entitásokkal” – mondta Shane Huntley, a Google TAG vezető igazgatója. „A Hamasz nem hasonlít Oroszországhoz. Ezért nem meglepő, hogy a kiberhasználat nagyon eltérő [a konfliktus természetétől függően], az állandó hadseregek és az október 7-én tapasztalt támadások között.”

De a Hamász valószínűleg még nem állította le teljesen kiberműveleteit. „Noha a Hamászhoz köthető szereplők jövőbeli kiberműveleteinek kilátásai a közeljövőben bizonytalanok, arra számítunk, hogy a Hamász kibertevékenysége végül újraindul. Ennek a palesztinon belüli ügyekben, Izraelre, az Egyesült Államokra és más regionális szereplőkre kell összpontosítania a titkosszolgálati kémkedésre a közel-keleti ügyekben” – jegyezte meg Dennesen.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why