מתקפות הסייבר של חמאס פסקו לאחר מתקפת הטרור ב-7 באוקטובר. אבל למה?

גורמי איומי סייבר הקשורים לחמאס הפסיקו לכאורה את פעילותם מאז מתקפת הטרור בישראל ב-7 באוקטובר, תוך שהם מביכים מומחים.

לוחמה משולבת היא כובע ישן בשנת 2024. כפי שאמר מנדיאנט בדו"ח שפורסם לאחרונה, פעולות סייבר הפכו ל"כלי מוצא ראשון" עבור כל אומה או קבוצה מיושרת לאומה ברחבי העולם העוסקת בסכסוך ממושך, בין אם זה פוליטי, כלכלי או מלחמתי באופיים. הפלישה של רוסיה לאוקראינה - שקדמה לה ונתמכת על ידי גלים היסטוריים של הרס סייבר, ריגול ומידע מוטעה - היא, כמובן, התמצית.

לא כך בעזה. אם ספר המשחקים של היום הוא לתמוך במלחמה קינטית עתירת משאבים עם מלחמת סייבר בסיכון נמוך בהשקעה נמוכה, חמאס זרק את הספר.

"מה שראינו לאורך כל ספטמבר 2023 היה פעילויות ריגול סייבר אופייניות מאוד הקשורות לחמאס - הפעילות שלהן הייתה עקבית מאוד עם מה שראינו במשך שנים", אמרה קריסטן דנסן, אנליסטית מודיעין איומים של קבוצת האיומים של גוגל (TAG), ב- מסיבת עיתונאים השבוע. "הפעילות הזו נמשכה עד קצת לפני ה-7 באוקטובר - לא הייתה שום שינוי או עלייה לפני הנקודה הזו. ומאז לא ראינו שום פעילות משמעותית של השחקנים האלה”.

אי הגברת התקפות סייבר לפני ה-7 באוקטובר עשויה להתפרש כאסטרטגית. אבל לגבי למה חמאס (בלי קשר לתומכיו) עזבה את פעולות הסייבר שלה במקום להשתמש בהן כדי לתמוך במאמץ המלחמתי שלה, הודה דנסן, "אנחנו לא מציעים שום הסבר למה כי אנחנו לא יודעים."

חמאס לפני אוקטובר 7: 'BLACKATOM'

התקפות סייבר טיפוסיות של חמאס כוללות "קמפיינים דיוגים המוניים לאספקת תוכנות זדוניות או גניבת נתוני דוא"ל", אמר דנסן, כמו גם תוכנות ריגול ניידות דרך דלתות אחוריות שונות של אנדרואיד שנפלו באמצעות דיוג. "ולבסוף, מבחינת הכוונה שלהם: התמקדות מתמשכת מאוד של ישראל, פלסטין, שכנותיהן האזוריות במזרח התיכון, כמו גם התמקדות בארה"ב ואירופה", הסבירה.

למקרה בוחן איך זה נראה, קח את BLACKATOM - אחד משלושת השחקנים העיקריים הקשורים לאיום בחמאס, לצד BLACKSTEM (הידוע בשם MOLERATS, Extreme Jackal) ו-DESERTVARNISH (המכונה UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

בספטמבר, BLACKATOM החלה בקמפיין הנדסה חברתית המכוונת למהנדסי תוכנה בצבא ההגנה לישראל (צה"ל), וכן בתעשיות הביטחוניות והחלל של ישראל.

התחבולה כללה התחזות לעובדים של חברות בלינקדאין והעברת הודעות יעדים עם הזדמנויות עבודה פרילנסריות מזויפות. לאחר מגע ראשוני, המגייסים הכוזבים היו שולחים מסמך פיתוי עם הנחיות להשתתפות בהערכת קידוד.

הערכת הקידוד המזויף חייבה את הנמענים להוריד פרויקט Visual Studio, המתחזה לאפליקציית ניהול משאבי אנוש, מדף GitHub או Google Drive הנשלט על ידי תוקף. לאחר מכן התבקשו הנמענים להוסיף תכונות לפרויקט, כדי להדגים את כישורי הקידוד שלהם. עם זאת, כלולה בפרויקט פונקציה שהורידה, חילצה וביצעה בסתר קובץ ZIP זדוני במחשב המושפע. בתוך המיקוד: הדלת האחורית המרובה של SysJoker.

"אין כמו רוסיה"

זה אולי נראה מנוגד לאינטואיציה שהפלישה של חמאס לא הייתה מלווה בשינוי בפעילות הסייבר שלו בדומה למודל של רוסיה. ייתכן שהדבר נובע מתעדוף הביטחון המבצעי שלה - הסודיות שהפכה את מתקפת הטרור שלה ב-7 באוקטובר ליעילה כל כך.

פחות מוסברת היא הסיבה שפעילות הסייבר האחרונה שאושרה הקשורה לחמאס, לפי מנדיאנט, התרחשה עוד ב-4 באוקטובר. (עזה, בינתיים, סבלה משיבושים משמעותיים באינטרנט בחודשים האחרונים).

"אני חושב שהדבר העיקרי שצריך להדגיש הוא שמדובר בקונפליקטים שונים מאוד, עם ישויות שונות מאוד שמעורבות", אמר שיין הנטלי, מנהל בכיר ב-Google TAG. "חמאס אינו דומה לרוסיה. ולכן, אין זה מפתיע שהשימוש בסייבר שונה מאוד [תלוי באופי] הסכסוך, בין צבאות עומדים לעומת סוג של מתקפה כמו שראינו ב-7 באוקטובר".

אבל חמאס כנראה לא פרש לחלוטין את פעולות הסייבר שלו. "אמנם התחזית לפעולות סייבר עתידיות של שחקנים הקשורים לחמאס אינה ודאית בטווח הקרוב, אך אנו צופים כי פעילות הסייבר של חמאס תתחדש בסופו של דבר. זה צריך להיות מתמקד בריגול לאיסוף מודיעין על העניינים הפנים-פלסטיניים הללו, ישראל, ארצות הברית ושחקנים אזוריים אחרים במזרח התיכון", ציין דנסן.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why