Cyberataki Hamasu ustały po ataku terrorystycznym z 7 października. Ale dlaczego?

Podmioty zagrażające cyberprzestrzeni powiązane z Hamasem najwyraźniej zaprzestały działalności od czasu ataku terrorystycznego w Izraelu 7 października, co wprawia w zakłopotanie ekspertów.

Wojna kombinowana w 2024 r. to już przeszłość. Jak powiedział Mandiant w nowo opublikowanym raporcieoperacje cybernetyczne stały się „narzędziem pierwszej instancji” dla każdego narodu lub grupy zrzeszonej w tym narodzie na całym świecie, zaangażowanej w przedłużający się konflikt o charakterze politycznym, gospodarczym lub wojennym. Inwazja Rosji na Ukrainę – poprzedzona i wspierana przez historyczne fale cyberzniszczenia, szpiegostwa i dezinformacji – jest oczywiście kwintesencją.

Inaczej jest w Gazie. Jeśli dzisiejszym podręcznikiem jest wspieranie wojny kinetycznej wymagającej dużych zasobów za pomocą wojny cybernetycznej o niskim ryzyku i niskich inwestycjach, Hamas wyrzucił tę książkę.

„To, co widzieliśmy przez cały wrzesień 2023 r., było bardzo typowymi działaniami cyberszpiegostwa powiązanymi z Hamasem – ich działalność była bardzo zgodna z tym, co obserwowaliśmy od lat” – powiedziała Kristen Dennesen, analityk ds. wywiadu zagrożeń w Google Threat Analysis Group (TAG). w tym tygodniu konferencja prasowa. „Ta aktywność trwała aż do tuż przed 7 października – przed tym momentem nie było żadnej zmiany ani wzrostu. Od tego czasu nie zaobserwowaliśmy żadnej znaczącej aktywności ze strony tych podmiotów”.

Zaniechanie nasilenia cyberataków przed 7 października może zostać odebrane jako strategiczne. Ale jeśli chodzi o to, dlaczego Hamas (niezależnie od jego zwolenników) zrezygnował ze swoich operacji cybernetycznych, zamiast wykorzystać je do wspierania swoich działań wojennych, Dennesen przyznał: „Nie wyjaśniamy dlaczego, ponieważ nie wiemy”.

Hamas przed październikiem 7: „BLACKATOM”

Typowe cyberataki Hamas-nexus obejmują „masowe kampanie phishingowe mające na celu dostarczanie złośliwego oprogramowania lub kradzież danych e-mailowych” – stwierdził Dennesen, a także mobilne oprogramowanie szpiegowskie za pośrednictwem różnych backdoorów dla Androida, wyrzucane w wyniku phishingu. „I wreszcie, jeśli chodzi o ich obieranie za cel: bardzo uporczywe obieranie za cel Izraela, Palestyny, ich regionalnych sąsiadów na Bliskim Wschodzie, a także USA i Europę” – wyjaśniła.

Aby zobaczyć, jak to wygląda w studium przypadku, weźmy BLACKATOM — jednego z trzech głównych ugrupowań zagrażających powiązanych z Hamasem, obok BLACKSTEM (alias MOLERATS, Extreme Jackal) i DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

We wrześniu BLACKATOM rozpoczął kampanię dotyczącą inżynierii społecznej skierowaną do inżynierów oprogramowania w izraelskich siłach zbrojnych (IDF), a także w izraelskim przemyśle obronnym i lotniczym.

Podstęp polegał na udawaniu pracowników firm na LinkedIn i wysyłaniu do docelowych wiadomości fałszywych ofert pracy dla niezależnych strzelców. Po pierwszym kontakcie fałszywi rekruterzy wysyłali dokument wabiący z instrukcjami dotyczącymi udziału w ocenie kodowania.

Fałszywa ocena kodowania wymagała od odbiorców pobrania projektu Visual Studio podszywającego się pod aplikację do zarządzania zasobami ludzkimi ze strony GitHub lub Dysku Google kontrolowanej przez osoby atakujące. Następnie odbiorców poproszono o dodanie funkcji do projektu, aby zademonstrować swoje umiejętności kodowania. Projekt zawierał jednak funkcję, która w tajemnicy pobierała, wyodrębniała i uruchamiała złośliwy plik ZIP na zaatakowanym komputerze. Wewnątrz ZIP-u: wieloplatformowy backdoor SysJoker.

„Nie ma to jak Rosja”

Może wydawać się sprzeczne z intuicją, że inwazji Hamasu nie towarzyszyła zmiana w jego aktywności cybernetycznej na wzór rosyjskiego. Może to wynikać z priorytetowego traktowania bezpieczeństwa operacyjnego – tajemnicy, która sprawiła, że ​​atak terrorystyczny z 7 października był tak szokująco skuteczny.

Mniej wytłumaczalne jest to, dlaczego według Mandianta ostatnia potwierdzona aktywność cybernetyczna związana z Hamasem miała miejsce 4 października. (Tymczasem w ostatnich miesiącach Gaza doświadczyła znacznych zakłóceń w Internecie).

„Myślę, że kluczową rzeczą, którą należy podkreślić, jest to, że są to bardzo różne konflikty, w które zaangażowane są bardzo różne podmioty” – powiedział Shane Huntley, starszy dyrektor w Google TAG. „Hamas w niczym nie przypomina Rosji. Dlatego nie jest zaskakujące, że wykorzystanie cybernetyki jest bardzo różne [w zależności od] charakteru konfliktu, pomiędzy stałymi armiami a rodzajem ataku, jaki widzieliśmy 7 października”.

Jednak Hamas prawdopodobnie nie zaprzestał całkowicie swoich operacji cybernetycznych. „Chociaż perspektywy przyszłych operacji cybernetycznych prowadzonych przez podmioty powiązane z Hamasem są niepewne w najbliższej perspektywie, przewidujemy, że cyberaktywność Hamasu w końcu zostanie wznowiona. Powinna koncentrować się na szpiegostwie w celu gromadzenia informacji wywiadowczych na temat spraw wewnątrzpalestyńskich, Izraela, Stanów Zjednoczonych i innych regionalnych graczy na Bliskim Wschodzie” – zauważył Dennesen.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why