Os ataques cibernéticos do Hamas cessaram após o ataque terrorista de 7 de outubro. Mas por que?

Os actores de ameaças cibernéticas ligados ao Hamas aparentemente cessaram a actividade desde o ataque terrorista em Israel em 7 de Outubro, confundindo os especialistas.

A guerra combinada é ultrapassada em 2024. Como disse Mandiant em um relatório recém-publicado, as operações cibernéticas tornaram-se uma “ferramenta de primeiro recurso” para qualquer nação ou grupo nacional alinhado em todo o mundo envolvido em conflitos prolongados, sejam eles de natureza política, económica ou bélica. A invasão da Ucrânia pela Rússia – precedida e apoiada por ondas históricas de destruição cibernética, espionagem e desinformação – é, obviamente, a quintessência.

Não é assim em Gaza. Se o manual de hoje é apoiar a guerra cinética com uso intensivo de recursos, com uma guerra cibernética de baixo risco e baixo investimento, o Hamas descartou o livro.

“O que vimos durante todo o mês de setembro de 2023 foram atividades típicas de espionagem cibernética ligadas ao Hamas – suas atividades eram muito consistentes com o que vimos durante anos”, disse Kristen Dennesen, analista de inteligência de ameaças do Threat Analysis Group (TAG) do Google em uma conferência de imprensa esta semana. “Essa atividade continuou até pouco antes de 7 de outubro – não houve qualquer tipo de mudança ou aumento antes desse ponto. E desde então, não vimos nenhuma atividade significativa desses atores.”

Não intensificar os ataques cibernéticos antes de 7 de outubro pode ser interpretado como estratégico. Mas sobre por que o Hamas (independentemente de seus apoiadores) abandonou as suas operações cibernéticas em vez de as utilizar para apoiar o seu esforço de guerra, Dennesen admitiu: “Não oferecemos qualquer explicação sobre o porquê, porque não sabemos”.

Hamas antes de outubro. 7: ‘BLACKATOM’

Os ataques cibernéticos típicos do Hamas-nexus incluem “campanhas de phishing em massa para entregar malware ou roubar dados de e-mail”, disse Dennesen, bem como spyware móvel através de vários backdoors Android lançados via phishing. “E, finalmente, em termos dos seus alvos: alvos muito persistentes de Israel, da Palestina, dos seus vizinhos regionais no Médio Oriente, bem como alvos dos EUA e da Europa”, explicou ela.

Para um estudo de caso de como isso é, veja o BLACKATOM – um dos três principais atores de ameaças ligados ao Hamas, ao lado de BLACKSTEM (também conhecido como MOLERATS, Extreme Jackal) e DESERTVARNISH (também conhecido como UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

Em setembro, a BLACKATOM iniciou uma campanha de engenharia social destinada a engenheiros de software das Forças de Defesa de Israel (IDF), bem como às indústrias de defesa e aeroespacial de Israel.

O estratagema envolvia se passar por funcionários de empresas no LinkedIn e enviar mensagens a alvos com falsas oportunidades de trabalho freelance. Após o contato inicial, os falsos recrutadores enviariam um documento de isca com instruções para participar de uma avaliação de codificação.

A avaliação de codificação falsa exigia que os destinatários baixassem um projeto do Visual Studio, disfarçado de aplicativo de gerenciamento de recursos humanos, de uma página do GitHub ou do Google Drive controlada por um invasor. Os destinatários foram então solicitados a adicionar recursos ao projeto, para demonstrar suas habilidades de codificação. No entanto, o projeto continha uma função que baixava, extraía e executava secretamente um arquivo ZIP malicioso no computador afetado. Dentro do ZIP: o backdoor multiplataforma SysJoker.

'Nada como a Rússia'

Pode parecer contra-intuitivo que a invasão do Hamas não tenha sido acompanhada de uma mudança na sua actividade cibernética semelhante ao modelo da Rússia. Isto pode dever-se à sua priorização da segurança operacional – o secretismo que tornou o seu ataque terrorista de 7 de Outubro tão chocantemente eficaz.

Menos explicável é a razão pela qual a mais recente actividade cibernética relacionada com o Hamas, de acordo com a Mandiant, ocorreu em 4 de Outubro. (Gaza, entretanto, sofreu interrupções significativas na Internet nos últimos meses).

“Acho que o principal a destacar é que se trata de conflitos muito diferentes, com entidades muito diferentes envolvidas”, disse Shane Huntley, diretor sênior do Google TAG. “O Hamas não se parece em nada com a Rússia. E, portanto, não é surpreendente que o uso da cibersegurança seja muito diferente [dependendo] da natureza do conflito, entre exércitos permanentes e um tipo de ataque como vimos em 7 de outubro.”

Mas o Hamas provavelmente não retirou totalmente as suas operações cibernéticas. “Embora as perspectivas para futuras operações cibernéticas por intervenientes ligados ao Hamas sejam incertas no curto prazo, prevemos que a actividade cibernética do Hamas acabará por ser retomada. Deveria centrar-se na espionagem para recolha de informações sobre estes assuntos intra-palestinos, Israel, os Estados Unidos e outros intervenientes regionais no Médio Oriente”, observou Dennesen.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why