Atacurile cibernetice ale Hamas au încetat după atacul terorist din 7 octombrie. Dar de ce?

Actorii de amenințări cibernetice legați de Hamas și-au încetat aparent activitatea încă de la atacul terorist din Israel din 7 octombrie, derutând experții.

Războiul combinat este o pălărie veche în 2024. După cum a spus Mandiant într-un raport recent publicat, operațiunile cibernetice au devenit un „instrument de primă soluție” pentru orice națiune sau grup aliniat la națiune din întreaga lume implicat într-un conflict prelungit, fie el de natură politică, economică sau războinică. Invazia Ucrainei de către Rusia – precedată și susținută de valuri istorice de distrugere cibernetică, spionaj și dezinformare – este, desigur, chintesența.

Nu e așa în Gaza. Dacă manualul de azi este de a sprijini războiul cinetic cu consum intensiv de resurse cu un război cibernetic cu risc scăzut și investiții reduse, Hamas a aruncat cartea.

„Ceea ce am văzut în septembrie 2023 au fost activități de spionaj cibernetic foarte tipice legate de Hamas – activitatea lor a fost foarte în concordanță cu ceea ce am văzut de ani de zile”, a declarat Kristen Dennesen, analist de informații despre amenințări pentru Google Threat Analysis Group (TAG), în o conferință de presă săptămâna aceasta. „Această activitate a continuat până cu puțin înainte de 7 octombrie – nu a existat niciun fel de schimbare sau creștere înainte de acel moment. Și de atunci, nu am văzut nicio activitate semnificativă din partea acești actori.”

Eșecul intensificării atacurilor cibernetice înainte de 7 octombrie ar putea fi considerat strategic. Dar referitor la motivul pentru care Hamas (indiferent de susținătorii săi) și-a părăsit operațiunile cibernetice în loc să le folosească pentru a-și sprijini efortul de război, a recunoscut Dennesen, „Nu oferim nicio explicație cu privire la motivul pentru că nu știm.”

Hamas înainte de oct. 7: „BLACKATOM”

Atacurile cibernetice tipice ale Hamas-nexus includ „campanii de phishing în masă pentru a furniza programe malware sau pentru a fura date de e-mail”, a spus Dennesen, precum și programele spion mobile prin diverse uși din spate Android eliminate prin phishing. „Și, în sfârșit, în ceea ce privește țintirea lor: țintirea foarte persistentă a Israelului, a Palestinei, a vecinilor lor regionali din Orientul Mijlociu, precum și a SUA și a Europei”, a explicat ea.

Pentru un studiu de caz despre cum arată, luați BLACKATOM — unul dintre cei trei actori principali ai amenințărilor legați de Hamas, alături de BLACKSTEM (alias MOLERATS, Extreme Jackal) și DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

În septembrie, BLACKATOM a început o campanie de inginerie socială destinată inginerilor de software din Forțele de Apărare Israeliene (IDF), precum și industriile de apărare și aerospațială din Israel.

Smecheria a implicat prezentarea drept angajați ai companiilor pe LinkedIn și trimiterea de mesaje către ținte cu oportunități false de angajare independentă. După contactul inițial, recrutorii falși trimiteau un document de atracție cu instrucțiuni pentru participarea la o evaluare de codificare.

Evaluarea codării false le-a cerut destinatarilor să descarce un proiect Visual Studio, mascandu-se ca o aplicație de gestionare a resurselor umane, de pe o pagină GitHub sau Google Drive controlată de atacator. Destinatarii au fost apoi rugați să adauge caracteristici proiectului, pentru a-și demonstra abilitățile de codare. Totuși, în proiect se afla o funcție care descărca, extrage și executa în secret un fișier ZIP rău intenționat pe computerul afectat. În interiorul ZIP: ușa din spate multiplatformă SysJoker.

„Nimic ca Rusia”

Poate părea contraintuitiv că invazia Hamas nu ar fi fost asociată cu o schimbare a activității sale cibernetice asemănătoare cu modelul Rusiei. Acest lucru se poate datora prioritizării securității operaționale – secretul care a făcut ca atacul terorist din 7 octombrie să fie atât de șocant de eficient.

Mai puțin explicabil este motivul pentru care cea mai recentă activitate cibernetică confirmată legată de Hamas, conform lui Mandiant, a avut loc pe 4 octombrie. (Între timp, Gaza a suferit întreruperi semnificative ale internetului în ultimele luni.)

„Cred că principalul lucru de scos este că acestea sunt conflicte foarte diferite, cu entități foarte diferite implicate”, a spus Shane Huntley, director senior la Google TAG. „Hamas nu se aseamănă cu Rusia. Și, prin urmare, nu este surprinzător că utilizarea cibernetică este foarte diferită [în funcție de] natura conflictului, între armatele permanente și un fel de atac așa cum am văzut pe 7 octombrie.”

Dar Hamas probabil că nu și-a retras complet operațiunile cibernetice. „Deși perspectivele viitoarelor operațiuni cibernetice ale actorilor legați de Hamas sunt incerte în termen scurt, anticipăm că activitatea cibernetică a Hamas se va relua în cele din urmă. Ar trebui să se concentreze pe spionaj pentru strângerea de informații despre aceste afaceri intra-palestiniene, Israel, Statele Unite și alți actori regionali din Orientul Mijlociu”, a menționat Dennesen.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why