Hamasovi kibernetski napadi so prenehali po terorističnem napadu 7. oktobra. Ampak zakaj?

Akterji kibernetske grožnje, povezani s Hamasom, so očitno prenehali delovati vse od terorističnega napada v Izraelu 7. oktobra, kar zmede strokovnjake.

Kombinirano bojevanje je leta 2024 staro. Kot je rekel Mandiant v novo objavljenem poročilu, so kibernetske operacije postale »orodje prve pomoči« za kateri koli narod ali nacionalno usmerjeno skupino po vsem svetu, ki je vpletena v dolgotrajen konflikt, naj bo ta politične, gospodarske ali vojne narave. Ruska invazija na Ukrajino – pred njo in podprta z zgodovinskimi valovi kibernetskega uničenja, vohunjenja in dezinformacij – je seveda bistvo.

V Gazi ni tako. Če naj bi današnja knjiga podpirala kibernetsko vojno z nizkim tveganjem in nizkimi naložbami, ki zahteva veliko virov, je Hamas knjigo zavrgel.

»Kar smo videli skozi ves september 2023, so bile zelo tipične dejavnosti kibernetskega vohunjenja, povezane s Hamasom – njihova dejavnost je bila zelo skladna s tem, kar smo videli leta,« je dejala Kristen Dennesen, analitičarka za obveščanje o grožnjah pri Googlovi skupini za analizo groženj (TAG). tiskovna konferenca ta teden. »Ta dejavnost se je nadaljevala do tik pred 7. oktobrom – pred to točko ni bilo nobenega premika ali vzpona. In od takrat nismo opazili nobene pomembne dejavnosti teh akterjev.«

Če kibernetskih napadov pred 7. oktobrom ne boste pospešili, bi si lahko tolmačili kot strateško. Toda glede tega, zakaj Hamas (ne glede na svoje podpornike) opustil svoje kibernetske operacije, namesto da bi jih uporabil za podporo svojih vojnih prizadevanj, je priznal Dennesen: "Ne ponujamo nobene razlage, zakaj, ker ne vemo."

Hamas pred oktobrom 7: 'BLACKATOM'

Tipični kibernetski napadi Hamas-nexus vključujejo "množične kampanje lažnega predstavljanja za dostavo zlonamerne programske opreme ali krajo e-poštnih podatkov," je dejal Dennesen, kot tudi mobilno vohunsko programsko opremo prek različnih zakulisnih vrat Android, odvrženih prek lažnega predstavljanja. "In končno, kar zadeva njihovo ciljanje: zelo vztrajno ciljanje na Izrael, Palestino, njihove regionalne sosede na Bližnjem vzhodu, pa tudi ciljanje na ZDA in Evropo," je pojasnila.

Za študijo primera o tem, kako to izgleda, vzemite BLACKATOM – enega od treh glavnih akterjev grožnje, povezanih s Hamasom, poleg BLACKSTEM (aka MOLERATS, Extreme Jackal) in DESERTVARNISH (aka UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

Septembra je BLACKATOM začel kampanjo socialnega inženiringa, namenjeno inženirjem programske opreme v izraelskih obrambnih silah (IDF) ter izraelski obrambni in vesoljski industriji.

Zvijača je vključevala predstavljanje za zaposlene v podjetjih na LinkedInu in pošiljanje sporočil lažnim zaposlitvenim priložnostim. Po prvem stiku bi lažni naborniki poslali vabljiv dokument z navodili za sodelovanje pri ocenjevanju kodiranja.

Ocena lažnega kodiranja je zahtevala, da prejemniki prenesejo projekt Visual Studio, ki se je predstavljal kot aplikacija za upravljanje človeških virov, s strani GitHub ali Google Drive, ki jo nadzoruje napadalec. Prejemnike so nato prosili, naj projektu dodajo funkcije, da pokažejo svoje sposobnosti kodiranja. Projekt pa je vseboval funkcijo, ki je skrivaj prenesla, ekstrahirala in zagnala zlonamerno datoteko ZIP na prizadetem računalniku. Znotraj ZIP: stranska vrata SysJoker za več platform.

"Nič kot Rusija"

Morda se zdi protislovno, da Hamasova invazija ne bi bila povezana s premikom v njegovi kibernetski dejavnosti, podobnim ruskemu modelu. Razlog za to je lahko njegova prednostna naloga operativne varnosti – tajnosti, zaradi katere je bil teroristični napad 7. oktobra tako šokantno učinkovit.

Manj razložljivo je, zakaj se je zadnja potrjena kibernetska aktivnost, povezana s Hamasom, glede na Mandiant zgodila 4. oktobra. (Gaza je medtem v zadnjih mesecih utrpela znatne internetne motnje.)

"Mislim, da je ključna stvar, ki jo je treba poudariti, da gre za zelo različne konflikte, v katere so vpleteni zelo različni subjekti," je dejal Shane Huntley, višji direktor pri Google TAG. »Hamas ni prav nič podoben Rusiji. Zato ni presenetljivo, da je uporaba kibernetike zelo različna [odvisno od] narave spopada, med stalnimi vojskami in nekakšnim napadom, kot smo ga videli 7. oktobra.«

Toda Hamas verjetno še ni popolnoma opustil svojih kibernetskih operacij. »Čeprav so obeti za prihodnje kibernetske operacije akterjev, povezanih s Hamasom, v kratkem negotovi, predvidevamo, da se bodo kibernetske dejavnosti Hamasa sčasoma nadaljevale. Osredotočiti bi se moral na vohunjenje za zbiranje obveščevalnih podatkov o teh znotrajpalestinskih zadevah, Izraelu, ZDA in drugih regionalnih akterjih na Bližnjem vzhodu,« je opozoril Dennesen.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why