Hamas cyberattacker upphörde efter terrorattacken den 7 oktober. Men varför?

Cyberhotsaktörer kopplade till Hamas har till synes upphört med sin verksamhet ända sedan terrorattacken i Israel den 7 oktober, vilket förvirrade experter.

Kombinationskrig är gammalt 2024. Som Mandiant sa i en nyligen publicerad rapport, har cyberoperationer blivit ett "första utvägsverktyg" för alla nationer eller nationsanpassade grupper runt om i världen som är engagerade i utdragna konflikter, vare sig det är politiskt, ekonomiskt eller krigiskt till sin natur. Rysslands invasion av Ukraina – föregången och stödd av historiska vågor av cyberförstörelse, spionage och desinformation – är naturligtvis kvintessensen.

Inte så i Gaza. Om dagens lekbok ska stödja resurskrävande kinetisk krig med lågrisk, låginvesteringscyberkrig, har Hamas kastat ut boken.

"Det vi såg under hela september 2023 var mycket typiska Hamas-kopplade cyberspionageaktiviteter - deras aktivitet var mycket överensstämmande med vad vi har sett i åratal," sa Kristen Dennesen, hotintelligensanalytiker för Googles Threat Analysis Group (TAG), i en presskonferens denna vecka. "Den aktiviteten fortsatte till strax före den 7 oktober - det var ingen form av förändring eller uppgång före den tidpunkten. Och sedan dess har vi inte sett någon betydande aktivitet från dessa aktörer.”

Att misslyckas med att öka cyberattackerna före den 7 oktober kan tolkas som strategiskt. Men angående varför Hamas (oavsett dess anhängare) har slutat med sina cyberoperationer istället för att använda dem för att stödja sin krigsinsats, erkände Dennesen, "Vi ger ingen förklaring till varför eftersom vi inte vet."

Hamas före okt. 7: 'BLACKATOM'

Typiska cyberattacker från Hamas-nexus inkluderar "massfiskekampanjer för att leverera skadlig programvara eller för att stjäla e-postdata", sa Dennesen, såväl som mobila spionprogram via olika Android-bakdörrar som släpps via nätfiske. "Och slutligen, när det gäller deras inriktning: mycket ihärdiga målinriktningar mot Israel, Palestina, deras regionala grannar i Mellanöstern, såväl som inriktning mot USA och Europa," förklarade hon.

För en fallstudie om hur det ser ut, ta BLACKATOM – en av de tre primära Hamas-kopplade hotaktörerna, tillsammans med BLACKSTEM (alias MOLERATS, Extreme Jackal) och DESERTVARNISH (alias UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

I september inledde BLACKATOM en social ingenjörskampanj riktad mot mjukvaruingenjörer i den israeliska försvarsstyrkan (IDF), samt Israels försvars- och flygindustri.

Rusen innebar att utge sig för att vara anställda på företag på LinkedIn och att skicka meddelanden till mål med falska frilansjobbmöjligheter. Efter den första kontakten skulle de falska rekryterarna skicka ett lockbetedokument med instruktioner för att delta i en kodningsbedömning.

Den falska kodningsbedömningen krävde att mottagarna laddade ner ett Visual Studio-projekt, maskerat som en personalhanteringsapp, från en angriparkontrollerad GitHub- eller Google Drive-sida. Mottagarna ombads sedan lägga till funktioner i projektet, för att visa sina kodningsfärdigheter. Inom projektet fanns dock en funktion som i hemlighet laddade ner, extraherade och körde en skadlig ZIP-fil på den drabbade datorn. Inuti ZIP: SysJoker multiplattform bakdörr.

"Inget som Ryssland"

Det kan tyckas kontraintuitivt att Hamas invasion inte skulle ha parats med en förändring i dess cyberaktivitet som liknar Rysslands modell. Detta kan bero på dess prioritering av operativ säkerhet – hemlighetsmakeriet som gjorde terrorattacken den 7 oktober så chockerande effektiv.

Mindre förklarligt är varför den senaste bekräftade Hamas-relaterade cyberaktiviteten, enligt Mandiant, inträffade den 4 oktober. (Gaza har under tiden lidit av betydande internetstörningar de senaste månaderna.)

"Jag tror att det viktigaste att dra fram är att det här är väldigt olika konflikter, med väldigt olika enheter inblandade", säger Shane Huntley, senior director på Google TAG. "Hamas är ingenting som Ryssland. Och därför är det inte förvånande att användningen av cyber är väldigt olika [beroende på] konfliktens karaktär, mellan stående arméer kontra en sorts attack som vi såg den 7 oktober.”

Men Hamas har sannolikt inte helt pensionerat sin cyberverksamhet. "Medan utsikterna för framtida cyberoperationer av Hamas-kopplade aktörer är osäkra på kort sikt, förväntar vi oss att Hamas cyberaktivitet så småningom kommer att återupptas. Det bör fokuseras på spioneri för att samla in underrättelser om dessa intra-palestinska angelägenheter, Israel, USA och andra regionala aktörer i Mellanöstern”, konstaterade Dennesen.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why