Кібератаки ХАМАС припинилися після теракту 7 жовтня. Але чому?

Пов'язані з ХАМАС суб'єкти кіберзагрози, здається, припинили свою діяльність після теракту в Ізраїлі 7 жовтня, що збентежило експертів.

У 2024 році комбінована війна буде вже давно. Як сказав Мандіант у щойно опублікованому звіті, кібероперації стали «інструментом першої інстанції» для будь-якої нації чи національної групи в усьому світі, яка бере участь у затяжному конфлікті, будь то політичний, економічний чи воєнний. Вторгнення Росії в Україну — якому передували та підтримували історичні хвилі кіберруйнування, шпигунства та дезінформації — це, звичайно, квінтесенція.

Не так у Газі. Якщо сьогодні підручник має підтримувати ресурсомістку кінетичну війну з низьким ризиком і низькими інвестиціями в кібервійну, ХАМАС викинув цю книгу.

«Те, що ми спостерігали протягом вересня 2023 року, було дуже типовою кібершпигунською діяльністю, пов’язаною з ХАМАС — їх діяльність дуже узгоджувалася з тим, що ми спостерігали протягом багатьох років», — сказала Крістен Деннесен, аналітик аналізу загроз Google Threat Analysis Group (TAG). прес-конференція цього тижня. «Ця діяльність тривала до 7 жовтня — до цього моменту не було ніяких змін чи підйому. І з того часу ми не спостерігали жодної значної активності з боку цих акторів».

Нездатність посилити кібератаки до 7 жовтня може розглядатися як стратегічна. Але щодо того, чому Хамас (незалежно від своїх прихильників) припинила свої кібероперації замість того, щоб використовувати їх для підтримки своїх військових зусиль, Деннесен визнав: «Ми не пропонуємо жодних пояснень чому, тому що ми не знаємо».

ХАМАС до жовт. 7: "BLACKATOM"

Типові кібератаки Hamas-nexus включають «масові фішингові кампанії для доставки зловмисного програмного забезпечення або викрадення даних електронної пошти», — сказав Деннесен, а також мобільне шпигунське програмне забезпечення через різні бекдори Android, які скидаються через фішинг. «І, нарешті, з точки зору їх націлювання: дуже постійне націлювання на Ізраїль, Палестину, їхніх регіональних сусідів на Близькому Сході, а також націлювання на США та Європу», — пояснила вона.

Для прикладу, як це виглядає, візьмемо BLACKATOM — одного з трьох основних загроз, пов’язаних із ХАМАС, поряд із BLACKSTEM (він же MOLERATS, Extreme Jackal) і DESERTVARNISH (aka UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

У вересні BLACKATOM розпочав кампанію соціальної інженерії, спрямовану на інженерів програмного забезпечення в Армії оборони Ізраїлю (IDF), а також ізраїльської оборонної та аерокосмічної промисловості.

Ця хитрість полягала в тому, що вони видавали себе за співробітників компаній у LinkedIn і надсилали цілям повідомлення фальшиві можливості роботи фрілансером. Після першого контакту фальшиві вербувальники надсилали документ-приманку з інструкціями щодо участі в оцінці кодування.

Підроблена оцінка кодування вимагала від одержувачів завантажити проект Visual Studio, видаваний за програму для управління людськими ресурсами, зі сторінки GitHub або Google Drive, контрольованої зловмисниками. Потім отримувачів попросили додати функції до проекту, щоб продемонструвати свої навички програмування. Проте в рамках проекту була функція, яка таємно завантажувала, витягувала та запускала шкідливий ZIP-файл на ураженому комп’ютері. Всередині ZIP: мультиплатформенний бекдор SysJoker.

Нічого подібного до Росії

Може здатися нелогічним, що вторгнення ХАМАСу не було б поєднане зі зміною його кіберактивності, схожою на російську модель. Можливо, це пов’язано з тим, що пріоритетом є оперативна безпека — таємність, яка зробила теракт 7 жовтня настільки вражаючим.

Менш зрозуміло, чому остання підтверджена кіберактивність, пов’язана з ХАМАС, за даними Mandiant, сталася ще 4 жовтня. (Тим часом Газа постраждала від значних збоїв в Інтернеті в останні місяці.)

«Я вважаю, що головне, що слід підкреслити, це те, що це дуже різні конфлікти, в яких беруть участь дуже різні суб’єкти», — сказав Шейн Хантлі, старший директор Google TAG. «Хамас зовсім не схожий на Росію. Тому не дивно, що використання кібернетичних засобів дуже різне [залежно від] характеру конфлікту, між постійними арміями та різновидом атаки, як ми бачили 7 жовтня».

Але Хамас, ймовірно, не повністю припинив свої кібероперації. «Хоча перспективи майбутніх кібероперацій пов’язаних з ХАМАС акторів є невизначеними в найближчій перспективі, ми очікуємо, що кіберактивність ХАМАС зрештою відновиться. Він має бути зосереджений на шпигунстві для збору розвідданих про ці внутрішньопалестинські справи, Ізраїль, Сполучені Штати та інших регіональних гравців на Близькому Сході», – зазначив Деннесен.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why