Các cuộc tấn công mạng của Hamas đã chấm dứt sau vụ tấn công khủng bố ngày 7 tháng XNUMX. Nhưng tại sao?

Các tác nhân đe dọa mạng có liên hệ với Hamas dường như đã ngừng hoạt động kể từ vụ tấn công khủng bố ở Israel vào ngày 7 tháng XNUMX, khiến các chuyên gia bối rối.

Chiến tranh kết hợp đã lỗi thời vào năm 2024. Như Mandiant đã nói trong một báo cáo mới được công bố, các hoạt động mạng đã trở thành “công cụ ưu tiên hàng đầu” đối với bất kỳ quốc gia hoặc nhóm liên kết quốc gia nào trên khắp thế giới tham gia vào xung đột kéo dài, có thể là về bản chất chính trị, kinh tế hoặc hiếu chiến. Cuộc xâm lược Ukraine của Nga – diễn ra trước và được hỗ trợ bởi các làn sóng lịch sử phá hủy mạng, gián điệp và thông tin sai lệch – tất nhiên là tinh hoa.

Ở Gaza không như vậy. Nếu vở kịch ngày nay là hỗ trợ cuộc chiến tranh động lực sử dụng nhiều tài nguyên với chiến tranh mạng có rủi ro thấp, đầu tư thấp thì Hamas đã loại bỏ cuốn sách này.

Kristen Dennesen, nhà phân tích tình báo về mối đe dọa của Nhóm phân tích mối đe dọa (TAG) của Google, cho biết: “Những gì chúng tôi thấy trong suốt tháng 2023 năm 7 là các hoạt động gián điệp mạng có liên quan đến Hamas rất điển hình. Hoạt động của chúng rất giống với những gì chúng tôi đã thấy trong nhiều năm”. một cuộc họp báo trong tuần này. “Hoạt động đó tiếp tục diễn ra cho đến ngay trước ngày XNUMX tháng XNUMX - không có bất kỳ sự thay đổi hay tăng trưởng nào trước thời điểm đó. Và kể từ thời điểm đó, chúng tôi không thấy bất kỳ hoạt động đáng kể nào từ những tác nhân này.”

Việc không tăng cường các cuộc tấn công mạng trước ngày 7 tháng XNUMX có thể được coi là chiến lược. Nhưng liên quan đến lý do tại sao Hamas (bất kể những người ủng hộ nó) đã từ bỏ các hoạt động mạng thay vì sử dụng chúng để hỗ trợ nỗ lực chiến tranh của mình, Dennesen thừa nhận, “Chúng tôi không đưa ra bất kỳ lời giải thích nào về lý do vì chúng tôi không biết.”

Hamas trước tháng 7 XNUMX: 'ĐEN'

Dennesen cho biết, các cuộc tấn công mạng điển hình của Hamas-nexus bao gồm “các chiến dịch lừa đảo hàng loạt nhằm phát tán phần mềm độc hại hoặc đánh cắp dữ liệu email”, cũng như phần mềm gián điệp di động thông qua nhiều cửa hậu Android khác nhau được phát tán qua lừa đảo. Bà giải thích: “Và cuối cùng, về mục tiêu của họ: nhắm mục tiêu rất dai dẳng vào Israel, Palestine, các nước láng giềng trong khu vực của họ ở Trung Đông, cũng như nhắm mục tiêu vào Mỹ và Châu Âu”.

Để có một nghiên cứu điển hình về giao diện của nó, hãy lấy BLACKATOM - một trong ba tác nhân đe dọa chính có liên quan đến Hamas, cùng với BLACKSTEM (còn gọi là MOLERATS, Extreme Jackal) và DESERTVARNISH (còn gọi là UNC718, Renegade Jackal, Desert Falcons, Arid Viper).

Vào tháng 9, BLACKATOM đã bắt đầu một chiến dịch kỹ thuật xã hội nhằm vào các kỹ sư phần mềm trong Lực lượng Phòng vệ Israel (IDF), cũng như các ngành công nghiệp quốc phòng và hàng không vũ trụ của Israel.

Mưu mẹo liên quan đến việc đóng giả làm nhân viên của các công ty trên LinkedIn và nhắn tin cho các mục tiêu với cơ hội việc làm tự do giả mạo. Sau lần liên hệ đầu tiên, những nhà tuyển dụng giả sẽ gửi một tài liệu thu hút kèm theo hướng dẫn tham gia đánh giá mã hóa.

Đánh giá mã hóa giả yêu cầu người nhận tải xuống dự án Visual Studio, giả dạng ứng dụng quản lý nhân sự, từ trang GitHub hoặc Google Drive do kẻ tấn công kiểm soát. Sau đó, người nhận được yêu cầu thêm các tính năng cho dự án để thể hiện kỹ năng viết mã của họ. Tuy nhiên, dự án này chứa một chức năng bí mật tải xuống, giải nén và thực thi một tệp ZIP độc hại trên máy tính bị ảnh hưởng. Bên trong ZIP: cửa hậu đa nền tảng SysJoker.

'Không có gì giống như Nga'

Có vẻ trái ngược khi cho rằng cuộc tấn công của Hamas sẽ không đi đôi với sự thay đổi trong hoạt động mạng của tổ chức này giống như mô hình của Nga. Điều này có thể là do sự ưu tiên của nó đối với an ninh hoạt động - tính bí mật đã khiến cuộc tấn công khủng bố ngày 7 tháng XNUMX của nó có hiệu quả đáng kinh ngạc.

Ít giải thích hơn là tại sao hoạt động mạng liên quan đến Hamas được xác nhận gần đây nhất, theo Mandiant, lại xảy ra vào ngày 4 tháng XNUMX. (Trong khi đó, Gaza đã phải hứng chịu tình trạng gián đoạn Internet đáng kể trong những tháng gần đây.)

Shane Huntley, giám đốc cấp cao của Google TAG, cho biết: “Tôi nghĩ điều quan trọng cần rút ra là đây là những xung đột rất khác nhau, với sự tham gia của các thực thể rất khác nhau”. “Hamas không giống Nga. Và do đó, không có gì đáng ngạc nhiên khi việc sử dụng mạng rất khác nhau [tùy thuộc vào] bản chất của cuộc xung đột, giữa quân đội thường trực và một kiểu tấn công như chúng ta đã thấy vào ngày 7 tháng XNUMX.”

Nhưng Hamas có thể vẫn chưa ngừng hoàn toàn các hoạt động mạng của mình. “Mặc dù triển vọng về các hoạt động mạng trong tương lai của các bên liên kết với Hamas là không chắc chắn trong thời gian tới, nhưng chúng tôi dự đoán rằng hoạt động mạng của Hamas cuối cùng sẽ tiếp tục. Nó nên tập trung vào hoạt động gián điệp để thu thập thông tin tình báo về các vấn đề nội bộ Palestine, Israel, Hoa Kỳ và các bên tham gia khác trong khu vực ở Trung Đông”, Dennesen lưu ý.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why