Связанные с ХАМАС субъекты киберугроз, похоже, прекратили свою деятельность после теракта в Израиле 7 октября, что сбивает с толку экспертов.
Комбинированная война в 2024 году устарела. Как сказал Мандиант в недавно опубликованном отчетеКибероперации стали «инструментом первой инстанции» для любой страны или национальной группы по всему миру, вовлеченной в затяжной конфликт, будь то политический, экономический или военный по своей природе. Вторжение России в Украину, которому предшествовали и подкреплялись историческими волнами киберразрушений, шпионажа и дезинформации, является, конечно, квинтэссенцией.
Не так в Газе. Если сегодняшняя стратегия заключается в поддержке ресурсоемкой кинетической войны с помощью кибервойны с низким уровнем риска и низкими инвестициями, то ХАМАС выбросил эту книгу.
«То, что мы наблюдали в течение сентября 2023 года, было очень типичной деятельностью кибершпионажа, связанной с ХАМАСом — их деятельность очень соответствовала тому, что мы видели в течение многих лет», — заявила в интервью Кристен Деннесен, аналитик по анализу угроз Google Threat Analysis Group (TAG). пресс-конференция на этой неделе. «Эта активность продолжалась почти до 7 октября — до этого момента не было никаких сдвигов или подъемов. И с тех пор мы не видели никакой существенной активности со стороны этих актеров».
Неспособность активизировать кибератаки до 7 октября может быть истолкована как стратегическая. Но относительно того, почему ХАМАС (независимо от его сторонников) прекратила свои кибероперации вместо того, чтобы использовать их для поддержки своих военных усилий, Деннесен признал: «Мы не предлагаем никаких объяснений, почему, потому что мы не знаем».
Хамас до октября. 7: «ЧЕРНЫЙАТОМ»
Типичные кибератаки, связанные с Хамасом, включают «массовые фишинговые кампании с целью доставки вредоносного ПО или кражи данных электронной почты», — сказал Деннесен, а также мобильное шпионское ПО через различные бэкдоры Android, распространяемые посредством фишинга. «И, наконец, с точки зрения их целей: очень постоянные нападения на Израиль, Палестину, их региональных соседей на Ближнем Востоке, а также на США и Европу», — пояснила она.
Для наглядного примера того, как это выглядит, возьмем BLACKATOM — одну из трех основных группировок угроз, связанных с ХАМАСом, наряду с BLACKSTEM (также известными как MOLERATS, Extreme Jackal) и DESERTVARNISH (также известными как UNC718, Renegade Jackal, Desert Falcons, Arid Viper).
В сентябре BLACKATOM начал кампанию социальной инженерии, направленную на инженеров-программистов в Силах обороны Израиля (ЦАХАЛ), а также в оборонной и аэрокосмической промышленности Израиля.
Уловка заключалась в том, что они выдавали себя за сотрудников компаний в LinkedIn и рассылали жертвам сообщения о поддельных возможностях трудоустройства фрилансеров. После первого контакта ложные рекрутеры отправляли документ-замануху с инструкциями по участию в оценке кодирования.
Поддельная оценка кодирования требовала от получателей загрузить проект Visual Studio, маскирующийся под приложение для управления персоналом, со страницы GitHub или Google Drive, контролируемой злоумышленниками. Затем получателям было предложено добавить в проект функции, чтобы продемонстрировать свои навыки программирования. Однако в проекте содержалась функция, которая тайно загружала, извлекала и запускала вредоносный ZIP-файл на зараженном компьютере. Внутри ZIP: мультиплатформенный бэкдор SysJoker.
«Ничего подобного России»
Может показаться нелогичным, что вторжение Хамаса не сопровождалось изменением его киберактивности по образцу российской модели. Это может быть связано с приоритетом оперативной безопасности — секретностью, которая сделала теракт 7 октября столь шокирующе эффективным.
Менее объяснимо то, почему последняя подтвержденная киберактивность, связанная с Хамасом, по словам Мандианта, произошла еще 4 октября. (Тем временем в Газе в последние месяцы произошли серьезные сбои в работе Интернета).
«Я думаю, что главное, что нужно понять, это то, что это очень разные конфликты, в которых участвуют очень разные субъекты», — сказал Шейн Хантли, старший директор Google TAG. «Хамас не имеет ничего общего с Россией. И поэтому неудивительно, что использование кибербезопасности сильно различается [в зависимости от] характера конфликта: между постоянными армиями и своего рода атакой, которую мы видели 7 октября».
Но Хамас, вероятно, не полностью прекратил свои кибероперации. «Хотя перспективы будущих киберопераций со стороны субъектов, связанных с Хамасом, в ближайшем будущем неясны, мы ожидаем, что киберактивность Хамаса в конечном итоге возобновится. Он должен быть сосредоточен на шпионаже с целью сбора разведывательной информации по внутрипалестинским делам, Израилю, США и другим региональным игрокам на Ближнем Востоке», — отметил Деннесен.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why
