전문가들은 지난 7월 XNUMX일 이스라엘에서 발생한 테러 공격 이후 하마스와 연계된 사이버 위협 행위자들이 활동을 중단한 것으로 보여 전문가들을 당황하게 만들고 있습니다.
연합전은 2024년의 낡은 모자입니다. Mandiant가 말했듯이 새로 발표된 보고서에서, 사이버 작전은 본질적으로 정치적, 경제적 또는 전쟁적 성격을 불문하고 장기간의 분쟁에 참여하는 전 세계 모든 국가 또는 국가 연계 그룹에 대한 "최초의 수단"이 되었습니다. 물론, 역사적인 사이버 파괴, 간첩 활동, 잘못된 정보의 물결이 선행되고 뒷받침된 러시아의 우크라이나 침공이 그 정수입니다.
가자에서는 그렇지 않습니다. 오늘날의 플레이북이 저위험, 저투자 사이버 전쟁으로 자원 집약적인 운동 전쟁을 지원하는 것이라면 하마스는 그 책을 버렸습니다.
Google 위협 분석 그룹(TAG)의 위협 인텔리전스 분석가인 Kristen Dennesen은 "2023년 7월 내내 우리가 본 것은 매우 전형적인 하마스와 관련된 사이버 스파이 활동이었습니다. 그들의 활동은 우리가 수년 동안 보아온 것과 매우 일관되었습니다."라고 말했습니다. 이번 주에 기자회견이 있어요. “그 활동은 XNUMX월 XNUMX일 직전까지 계속되었습니다. 그 시점 이전에는 어떤 종류의 변화나 상승도 없었습니다. 그리고 그 이후로 우리는 이 배우들의 중요한 활동을 보지 못했습니다.”
7월 XNUMX일 이전에 사이버 공격을 강화하지 못하는 것은 전략적으로 해석될 수 있습니다. 그러나 왜 하마스(지지자들과 상관없이)는 전쟁 노력을 지원하기 위해 사이버 작전을 사용하는 대신 사이버 작전을 중단했다고 Dennesen은 인정했습니다. "우리는 모르기 때문에 그 이유에 대한 설명을 제공하지 않습니다."
하마스는 7월 이전에 XNUMX: '블랙아톰'
일반적인 Hamas-nexus 사이버 공격에는 "맬웨어를 전달하거나 이메일 데이터를 훔치기 위한 대규모 피싱 캠페인"과 피싱을 통해 전달되는 다양한 Android 백도어를 통한 모바일 스파이웨어가 포함됩니다. "그리고 마지막으로 그들의 표적화 측면에서는 이스라엘, 팔레스타인, 중동의 이웃 지역, 그리고 미국과 유럽을 매우 지속적으로 표적화하고 있습니다."라고 그녀는 설명했습니다.
이에 대한 사례 연구를 보려면 BLACKSTEM(일명 MOLERATS, Extreme Jackal) 및 DESERTVARNISH(일명 UNC718, Renegade Jackal, Desert Falcons, Arid Viper)와 함께 하마스와 관련된 세 가지 주요 위협 행위자 중 하나인 BLACKATOM을 살펴보세요.
9월에 BLACKATOM은 이스라엘 방위군(IDF)의 소프트웨어 엔지니어와 이스라엘의 방위 및 항공우주 산업을 대상으로 사회 공학 캠페인을 시작했습니다.
이 계략에는 LinkedIn에서 회사 직원으로 가장하고 가짜 프리랜서 취업 기회를 대상에게 메시징하는 것이 포함되었습니다. 최초 연락 후 허위 채용 담당자는 코딩 평가 참여 지침이 포함된 미끼 문서를 보냅니다.
가짜 코딩 평가에서는 수신자가 공격자가 제어하는 GitHub 또는 Google Drive 페이지에서 인적 자원 관리 앱으로 가장하는 Visual Studio 프로젝트를 다운로드해야 했습니다. 그런 다음 수신자는 코딩 기술을 보여주기 위해 프로젝트에 기능을 추가하라는 요청을 받았습니다. 하지만 프로젝트에는 영향을 받은 컴퓨터에서 악성 ZIP 파일을 비밀리에 다운로드, 추출 및 실행하는 기능이 포함되어 있었습니다. 우편번호 내부: SysJoker 다중 플랫폼 백도어.
'러시아만큼 좋은 것은 없다'
하마스의 침공이 러시아 모델과 유사한 사이버 활동의 변화와 짝을 이루지 않았을 것이라는 점은 직관에 어긋나는 것처럼 보일 수 있습니다. 이는 작전 보안을 우선시했기 때문일 수 있습니다. 비밀 유지로 인해 7월 XNUMX일 테러 공격은 놀라울 정도로 효과적이었습니다.
Mandiant에 따르면 가장 최근에 확인된 하마스 관련 사이버 활동이 4월 XNUMX일에 발생한 이유는 설명하기가 어렵습니다. (한편 가자지구는 최근 몇 달 동안 상당한 인터넷 중단을 겪었습니다.)
Google TAG의 수석 이사인 Shane Huntley는 "내 생각에 가장 중요한 점은 이러한 갈등이 매우 다른 주체와 관련된 매우 다른 갈등이라는 것입니다."라고 말했습니다. “하마스는 러시아와 전혀 다릅니다. 그러므로 상비군과 7월 XNUMX일에 본 것과 같은 일종의 공격 사이의 갈등의 성격에 따라 사이버의 사용이 매우 다르다는 것은 놀라운 일이 아닙니다.”
그러나 하마스는 사이버 작전을 완전히 중단하지 않았을 가능성이 높습니다. “하마스와 관련된 행위자들의 미래 사이버 작전에 대한 전망은 단기적으로 불확실하지만, 우리는 하마스 사이버 활동이 결국 재개될 것으로 예상합니다. 팔레스타인 내부 문제, 이스라엘, 미국 및 기타 중동 지역 참여자들에 대한 정보 수집을 위한 간첩 활동에 초점을 맞춰야 합니다.”라고 Dennesen은 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why
