Cyberdreigingsactoren die banden hebben met Hamas hebben schijnbaar hun activiteiten stopgezet sinds de terroristische aanval in Israël op 7 oktober, wat experts in verwarring bracht.
Combinatieoorlogvoering is ouderwets in 2024. Zoals Mandiant zei in een onlangs gepubliceerd rapportCyberoperaties zijn een ‘eerste toevluchtsinstrument’ geworden voor elke natie of natiegebonden groep over de hele wereld die verwikkeld is in langdurige conflicten, of deze nu politiek, economisch of oorlogszuchtig van aard zijn. De Russische invasie van Oekraïne – voorafgegaan en ondersteund door historische golven van cybervernietiging, spionage en verkeerde informatie – is uiteraard de essentie.
Niet zo in Gaza. Als het draaiboek van vandaag het ondersteunen van een hulpbronnenintensieve kinetische oorlog met een cyberoorlog met een laag risico en weinig investeringen is, heeft Hamas het boek weggegooid.
“Wat we in september 2023 zagen waren zeer typische aan Hamas gelinkte cyberspionageactiviteiten – hun activiteiten kwamen zeer overeen met wat we al jaren hebben gezien”, zei Kristen Dennesen, analist van bedreigingsinformatie voor de Threat Analysis Group (TAG) van Google. deze week een persconferentie. “Die activiteit ging door tot vlak voor 7 oktober – vóór dat punt was er geen enkele vorm van verschuiving of opleving. En sinds die tijd hebben we geen noemenswaardige activiteit van deze acteurs meer gezien.”
Het niet opvoeren van de cyberaanvallen vóór 7 oktober kan als strategisch worden beschouwd. Maar over waarom Hamas (ongeacht zijn aanhangers) heeft zijn cyberoperaties stopgezet in plaats van ze te gebruiken om zijn oorlogsinspanningen te ondersteunen, gaf Dennesen toe: “We geven geen enkele verklaring waarom, omdat we het niet weten.”
Hamas vóór oktober. 7: 'ZWARTATOM'
Typische Hamas-nexus-cyberaanvallen omvatten “massale phishing-campagnes om malware te bezorgen of e-mailgegevens te stelen”, zegt Dennesen, evenals mobiele spyware via verschillende Android-achterdeurtjes die via phishing worden gedropt. “En ten slotte, in termen van hun doelwitten: zeer aanhoudende doelwitten op Israël, Palestina, hun regionale buren in het Midden-Oosten, maar ook op de VS en Europa”, legde ze uit.
Voor een case study van hoe dat eruit ziet, neem BLACKATOM – een van de drie belangrijkste aan Hamas gelinkte dreigingsactoren, naast BLACKSTEM (ook bekend als MOLERATS, Extreme Jackal) en DESERTVARNISH (ook bekend als UNC718, Renegade Jackal, Desert Falcons, Arid Viper).
In september begon BLACKATOM een social engineering-campagne gericht op software-ingenieurs bij het Israëlische leger (IDF), evenals op de Israëlische defensie- en ruimtevaartindustrie.
De list bestond uit het zich voordoen als werknemers van bedrijven op LinkedIn en het versturen van berichten naar nep-freelance vacatures. Na het eerste contact stuurden de valse recruiters een lokdocument met instructies voor deelname aan een coderingsbeoordeling.
Voor de valse coderingsbeoordeling moesten de ontvangers een Visual Studio-project, vermomd als een app voor personeelsbeheer, downloaden van een door de aanvaller gecontroleerde GitHub- of Google Drive-pagina. Vervolgens werd de ontvangers gevraagd functies aan het project toe te voegen, om hun codeervaardigheden te demonstreren. Het project bevatte echter een functie die in het geheim een kwaadaardig ZIP-bestand downloadde, uitpakte en uitvoerde op de getroffen computer. Binnenin de ZIP: de multiplatform-achterdeur van SysJoker.
'Er gaat niets boven Rusland'
Het lijkt misschien contra-intuïtief dat de invasie van Hamas niet gepaard zou zijn gegaan met een verschuiving in zijn cyberactiviteit, vergelijkbaar met het Russische model. Dit kan te wijten zijn aan de prioriteitstelling van de operationele veiligheid – de geheimhouding die de terreuraanslag van 7 oktober zo schokkend effectief maakte.
Minder verklaarbaar is waarom de meest recente bevestigde Hamas-gerelateerde cyberactiviteit, volgens Mandiant, op 4 oktober plaatsvond. (Gaza heeft intussen de afgelopen maanden te kampen gehad met aanzienlijke internetverstoringen.)
“Ik denk dat het belangrijkste is om naar voren te brengen dat dit heel verschillende conflicten zijn, waarbij heel verschillende entiteiten betrokken zijn”, zegt Shane Huntley, senior director bij Google TAG. “Hamas lijkt in niets op Rusland. En daarom is het niet verrassend dat het gebruik van cyber heel anders is [afhankelijk van] de aard van het conflict, tussen staande legers versus een soort aanval zoals we op 7 oktober zagen.”
Maar Hamas heeft zijn cyberoperaties waarschijnlijk nog niet volledig stopgezet. “Hoewel de vooruitzichten voor toekomstige cyberoperaties door aan Hamas gelieerde actoren op de korte termijn onzeker zijn, verwachten we wel dat de cyberactiviteiten van Hamas uiteindelijk zullen worden hervat. Het zou zich moeten concentreren op spionage voor het verzamelen van inlichtingen over deze intra-Palestijnse zaken, Israël, de Verenigde Staten en andere regionale spelers in het Midden-Oosten”, aldus Dennesen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why
