Gli autori delle minacce informatiche legati ad Hamas sembrano aver cessato l'attività dopo l'attacco terroristico in Israele il 7 ottobre, confondendo gli esperti.
La guerra combinata è una cosa vecchia nel 2024. Come ha detto Mandiant in un rapporto appena pubblicato, le operazioni informatiche sono diventate uno “strumento di prima istanza” per qualsiasi nazione o gruppo allineato a una nazione in tutto il mondo impegnato in un conflitto prolungato, sia esso di natura politica, economica o bellica. L’invasione dell’Ucraina da parte della Russia – preceduta e supportata da ondate storiche di distruzione informatica, spionaggio e disinformazione – è, ovviamente, la quintessenza.
Non così a Gaza. Se la strategia odierna è quella di sostenere una guerra cinetica ad alta intensità di risorse con una guerra informatica a basso rischio e a basso investimento, Hamas ha buttato via il libro.
"Ciò che abbiamo visto per tutto settembre 2023 erano attività di spionaggio informatico molto tipiche legate a Hamas: la loro attività era molto coerente con ciò che vedevamo da anni", ha affermato Kristen Dennesen, analista di threat intelligence per il Threat Analysis Group (TAG) di Google. una conferenza stampa questa settimana. “Quell’attività è continuata fino a poco prima del 7 ottobre – non c’è stato alcun tipo di cambiamento o aumento prima di quel momento. E da quel momento, non abbiamo visto alcuna attività significativa da parte di questi attori”.
Non riuscire a intensificare gli attacchi informatici prima del 7 ottobre potrebbe essere interpretato come strategico. Ma riguardo al perché Hamas (indipendentemente dai suoi sostenitori) ha abbandonato le sue operazioni informatiche invece di usarle per sostenere il suo sforzo bellico, ha ammesso Dennesen, "Non offriamo alcuna spiegazione del perché perché non lo sappiamo."
Hamas prima di ottobre 7: 'BLACKATOMO'
I tipici attacchi informatici legati al nesso Hamas includono "campagne di phishing di massa per diffondere malware o rubare dati di posta elettronica", ha affermato Dennesen, nonché spyware mobile tramite vari backdoor Android rilasciati tramite phishing. “E infine, in termini di obiettivi: attacchi molto persistenti contro Israele, Palestina, i loro vicini regionali in Medio Oriente, nonché attacchi contro gli Stati Uniti e l’Europa”, ha spiegato.
Per un caso di studio su come appare, prendi BLACKATOM, uno dei tre principali attori di minacce legati a Hamas, insieme a BLACKSTEM (aka MOLERATS, Extreme Jackal) e DESERTVARNISH (aka UNC718, Renegade Jackal, Desert Falcons, Arid Viper).
A settembre, BLACKATOM ha avviato una campagna di ingegneria sociale rivolta agli ingegneri informatici delle Forze di difesa israeliane (IDF), nonché alle industrie della difesa e aerospaziali israeliane.
Lo stratagemma prevedeva di fingersi dipendenti di aziende su LinkedIn e di inviare messaggi a obiettivi con false opportunità di lavoro freelance. Dopo il contatto iniziale, i falsi reclutatori inviavano un documento di richiamo con le istruzioni per partecipare a una valutazione di codifica.
La valutazione della codifica falsa richiedeva ai destinatari di scaricare un progetto Visual Studio, mascherato da app di gestione delle risorse umane, da una pagina GitHub o Google Drive controllata dagli aggressori. Ai destinatari è stato quindi chiesto di aggiungere funzionalità al progetto, per dimostrare le proprie capacità di codifica. All'interno del progetto, però, c'era una funzione che scaricava, estraeva ed eseguiva segretamente un file ZIP dannoso sul computer interessato. All'interno del CAP: la backdoor multipiattaforma SysJoker.
"Niente come la Russia"
Potrebbe sembrare controintuitivo che l’invasione di Hamas non sia stata accompagnata da uno spostamento della sua attività informatica simile al modello della Russia. Ciò potrebbe essere dovuto alla sua priorità data alla sicurezza operativa, la segretezza che ha reso l’attacco terroristico del 7 ottobre così sorprendentemente efficace.
Meno spiegabile è il motivo per cui la più recente attività informatica confermata legata ad Hamas, secondo Mandiant, è avvenuta il 4 ottobre (Gaza, nel frattempo, ha sofferto di significative interruzioni di Internet negli ultimi mesi).
"Penso che la cosa fondamentale da sottolineare sia che si tratta di conflitti molto diversi, con entità molto diverse coinvolte", ha affermato Shane Huntley, direttore senior di Google TAG. “Hamas non ha niente a che vedere con la Russia. E quindi, non sorprende che l’uso del cyber sia molto diverso [a seconda] della natura del conflitto, tra eserciti permanenti e una sorta di attacco come quello che abbiamo visto il 7 ottobre.”
Ma probabilmente Hamas non ha completamente ritirato le sue operazioni informatiche. “Mentre le prospettive per le future operazioni informatiche da parte di attori legati ad Hamas sono incerte nel breve termine, prevediamo che l’attività informatica di Hamas alla fine riprenderà. Dovrebbe concentrarsi sullo spionaggio per la raccolta di informazioni sugli affari intra-palestinesi, su Israele, sugli Stati Uniti e su altri attori regionali in Medio Oriente”, ha osservato Dennesen.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why
