Wojna Izrael-Hamas. Ataki wiązane z Iranem

Specjaliści z zespołu ds. analizy zagrożeń (TAG) w Google Shane Huntley oraz Sandra Joyce z Mandiant Intelligence w Google Cloud przeanalizowali działania w cyberprzestrzeni w ramach toczącej się wojny na linii Hamas-Izrael, trwającej od 7 października ub.r.

„Cyberoperacje są narzędziem pierwszej instancji, zapewniają rywalom tańszy i mniej ryzykowny sposób zaangażowania się w konflikt, gromadzenia informacji, zakłócania codziennego życia i wpływania na opinię publiczną, a wszystko to przy jednoczesnym pozostaniu poniżej linii bezpośredniości ataku” – stwierdzili autorzy raportu.

Kluczowe wnioski

Jakie wnioski można wysnuć po kilku miesiącach wojny między Izraelem a Hamasem? Ważnym graczem w cyber jest Iran.

Agresja Iranu jest wymierzona w podmioty zarówno izraelskie, jak i amerykańskie. Spektrum działań obejmuje: niszczycielskie ataki na kluczowe organizacje w Izraelu; operacje informacyjne, których celem jest demobilizacja społeczeństwa i podważenie zaufania do kluczowych osób (a także negatywne nastawienie do samej wojny i państwa); hakowanie w celu kradzieży i wycieku danych (tzw. hack-and-leak); wyolbrzymianie informacji o atakach na krytyczną infrastrukturę Izraela i USA.

Celem hakerów są także zwykli użytkownicy w Izraelu i USA, wobec których kierowane są kampanie phishingowe, stanowiące źródło zdobywania i gromadzenia danych (często o kluczowych osobach z punktu widzenia konfliktu).

W raporcie podano także przykłady cyberoperacji, wymierzonych w Izrael, jakie miały miejsce w poszczególnych miesiącach. W październiku były to na przykład: rozpowszechnianie malware Greatrift; operacja „Cyberpowódź”; dystrybucja wipera BiBi wobec izraelskich firm IT; a także kampania, w ramach której podszywano się pod izraelskie szpitale.

W listopadzie miała miejsce kampania phishingowa, za którą stała grupa APT42; operacja „Cyber Avang3rs” wobec wysokich rangą izraelskich i amerykańskich użytkowników; a także operacja hack-and-leak „Malek Team”, gdzie celem był tamtejszy szpital.

W grudniu z kolei wskazano przykład ataku „Handala”, wycelowanego w tamtejszy rząd i sektor finansowy.

Dodatkowo działalnością phishingową zajmowały się grupy APT powiązane z irańskich rządem.

W sumie w okresie od kwietnia do 7 października 2023 roku (wybuchu wojny Izrael-Hamas) 80 proc. ataków połączono z Iranem, a 10 proc. z grupami powiązanymi z Palestyną.

Kolejny wysnuty w raporcie wniosek to ataki na irańską infrastrukturę krytyczną, które przypisano Izraelowi. Nie ma jednak na to dowodów. Podmiot określający się jako „Gonjeshke Darande” („Drapieżny Wróbel”) twierdził, że zaatakował większość stacji benzynowych w Iranie oraz ich systemy płatności.

W okresie po wybuchu wojny Hamas-Izrael nie widać było znaczących zmian w zakresie operacji cyberszpiegowskich. Specjaliści Google są zdania, że Hamas nie wykorzystał cyberoperacji jako „taktycznego wsparcia” dla aktów terroru.

Z kolei wcześniej grupy APT powiązane z Hamasem (do września 2023 roku) stosowały typowe techniki takie jak: masowe kampanie phishingowe; backdoory dla mobilnych urządzeń z systemem Android; a także cyberataki na Izrael, Palestynę, Bliski Wschód, USA i Europę.

Wojna na Ukrainie a wojna Izrael-Hamas

W lutym 2023 roku specjaliści Google TAG opisywali szczegółowo metody i techniki haktywistów i grup APT powiązanych z państwami w czasie wojny na Ukrainie. Raport „Mgła wojny” opisywaliśmy w tym materiale.

Czy zatem obie wojny i towarzyszące im działania w cyberprzestrzeni można porównać? Eksperci oceniają, że „aktywność cybernetyczna wokół wojny Izraela z Hamasem bardzo różni się od wojny na Ukrainie”.

Po pierwsze dlatego, że cyberprzestrzeń odgrywa znaczącą rolę w konflikcie Rosja-Ukraina o czym piszemy na bieżąco. Rząd ukraiński stawia silnie na cyfryzację państwa, rozwiązania chmurowe i takie udogodnienia jak np. zastosowanie aplikacji Diia i jej funkcjonalność dla obywateli. Dzięki temu Ukraina zachowała ciągłość działania i usług przy wsparciu zachodnich partnerów, w tym Polski.

Natomiast – w przeciwieństwie do Ukrainy – w Izraelu nie zaobserwowano gwałtownego wzrostu liczby cyberoperacji przeciwko temu państwu, tuż przed wybuchem wojny. Także „nic nie wskazuje na to, by aktywność w cyberprzestrzeni była w jakiś sposób połączona z operacjami Hamasu na polu bitwy czy też, by cyberataki miały służyć jako metoda umożliwienia przeprowadzenia ataków kinetycznych”.

Cyberoperacje. Prognozy na 2024 rok

Specjaliści Google TAG podkreślają, że „oczywistym jest, iż cyberbezpieczeństwo będzie odgrywać znaczącą rolę w przyszłych poważnych konfliktach zbrojnych”.

Prognozują, że w 2024 roku grupy powiązane z Iranem prawdopodobnie nadal będą atakować w destrukcyjny sposób, szczególnie w momencie eskalacji konfliktu. Nadal obecne będą także operacje „hack-and-leak” (hakowanie w celu wycieku danych) oraz operacje informacyjne, które stanowią kluczową metodę wpływania na uczestników, jak i interesariuszy tej wojny.

Aktywność w cyberprzestrzeni Hamasu obecnie „nie jest pewna”, ale w końcu powinna zostać wznowiona, szczególnie o charakterze szpiegowskim. Chodzi przecież o gromadzenie danych wywiadowczych o Palestynie, Izraelu, USA, państwach Bliskiego Wschodu i Europy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].