Документ “Война Израиля и ХАМАС в киберпространстве 2024” содержит анализ киберактивности до и после начала войны между Израилем и ХАМАСом 7 октября 2023 года. В нем представлены конкретные примеры, подтверждающие ключевые наблюдения, сделанные Группой анализа угроз Google (TAG) и Mandiant Intelligence:
- Иран активно использовал кибероперации для сбора информации и вызывания сбоев в годы перед нападением и продолжает это делать после него. Деструктивные операции были сосредоточены на Израиле, где Иран давно проводил кибератаки против ключевых израильских организаций, но также затрагивали критическую инфраструктуру США. Операции кибершпионажа также были сосредоточены на Израиле и Соединенных Штатах, но также затронули и другие страны региона.
- Группы, связанные с ХАМАСом, были активны с типичными операциями до сентября 2023 года без заметного увеличения активности перед 7 октября, и с тех пор значительной активности не наблюдалось. Деятельность до конфликта включала массовые фишинговые кампании, нацеленные на Палестину и ее региональных соседей, а также устойчивые усилия по нацеливанию на израильские сущности с использованием разнообразных собственных и открытых кибервозможностей, включая Android-вредоносное ПО. Эти кампании соответствовали исторической киберактивности групп, связанных с ХАМАСом.
- Критическая инфраструктура Ирана была целью деструктивных атак, за которые позже взяла на себя ответственность персона “Gonjeshke Darande” (Хищная Ворона). Атака на заправочные станции последовала за публичными предупреждениями этой персоны, которую Иран приписывает Израилю. Gonjeshke Darande была связана с предыдущими атаками в Иране.
Введение подчеркивает, что кибероперации будут играть роль в каждом крупном конфликте в будущем. Авторы надеются, что анализ и исследования, содержащиеся в этом отчете, послужат призывом к действию для всех защитников и предоставят новые идеи, которые помогут каждой организации лучше защищаться от потенциальных атак.
Раздел 1: Агрессивное нацеливание Ираном на Израиль и США
Иран агрессивно нацеливался на Израиль и США в годы, предшествующие атаке ХАМАСа 7 октября, и продолжал это делать в течение последующего конфликта. Стратегические приоритеты Ирана остались неизменными, несмотря на войну. Виды атак включали деструктивные кибератаки против ключевых израильских организаций, операции хакерских утечек и целенаправленные информационные операции для подрыва общественной поддержки войны в Израиле. Иран также осуществлял фишинговые атаки, направленные на сбор разведывательной информации от лидеров США и Израиля.
Раздел 2: Кибератаки на Иран, проведенные “Gonjeshke Darande”
10 октября 2023 года группа “Gonjeshke Darande” (Хищная Ворона) взяла на себя ответственность за несколько атак в Иране, начиная с октября 2021 года и заканчивая январем 2023 года. В декабре 2023 года они заявили о крупной атаке, которая вывела из строя большинство заправочных станций в Иране. Иран обвинил в атаках Израиль и США. Группа подчеркивала, что их операции были направлены на демонстрацию возможностей и создание сбоев, а не на причинение долгосрочного ущерба.
Раздел 3: Типичная кибершпионаж, связанный с ХАМАС до 7 октября
Группы, связанные с ХАМАС, активно участвовали в кибероперациях для сбора разведывательной информации из Палестинских Территорий и Израиля. Это включало массовые фишинговые кампании и устойчивые усилия по нацеливанию на израильские сущности с использованием разнообразных кибервозможностей, включая Android-вредоносное ПО. Деятельность групп, связанных с ХАМАСом, оставалась стандартной и не наблюдалось значительного увеличения активности вплоть до 7 октября.
Раздел 4: Мобильное вредоносное ПО в кибершпионаже, нацеленном на Израиль
Мобильное вредоносное ПО является ключевым компонентом в операционном арсенале акторов из Ирана и Палестины, используемым для сбора разведывательной информации о пользователях. До 7 октября киберакторы, связанные с ХАМАСом и Ираном, нацеливали пользователей в Израиле с помощью Android-вредоносного ПО. Сразу после атаки ХАМАСа 7 октября мобильное вредоносное ПО стало центральной частью усилий по сбору разведывательной информации о пользователях, базирующихся в Израиле. Например, были идентифицированы вредоносные приложения, маскирующиеся под приложение “Red Alert” Израиля, предупреждающее о ракетных атаках