Хакеры, поддерживаемые Ираном и "Хезболлой", организовали кибератаки, направленные на подрыв общественной поддержки войны Израиля и ХАМАСА после октября 2023 года.
Это включает деструктивные атаки против ключевых израильских организаций, операции по взлому и утечке информации, нацеленные на организации в Израиле и США, фишинговые кампании, направленные на кражу разведданных, и информационные операции, направленные на то, чтобы настроить общественное мнение против Израиля.
На Иран приходилось почти 80% всей поддерживаемой правительством фишинговой активности, направленной против Израиля, за шесть месяцев, предшествовавших атакам 7 октября, говорится в новом отчете Google.
"Взлом и утечка информации и информационные операции остаются ключевым компонентом в усилиях этих и связанных с ними субъектов угрозы по передаче сообщений о намерениях и возможностях на протяжении всей войны как своим противникам, так и другим аудиториям, на которые они стремятся повлиять", - сказал технический гигант.
Но что также примечательно в израильско-хамасовском конфликте, так это то, что кибероперации, похоже, выполняются независимо от кинетических действий и действий на поле боя, в отличие от российско-украинской войны.
Такие кибервозможности могут быть быстро развернуты с меньшими затратами для взаимодействия с региональными конкурентами без прямой военной конфронтации, добавили в компании.
Сообщается, что одна из связанных с Ираном групп, получившая название GREATRIFT (также известная как UNC4453 или Plaid Rain), распространяла вредоносное ПО через поддельный сайт "пропавшие без вести", нацеленный на посетителей, ищущих информацию о похищенных израильтянах. Злоумышленник также использовал документы-приманки на тему донорства крови в качестве средства распространения.
По меньшей мере два хакера-активиста по имени Карма и Хандала Хак использовали штаммы вредоносных программ wiper, такие как BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE и COOLWIPE для организации деструктивных атак против Израиля и удаления файлов из систем Windows и Linux соответственно.
Другая иранская хакерская группа под названием Charming Kitten (она же APT42 или CALANQUE) атаковала СМИ и неправительственные организации (НПО) с помощью бэкдора PowerShell, известного как POWERPUG, в рамках фишинговой кампании, которая наблюдалась в конце октября и ноябре 2023 года.
POWERPUG также является последним дополнением к длинному списку бэкдоров противника, в который входят PowerLess, BellaCiao, POWERSTAR (он же GorjolEcho), NokNok и BASICSTAR.
Группы, связанные с ХАМАСом, с другой стороны, нацелились на израильских инженеров-программистов с помощью ложных заданий по кодированию в попытке обманом заставить их загрузить вредоносное ПО SysJoker за несколько недель до атак 7 октября. Кампания была приписана субъекту угрозы, известному как BLACKATOM.
"Злоумышленники [...] выдавали себя за сотрудников законных компаний и связывались через LinkedIn, приглашая цели подать заявку на вакансию фрилансера по разработке программного обеспечения", - говорится в сообщении Google. "Целями были инженеры-программисты в израильских вооруженных силах, а также представители аэрокосмической и оборонной промышленности Израиля".
Технический гигант описал тактику, принятую кибер-участниками ХАМАСА, как простую, но эффективную, отметив использование ими социальной инженерии для доставки троянов удаленного доступа и бэкдоров, таких как MAGNIFI, целевым пользователям как в Палестине, так и в Израиле, которые были связаны с BLACKSTEM (он же Molerats).
Еще одним аспектом этих кампаний является использование шпионских программ, нацеленных на телефоны Android, которые способны собирать конфиденциальную информацию и передавать ее в инфраструктуру, контролируемую злоумышленниками.
Штаммы вредоносных программ, называемые MOAAZDROID и LOVELYDROID, являются делом рук связанного с ХАМАС актера DESERTVARNISH, который также отслеживается как Arid Viper, Desert Falcons, Renegade Jackal и UNC718. Подробности о шпионском ПО были ранее задокументированы Cisco Talos в октябре 2023 года.
Спонсируемые государством группы из Ирана, такие как MYSTICDOME (также известная как UNC1530), также были замечены нацеленными на мобильные устройства в Израиле с помощью трояна для удаленного доступа к Android MYTHDROID (также известного как AhMyth), а также шпионского ПО SOLODROID для сбора разведданных.
"MYSTICDOME распространял SOLODROID с использованием Firebase projects, которые перенаправляли пользователей 302 в Play Store, где им предлагалось установить шпионское ПО", - заявила Google, которая с тех пор удалила приложения с Digital marketplace.
Google далее обратил внимание на вредоносное ПО для Android под названием REDRUSE – троянскую версию законного приложения Red Alert, используемого в Израиле для предупреждения о приближающихся ракетных обстрелах, – которое удаляет контакты, данные обмена сообщениями и местоположение. Это распространялось с помощью фишинговых SMS-сообщений, выдававших себя за полицию.
Продолжающаяся война также оказала влияние на Иран: его критически важная инфраструктура была разрушена актером по имени Гонджешке Даранде (что в переводе с персидского означает Хищный воробей) в декабре 2023 года. Считается, что этот персонаж связан с Управлением военной разведки Израиля.
Выводы были сделаны после того, как Microsoft сообщила, что связанные с иранским правительством субъекты "предприняли серию кибератак и операций влияния (IO), направленных на помощь делу ХАМАС и ослабление Израиля, его политических союзников и деловых партнеров".
Редмонд описал их операции по оказанию кибербезопасности и влияния на ранней стадии как реактивные и оппортунистические, а также подтвердил оценку Google о том, что атаки становились "все более целенаправленными и разрушительными, а кампании ввода-вывода становились все более изощренными и недостоверными" после начала войны.
Помимо наращивания и расширения фокуса своих атак за пределы Израиля, чтобы охватить страны, которые Иран считает помогающими Израилю, включая Албанию, Бахрейн и США, Microsoft заявила, что наблюдала сотрудничество между связанными с Ираном группами, такими как Pink Sandstorm (также известная как Agrius) и киберподразделениями "Хезболлы".
"Сотрудничество снижает барьер для проникновения, позволяя каждой группе предоставлять существующие возможности и устраняет необходимость в том, чтобы одна группа разрабатывала полный спектр инструментов", - сказал Клинт Уоттс, генеральный менеджер Центра анализа угроз Microsoft (MTAC).
На прошлой неделе NBC News сообщила, что США недавно предприняли кибератаку на иранский военный корабль MV Behshad, который собирал разведданные о грузовых судах в Красном море и Аденском заливе.
В анализе журнала Recorded Future за прошлый месяц подробно описано, как хакерские личности и подставные группы в Иране управляются через различные фирмы-подрядчики в Иране, которые проводят операции по сбору разведданных и информации для "разжигания нестабильности в странах-объектах".
"В то время как иранские группировки поспешили провести или просто сфабриковать операции в первые дни войны, иранские группировки замедлили свои недавние операции, что дало им больше времени для получения желаемого доступа или разработки более сложных операций влияния", - заключила Microsoft.
Это включает деструктивные атаки против ключевых израильских организаций, операции по взлому и утечке информации, нацеленные на организации в Израиле и США, фишинговые кампании, направленные на кражу разведданных, и информационные операции, направленные на то, чтобы настроить общественное мнение против Израиля.
На Иран приходилось почти 80% всей поддерживаемой правительством фишинговой активности, направленной против Израиля, за шесть месяцев, предшествовавших атакам 7 октября, говорится в новом отчете Google.
"Взлом и утечка информации и информационные операции остаются ключевым компонентом в усилиях этих и связанных с ними субъектов угрозы по передаче сообщений о намерениях и возможностях на протяжении всей войны как своим противникам, так и другим аудиториям, на которые они стремятся повлиять", - сказал технический гигант.
Но что также примечательно в израильско-хамасовском конфликте, так это то, что кибероперации, похоже, выполняются независимо от кинетических действий и действий на поле боя, в отличие от российско-украинской войны.
Такие кибервозможности могут быть быстро развернуты с меньшими затратами для взаимодействия с региональными конкурентами без прямой военной конфронтации, добавили в компании.
Сообщается, что одна из связанных с Ираном групп, получившая название GREATRIFT (также известная как UNC4453 или Plaid Rain), распространяла вредоносное ПО через поддельный сайт "пропавшие без вести", нацеленный на посетителей, ищущих информацию о похищенных израильтянах. Злоумышленник также использовал документы-приманки на тему донорства крови в качестве средства распространения.
По меньшей мере два хакера-активиста по имени Карма и Хандала Хак использовали штаммы вредоносных программ wiper, такие как BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE и COOLWIPE для организации деструктивных атак против Израиля и удаления файлов из систем Windows и Linux соответственно.
Другая иранская хакерская группа под названием Charming Kitten (она же APT42 или CALANQUE) атаковала СМИ и неправительственные организации (НПО) с помощью бэкдора PowerShell, известного как POWERPUG, в рамках фишинговой кампании, которая наблюдалась в конце октября и ноябре 2023 года.
POWERPUG также является последним дополнением к длинному списку бэкдоров противника, в который входят PowerLess, BellaCiao, POWERSTAR (он же GorjolEcho), NokNok и BASICSTAR.
Группы, связанные с ХАМАСом, с другой стороны, нацелились на израильских инженеров-программистов с помощью ложных заданий по кодированию в попытке обманом заставить их загрузить вредоносное ПО SysJoker за несколько недель до атак 7 октября. Кампания была приписана субъекту угрозы, известному как BLACKATOM.
"Злоумышленники [...] выдавали себя за сотрудников законных компаний и связывались через LinkedIn, приглашая цели подать заявку на вакансию фрилансера по разработке программного обеспечения", - говорится в сообщении Google. "Целями были инженеры-программисты в израильских вооруженных силах, а также представители аэрокосмической и оборонной промышленности Израиля".
Технический гигант описал тактику, принятую кибер-участниками ХАМАСА, как простую, но эффективную, отметив использование ими социальной инженерии для доставки троянов удаленного доступа и бэкдоров, таких как MAGNIFI, целевым пользователям как в Палестине, так и в Израиле, которые были связаны с BLACKSTEM (он же Molerats).
Еще одним аспектом этих кампаний является использование шпионских программ, нацеленных на телефоны Android, которые способны собирать конфиденциальную информацию и передавать ее в инфраструктуру, контролируемую злоумышленниками.
Штаммы вредоносных программ, называемые MOAAZDROID и LOVELYDROID, являются делом рук связанного с ХАМАС актера DESERTVARNISH, который также отслеживается как Arid Viper, Desert Falcons, Renegade Jackal и UNC718. Подробности о шпионском ПО были ранее задокументированы Cisco Talos в октябре 2023 года.
Спонсируемые государством группы из Ирана, такие как MYSTICDOME (также известная как UNC1530), также были замечены нацеленными на мобильные устройства в Израиле с помощью трояна для удаленного доступа к Android MYTHDROID (также известного как AhMyth), а также шпионского ПО SOLODROID для сбора разведданных.
"MYSTICDOME распространял SOLODROID с использованием Firebase projects, которые перенаправляли пользователей 302 в Play Store, где им предлагалось установить шпионское ПО", - заявила Google, которая с тех пор удалила приложения с Digital marketplace.
Google далее обратил внимание на вредоносное ПО для Android под названием REDRUSE – троянскую версию законного приложения Red Alert, используемого в Израиле для предупреждения о приближающихся ракетных обстрелах, – которое удаляет контакты, данные обмена сообщениями и местоположение. Это распространялось с помощью фишинговых SMS-сообщений, выдававших себя за полицию.
Продолжающаяся война также оказала влияние на Иран: его критически важная инфраструктура была разрушена актером по имени Гонджешке Даранде (что в переводе с персидского означает Хищный воробей) в декабре 2023 года. Считается, что этот персонаж связан с Управлением военной разведки Израиля.
Выводы были сделаны после того, как Microsoft сообщила, что связанные с иранским правительством субъекты "предприняли серию кибератак и операций влияния (IO), направленных на помощь делу ХАМАС и ослабление Израиля, его политических союзников и деловых партнеров".
Редмонд описал их операции по оказанию кибербезопасности и влияния на ранней стадии как реактивные и оппортунистические, а также подтвердил оценку Google о том, что атаки становились "все более целенаправленными и разрушительными, а кампании ввода-вывода становились все более изощренными и недостоверными" после начала войны.
Помимо наращивания и расширения фокуса своих атак за пределы Израиля, чтобы охватить страны, которые Иран считает помогающими Израилю, включая Албанию, Бахрейн и США, Microsoft заявила, что наблюдала сотрудничество между связанными с Ираном группами, такими как Pink Sandstorm (также известная как Agrius) и киберподразделениями "Хезболлы".
"Сотрудничество снижает барьер для проникновения, позволяя каждой группе предоставлять существующие возможности и устраняет необходимость в том, чтобы одна группа разрабатывала полный спектр инструментов", - сказал Клинт Уоттс, генеральный менеджер Центра анализа угроз Microsoft (MTAC).
На прошлой неделе NBC News сообщила, что США недавно предприняли кибератаку на иранский военный корабль MV Behshad, который собирал разведданные о грузовых судах в Красном море и Аденском заливе.
В анализе журнала Recorded Future за прошлый месяц подробно описано, как хакерские личности и подставные группы в Иране управляются через различные фирмы-подрядчики в Иране, которые проводят операции по сбору разведданных и информации для "разжигания нестабильности в странах-объектах".
"В то время как иранские группировки поспешили провести или просто сфабриковать операции в первые дни войны, иранские группировки замедлили свои недавние операции, что дало им больше времени для получения желаемого доступа или разработки более сложных операций влияния", - заключила Microsoft.
