Hackers, gesteund door Iran en Hezbollah, voerden cyberaanvallen uit die bedoeld waren om de publieke steun voor de oorlog tussen Israël en Hamas na oktober 2023 te ondermijnen.
Dit omvat destructieve aanvallen op belangrijke Israëlische organisaties, hack-en-lek-operaties gericht op entiteiten in Israël en de VS, phishing-campagnes ontworpen om inlichtingen te stelen, en informatie-operaties om de publieke opinie tegen Israël te keren.
Iran was verantwoordelijk voor bijna 80% van alle door de overheid gesteunde phishing-activiteiten gericht op Israël in de zes maanden voorafgaand aan de aanslagen van 7 oktober, aldus Google in een nieuw rapport.
“Hack-and-leak- en informatieoperaties blijven een sleutelcomponent in de inspanningen van deze en aanverwante dreigingsactoren om gedurende de oorlog hun intenties en capaciteiten te telegraferen, zowel naar hun tegenstanders als naar andere doelgroepen die ze proberen te beïnvloeden”, aldus de technologiegigant.
Maar wat ook opmerkelijk is aan het Israëlisch-Hamas-conflict is dat de cyberoperaties onafhankelijk van de kinetische en slagveldacties lijken te worden uitgevoerd, in tegenstelling tot wat is waargenomen in het geval van de Russisch-Oekraïense oorlog.
Dergelijke cybercapaciteiten kunnen snel en tegen lagere kosten worden ingezet om de strijd aan te gaan met regionale rivalen zonder directe militaire confrontatie, voegde het bedrijf eraan toe.
Een van de aan Iran gelieerde groepen, genaamd GREATRIFT (ook bekend als UNC4453 of Plaid Rain), zou malware hebben gepropageerd via een nep-site voor vermiste personen, gericht op bezoekers die op zoek waren naar updates over ontvoerde Israëli’s. De bedreigingsacteur gebruikte ook lokdocumenten met een bloeddonatiethema als distributievector.
Minstens twee hacktivistische personages, Karma en Handala Hack, hebben gebruik gemaakt van wiper-malwaresoorten zoals BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE en COOLWIPE om destructieve aanvallen op Israël uit te voeren en bestanden van respectievelijk Windows- en Linux-systemen te verwijderen.
Een andere Iraanse natiestaat-hackgroep genaamd Charming Kitten (ook bekend als APT42 of CALANQUE) richtte zich op media en niet-gouvernementele organisaties (NGO’s) met een PowerShell-achterdeur, bekend als POWERPUG, als onderdeel van een phishing-campagne die eind oktober en november 2023 werd waargenomen.
POWERPUG is ook de nieuwste toevoeging aan de lange lijst met achterdeurtjes van de tegenstander, waaronder PowerLess, BellaCiao, POWERSTAR (ook bekend als GorjolEcho), NokNok en BASICSTAR.
Aan Hamas gelinkte groepen richtten zich daarentegen op Israëlische software-ingenieurs met lokmiddelen voor codeeropdrachten in een poging hen te misleiden om SysJoker-malware te downloaden weken vóór de aanslagen van 7 oktober. De campagne wordt toegeschreven aan een dreigingsactor die BLACKATOM wordt genoemd.
“De aanvallers […] zich voordeed als werknemers van legitieme bedrijven en contact opnam via LinkedIn om doelen uit te nodigen om freelance-mogelijkheden voor softwareontwikkeling aan te vragen, ‘zei Google.’ Doelstellingen omvatten software-ingenieurs in het Israëlische leger, evenals de Israëlische lucht- en ruimtevaart- en defensie-industrie.
De technologiegigant beschreef de tactieken van Hamas-cyberactoren als eenvoudig maar effectief, en merkte op dat ze social engineering gebruiken om trojaanse paarden en achterdeurtjes zoals MAGNIFI op afstand te leveren aan gebruikers in zowel Palestina als Israël, die zijn gekoppeld aan BLACKSTEM (ook bekend als Molerats). .
Een andere dimensie aan deze campagnes is het gebruik van spyware die zich richt op Android-telefoons die in staat zijn gevoelige informatie te verzamelen en de gegevens te exfiltreren naar een door de aanvaller gecontroleerde infrastructuur.
De malwaresoorten, genaamd MOAAZDROID en LOVELYDROID, zijn het handwerk van de aan Hamas gelieerde acteur DESERTVARNISH, die ook wordt gevolgd als Arid Viper, Desert Falcons, Renegade Jackal en UNC718. Details over de spyware werden eerder gedocumenteerd door Cisco Talos in oktober 2023.
Er is ook waargenomen dat door de staat gesponsorde groepen uit Iran, zoals MYSTICDOME (ook bekend als UNC1530), zich richten op mobiele apparaten in Israël met de MYTHDROID (ook bekend als AhMyth) Android trojan voor externe toegang, evenals een op maat gemaakte spyware genaamd SOLODROID voor het verzamelen van inlichtingen.
“MYSTICDOME distribueerde SOLODROID met behulp van Firebase-projecten die gebruikers via 302 doorverwezen naar de Play Store, waar ze werden gevraagd de spyware te installeren”, aldus Google, dat de apps sindsdien van de digitale markt heeft verwijderd.
Google benadrukte verder een Android-malware genaamd REDRUSE – een getrojaniseerde versie van de legitieme Red Alert-app die in Israël wordt gebruikt om te waarschuwen voor inkomende raketaanvallen – die contacten, berichtgegevens en locatie exfiltreert. Het werd verspreid via sms-phishingberichten waarin de politie werd nagebootst.
De aanhoudende oorlog heeft ook gevolgen gehad voor Iran, waarbij zijn kritieke infrastructuur in december 2023 werd verstoord door een acteur genaamd Gonjeshke Darande (wat Roofzuchtige Sparrow betekent in het Perzisch). Er wordt aangenomen dat de persona verband houdt met het Israëlische Directoraat Militaire Inlichtingendienst.
De bevindingen komen op het moment dat Microsoft onthulde dat Iraanse overheidsactoren “een reeks cyberaanvallen en beïnvloedingsoperaties (IO) hebben gelanceerd die bedoeld zijn om de zaak van Hamas te helpen en Israël en zijn politieke bondgenoten en zakenpartners te verzwakken.”
Redmond beschreef hun cyber- en beïnvloedingsoperaties in een vroeg stadium als reactief en opportunistisch, terwijl ze ook de inschatting van Google bevestigde dat de aanvallen “steeds doelgerichter en destructiever werden en dat IO-campagnes steeds geavanceerder en niet authentieker werden” na het uitbreken van de oorlog.
Naast het opvoeren en uitbreiden van hun aanvalsfocus buiten Israël om landen te omvatten waarvan Iran denkt dat ze Israël helpen, waaronder Albanië, Bahrein en de VS, zei Microsoft dat het samenwerking waarneemt tussen aan Iran gelieerde groepen zoals Pink Sandstorm (ook bekend als Agrius) en Hezbollah cybercrime. eenheden.
“Samenwerking verlaagt de toetredingsdrempel, waardoor elke groep bestaande mogelijkheden kan bijdragen en de noodzaak voor een enkele groep om een volledig spectrum aan tools of ambachten te ontwikkelen wegneemt”, zegt Clint Watts, algemeen directeur van het Microsoft Threat Analysis Center (MTAC). .
Vorige week meldde NBC News dat de VS onlangs een cyberaanval hebben gelanceerd tegen een Iraans militair schip genaamd MV Behshad dat inlichtingen had verzameld over vrachtschepen in de Rode Zee en de Golf van Aden.
In een analyse van Recorded Future van vorige maand werd gedetailleerd beschreven hoe hackende persona’s en frontgroepen in Iran worden beheerd en geëxploiteerd via een verscheidenheid aan contracterende bedrijven in Iran, die het verzamelen van inlichtingen en informatieoperaties uitvoeren om “instabiliteit in de doellanden aan te wakkeren”.
“Terwijl Iraanse groepen zich in de begindagen van de oorlog haastten om operaties uit te voeren of simpelweg te verzinnen, hebben Iraanse groepen hun recente operaties vertraagd, waardoor ze meer tijd hebben om de gewenste toegang te verkrijgen of meer uitgebreide invloedsoperaties te ontwikkelen”, concludeerde Microsoft.
