Los actores de amenazas cibernéticas vinculados con Hamás aparentemente han cesado su actividad desde el ataque terrorista en Israel el 7 de octubre, lo que confunde a los expertos.
La guerra combinada será cosa del pasado en 2024. Como dijo Mandiant en un informe recientemente publicado, las operaciones cibernéticas se han convertido en una “herramienta de primer recurso” para cualquier nación o grupo alineado con naciones en todo el mundo involucrado en un conflicto prolongado, ya sea de naturaleza política, económica o bélica. La invasión rusa de Ucrania –precedida y apoyada por oleadas históricas de ciberdestrucción, espionaje y desinformación– es, por supuesto, la quintaesencia.
No es así en Gaza. Si el manual actual es apoyar una guerra cinética que requiere un uso intensivo de recursos con una guerra cibernética de bajo riesgo y baja inversión, Hamás ha descartado el manual.
"Lo que vimos a lo largo de septiembre de 2023 fueron actividades de ciberespionaje muy típicas vinculadas a Hamas; su actividad fue muy consistente con lo que hemos visto durante años", dijo Kristen Dennesen, analista de inteligencia de amenazas del Grupo de Análisis de Amenazas (TAG) de Google, en una conferencia de prensa esta semana. “Esa actividad continuó hasta poco antes del 7 de octubre; no hubo ningún tipo de cambio o repunte antes de ese momento. Y desde entonces, no hemos visto ninguna actividad significativa por parte de estos actores”.
No intensificar los ataques cibernéticos antes del 7 de octubre podría interpretarse como estratégico. Pero en cuanto a por qué Hamás (independientemente de sus seguidores) ha abandonado sus operaciones cibernéticas en lugar de utilizarlas para apoyar su esfuerzo bélico, Dennesen admitió: "No ofrecemos ninguna explicación de por qué porque no lo sabemos".
Hamás antes de octubre. 7: 'ÁTOMO NEGRO'
Los ciberataques típicos del nexo de Hamás incluyen “campañas masivas de phishing para entregar malware o robar datos de correo electrónico”, dijo Dennesen, así como software espía móvil a través de varias puertas traseras de Android lanzadas mediante phishing. “Y finalmente, en términos de sus objetivos: ataques muy persistentes contra Israel, Palestina, sus vecinos regionales en el Medio Oriente, así como ataques contra Estados Unidos y Europa”, explicó.
Para un estudio de caso de cómo se ve eso, tomemos a BLACKATOM, uno de los tres principales actores de amenazas vinculados a Hamás, junto con BLACKSTEM (también conocido como MOLERATS, Extreme Jackal) y DESERTVARNISH (también conocido como UNC718, Renegade Jackal, Desert Falcons, Arid Viper).
En septiembre, BLACKATOM inició una campaña de ingeniería social dirigida a ingenieros de software de las Fuerzas de Defensa de Israel (FDI), así como a las industrias aeroespacial y de defensa de Israel.
El truco consistía en hacerse pasar por empleados de empresas en LinkedIn y enviar mensajes a objetivos con oportunidades de trabajo independientes falsas. Después del contacto inicial, los falsos reclutadores enviaban un documento señuelo con instrucciones para participar en una evaluación de codificación.
La evaluación de codificación falsa requería que los destinatarios descargaran un proyecto de Visual Studio, disfrazado de aplicación de gestión de recursos humanos, desde una página de GitHub o Google Drive controlada por el atacante. Luego se pidió a los destinatarios que agregaran funciones al proyecto para demostrar sus habilidades de codificación. Sin embargo, dentro del proyecto había una función que descargaba, extraía y ejecutaba en secreto un archivo ZIP malicioso en la computadora afectada. Dentro del ZIP: la puerta trasera multiplataforma SysJoker.
"Nada como Rusia"
Puede parecer contradictorio que la invasión de Hamás no hubiera ido acompañada de un cambio en su actividad cibernética similar al modelo de Rusia. Esto puede deberse a su prioridad de la seguridad operativa, el secreto que hizo que su ataque terrorista del 7 de octubre fuera tan sorprendentemente efectivo.
Menos explicable es por qué la actividad cibernética relacionada con Hamás confirmada más recientemente, según Mandiant, ocurrió el 4 de octubre (Gaza, mientras tanto, ha sufrido importantes interrupciones en Internet en los últimos meses).
"Creo que lo clave a destacar es que se trata de conflictos muy diferentes, con entidades muy diferentes involucradas", dijo Shane Huntley, director senior de Google TAG. “Hamás no se parece en nada a Rusia. Y por lo tanto, no sorprende que el uso de la cibernética sea muy diferente [dependiendo de] la naturaleza del conflicto, entre ejércitos permanentes y un tipo de ataque como el que vimos el 7 de octubre”.
Pero es probable que Hamás no haya retirado por completo sus operaciones cibernéticas. “Si bien las perspectivas para futuras operaciones cibernéticas por parte de actores vinculados a Hamás son inciertas en el corto plazo, anticipamos que la actividad cibernética de Hamás eventualmente se reanudará. Debería centrarse en el espionaje para la recopilación de inteligencia sobre estos asuntos intrapalestinos, Israel, Estados Unidos y otros actores regionales en el Medio Oriente”, señaló Dennesen.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/hamas-cyberattacks-ceased-after-october-7-attack-but-why
