Мировой гигант в области поисковых систем, искусственного интеллекта и рекламы в Интернете – американская корпорация "Гугл" – опубликовала отчет о фишинговых кампаниях, хакерских атаках и информационных операциях, поддерживаемых иранским правительством, а также о подрывных кибератаках, проведенных ХАМАСом против Израиля. Сообщается, что отчет основан на анализе групп Threat Analysis Group, Mandiant и Trust & Safety.
Прежде всего в "Гугл" заявили, что, по их данным, непосредственно перед нападением на Израиль 7 октября боевики ХАМАСа кибероперации против Израиля не проводили.
"По нашим оценкам, ХАМАС целенаправленно не проводил кибероперации для тактической поддержки нападения 7 октября, – сказано в отчете. – Не было никаких изменений в особенностях операций в преддверии нападения, а большинство зафиксированных операций в предшествующие месяцы были связаны с внутрипалестинскими и региональными действиями на Ближнем Востоке, что соответствует их обычной деятельности".
Специалисты подчеркивают, что и после 7 октября "значительной активности" ХАМАСа в киберпространстве они не фиксировали. Тем не менее незадолго до нападения связанные с ХАМАСом группировки проводили массовые фишинговые рассылки пользователям из Египта, Иордании, Израиля, Палестинской автономии и Туниса. Хакеры таким образом пытались заполучить данные пользователей с электронной почты и разослать вредоносные программы.
Среди прочего, в отчете указывается на серию попыток взлома хакерами из Газы государственных, общественных и частных организаций, а также на операции информационной войны, устраиваемые с целью подрыва морального духа израильтян и перенастройки мирового общественного мнения против Израиля. Наконец, киберагрессорами проведен целый ряд кампаний по сбору разведывательной информации через Интернет с помощью фишинговых атак.
Также в отчете рассказывается о сентябрьской попытке ХАМАСа собрать информацию об израильских организациях и гражданах через социальную сеть "Линкедин". Тогда кибертеррористы ХАМАСа выдавали себя за соискателей вакансий в высокотехнологичных компаниях и под предлогом трудоустройства через "Линкедин" связывались с израильскими работодателями. На практике же они собирали информацию об израильских работодателях, по возможности – об их сотрудниках, и сосредотачивались на компаниях военной промышленности и организациях, имеющих связь с силовиками.
Значительная часть деятельности киберштурмовиков в миссиях Ирана и ХАМАСа осуществляется посредством шпионского программного обеспечения (ПО), установленного на смартфоны пользователей. В отчете указываются попытки до и после атаки 7 октября проникнуть в устройства с помощью приложений с так называемыми "бэкдорами", которые предоставляют установщикам доступ к информации на устройстве и даже возможность управлять ими.
В отчете есть информация о том, как в сообщениях в "Вотсапе" распространялись установочные файлы шпионского ПО. Например, в августе 2023 года обнаружена попытка со стороны хакеров, связанных с ХАМАСом, распространить ПО, выдававшее себя за приложение "Телеграм" и предоставлявшее злоумышленникам после установки на сторонних устройствах возможность чтения и даже отправки текстовых сообщений всем их контактам, тем самым значительно расширяя возможности атаки. В октябре прошлого года подобное шпионское ПО обнаружено на устройствах и израильских пользователей.
Более того, в отчете упоминается попытка распространения фальшивого приложения, которое выдавало себя за актуальную в последнее время приложение "Цева адом", предупреждающую о ракетных атаках, а на самом деле собирало данные о пользователях, читало их сообщения и отслеживало местоположение.
Наконец, как утверждают аналитики корпорации "Гугл", хакеры ХАМАСа пытались в том числе собрать разведданные о внутренних делах Палестинской автономии – в частности, их интересовала информация, связанная с ФАТХом и палестинской полицией.
Авторы отчета прогнозируют, что в текущем году будет наблюдаться постепенный рост кибератак на Израиль со стороны Ирана и ХАМАСа.
"Хотя в краткосрочной перспективе прогноз вероятных киберопераций со стороны лиц и групп, связанных с ХАМАСом, неясен, тем не менее мы ожидаем, что киберактивность ХАМАСа в конечном итоге продолжится и будет сосредоточена на шпионаже с целью сбора разведывательных данных о внутренних делах автономии, Израиля, США и других региональных игроков на Ближнем Востоке", – говорится в отчете.
комментарии