Исследователи обнаружили возможные признаки сотрудничества между палестинской военной организацией Хамас и одной из долгоживущих групп хакеров, говорящих на арабском языке. Согласно отчету, опубликованному исследовательской компанией Recorded Future, Хамас, вероятно, обратился к операторам за пределами Газы и “третьим сторонам” для поддержания работы новостного сайта, связанного с его военным крылом, Аль-Кассам, во время войны с Израилем.
Через несколько дней после первой крупной атаки Хамас на Израиль, канал Telegram, используемый членами и сторонниками Хамас , объявил о запуске приложения, связанного с Аль-Кассам. Приложение было выпущено для распространения сообщения Хамаса.
В Газе сложно поддерживать работу сайта или приложения — израильские авиаудары повредили интернет-инфраструктуру и вызвали отключения электроэнергии. Регион также постоянно подвергается атакам хакеров с политической мотивацией, которые стремятся нарушить его жизненно важные сервисы и веб-сайты.
Хамас, как предполагается, решает эту проблему, разделяя свою инфраструктуру с теми, кто может помочь поддерживать ее работу. После крупной атаки на Израиль операторы сайта Аль-Кассам переносили его между различными поставщиками инфраструктуры.
Анализируя эту инфраструктуру, исследователи обнаружили подозрительные перенаправления на сайт Аль-Кассам и идентичный код Google Analytics, связанный с доменом сайта и около 90 другими доменами.
Первая группа доменов использовала похожие методы регистрации, как у хакерской группы TAG-63, также известной как AridViper и APT-C-23. Это государственно поддерживаемая группа кибершпионажа, известная тем, что нацеливается на арабскоговорящих лиц на Ближнем Востоке. Считается, что группа действует от имени Хамаса.
Вторая группа доменов, предположительно, связана с Ираном. На одной из страниц, связанных с Ираном, была попытка выдать себя за Всемирную организацию против пыток (OMCT). Исследователи не смогли подтвердить, использовался ли этот сайт хакерами для фишинга или социальной инженерии.
Иран поддерживает тесные связи с Хамас, и иранская Кудс Форс, подразделение, специализирующееся на нестандартной войне и военной разведке, является единственной подтвержденной иранской структурой, известной своей киберподдержкой Хамас и других палестинских групп угроз.
Хотя доказательств сотрудничества между обеими сторонами не так много, этот отчет дает представление о том, как эти группы могут помогать друг другу, согласно исследователям.
Источник: SecurityLab