Исследователи Recorded Future обнаружили возможные признаки сотрудничества между палестинской организацией ХАМАС и одной из долгоживущих групп хакеров, говорящих на арабском языке.
По данным отчета Recorded Future, ХАМАС, предположительно, обратился к операторам за пределами Газы и “третьим лицам” с целью поддержания работоспособности новостного сайта, связанного с его военным крылом, Аль-Кассам, во время конфликта с Израилем.
Через несколько дней после начала конфликта Telegram-канал, используемый членами и сторонниками ХАМАС, объявил о запуске приложения, связанного с Аль-Кассам. Приложение было выпущено с целью распространения сообщения ХАМАС.
Поддержание работы сайта или приложения в Газе является сложной задачей. Авиаудары по Газе нанесли ущерб интернет-инфраструктуре региона и вызвали отключение электроэнергии. К тому же регион постоянно подвергается атакам хакеров с политической мотивацией. Некоторые провайдеры, вероятно, отказались размещать сайты, связанные с ХАМАС.
По мнению исследователей, ХАМАС пытается обойти эту проблему, разделяя свою инфраструктуру с теми, кто может помочь в ее поддержании. После начала конфликта операторы сайта Аль-Кассам переносили сайт между различными провайдерами.
Анализируя инфраструктуру ХАМАС, исследователи обнаружили подозрительные переадресации на сайт Аль-Кассам и одинаковый код Google Analytics, связанный с доменом сайта и около 90 других доменов.
Исследователям удалось определить предполагаемых операторов двух кластеров доменов. Первый кластер использовал техники регистрации, схожие с хакерской группой TAG-63 (AridViper, APT-C-23), которая считается кибершпионской группой, поддерживаемой государством. TAG-63 известна своими действиями против арабскоязычных лиц в Ближнем Востоке. Считается, что группа действует от имени ХАМАС.
Вторая группа доменов, предположительно, была связана с Ираном и содержала несколько поддоменов со ссылками на Иран, включая персидские термины, такие как “директор” и “товарищ”.
Одна из страниц, связанных с Ираном, использовалась для имитации сайта Комитета против пыток (World Organisation Against Torture, OMCT). Не удалось подтвердить, использовался ли этот сайт хакерами для фишинга или социальной инженерии.
Иран поддерживает тесные связи с ХАМАС, и только Силы Кудс (Бригады Аль-Кудса, AQB), подразделение Ирана, специализирующееся на нетрадиционном ведении войны и военной разведке, известно своей поддержкой ХАМАС в киберпространстве и другим палестинским хакерским группировкам. Несмотря на отсутствие множества доказательств сотрудничества между обеими сторонами, данный отчет дает представление о том, как группы могут помогать друг другу.