Иран активно нападал на Израиль и Соединенные Штаты в предыдущие годы, и это продолжается после обострения палестино-израильского конфликта, включая разрушительные кибератаки против ключевых израильских организаций и разведывательные операции, направленные на принятие решений в Израиле и США. За шесть месяцев до атак ХАМАСа территории Израиля 7 октября  2023 г. Иран занимал около 80% всех поддерживаемых правительством фишинговых активностей, направленных на пользователей, находящихся в Израиле. После 7 октября наблюдаются целенаправленные усилия по подрыву поддержки войны как среди израильской общественности, так и среди более широкой глобальной аудитории, включая хакерские атаки и утечку информации, а также информационные операции с целью подорвать боевой дух израильтян, их доверие к национальным организациям и представить действия Израиля в негативном свете для мировой общественности. Эти операции соответствуют долгосрочным попыткам Ирана нападать на западные организации в различных секторах, включая недавние попытки компрометировать критически важные объекты инфраструктуры США.

Группы, связанные с ХАМАСом, были активны в течение периода до сентября 2023 года, без наблюдаемого увеличения активности перед 7 октября, и с тех пор нет значительных подвижек. До начала конфликта в их деятельность входили: массовые фишинговые кампании, нацеленные на Палестину и ее региональных соседей, мобильное вредоносное ПО и упорные попытки атаковать израильские организации с использованием различных модифицированных и открытых кибервозможностей. Эта история киберконфликтов соответствуют исторической кибер-активности групп, связанных с ХАМАСом. Тактики, методы и процедуры, предпочитаемые этими киберпреступниками, обычно просты, но эффективны; однако одна из последних попыток атаки показывает прогресс в их киберспособностях, включая сложные кампании социальной инженерии для поставки модифицированного вредоносного программного обеспечения немаловажным израильским целям.

После первоначальной атаки ХАМАС, региональные игроки немедленно приступили к кибернетическим операциям. Эти операции преследовали две основные цели:

– сбор оперативной и стратегической информации;

– демонстрация участия в войне для различных целевых аудиторий, используя при этом киберпространство как вектор агрессии.

Представляется возможным привести список киберопераций против Израиля со стороны Ирана и его прокси-сил начиная с октября 2023 года.

Октябрь 2023:

– кампания GREATRIFT осуществляла распространение вредоносного программного обеспечения через поддельный веб-сайт «Пропавшие без вести», нацеленный на посетителей, ищущих информацию о похищенных израильтянах;

– операция «Кибер Флуд» представляла собой хак-и-лик, направленный на израильские муниципалитеты;

– деструктивная атака под названием BiBi Wiper была направлена на израильские ИТ- и хостинговые компании, оборонных подрядчиков и государственные организации;

– кампания GREATRIFT подделала информацию о израильской больнице и использовала ложные документы с темой донорства для распространения вредоносных программ.

Ноябрь 2023:

– операция «Кибер Мстители» представляла собой хак-и-лик, направленный на водные утилиты в США, предположительно используя оборудование/программное обеспечение, сделанное в Израиле.

– фишинговая активность «apTa2» была направлена на высокопоставленных пользователей в Израиле и США.

– операция Malek Team представляла собой хак-и-лик, направленный против больницы Ziv.

Декабрь 2023:

– персона Handala Hack заявляет о ответственности за деструктивную атаку, направленную против израильского правительства и финансового сектора.

В 2012 году подозреваемая иранская группа использовала вредоносное программное обеспечение SHADOWMOON для нападения на организации на Ближнем Востоке. С тех пор хакерские группировки, связанные с Ираном, продолжают проявлять способность и готовность к осуществлению разрушительных и деструктивных атак по отношению к целям в различных регионах и секторах, включая Израиль.

В период после атаки ХАМАС в октябре 2023 года отмечается увеличение разрушительных кибератак, включая использование вредоносных программ-стиральщиков в кампаниях против правительства Израиля, финансовых учреждений, технологических компаний и оборонных подрядчиков. Эти атаки не представляют существенного изменения в методах Ирана — разрушительная активность, подкрепленная вымышленными личностями, давно остается чертой иранских операций, нацеленных на Израиль.

После атак ХАМАС 7 октября иранские хакеры также воспользовались недавно созданными персонами для внедрения риторики, направленной на подрыв доверия общественности к израильскому руководству и продвижения пропалестинских сообщений. Несмотря на временные нарушения для затронутых организаций и трудности для обычных израильтян, эти атаки не оказали существенного влияния на более широкие секторы и не вмешивались в военные операции Израиля.

Предполагается, что Иран будет продолжать использовать разрушительные возможности против Израиля и его союзников для достижения стратегических целей Тегерана, и что они могут расширить свое использование разрушительных атак в ответ на воспринятое нарастание давления против Ирана и его прокси в контексте текущего конфликта. В прошлом Иран увеличивал свое использование разрушительных кибератак в ответ на воспринятые угрозы. В 2022 году, например, группа DUNE, поддерживаемая Ираном, направила свои атаки против Албании – страны-члена НАТО – перед запланированной конференцией организации иранской оппозиции в этой стране, что отражает высокий уровень риска со стороны Ирана при осуществлении подобных атак против своих противников.

В конце октября 2023 года хакеры, вероятно, связанные с иранской группой DUNE, которая в свой очередь поддерживается правительством Ирана, осуществили нападение на израильские организации, используя вирус-стиральщик для двух операционных систем Linux и Windows. Разработанный хакерами вирус, под названием BiBi wiper своим названием ссылается на премьер-министра Израиля Биньямина Нетаньяху. Он оказывает поражающее действие для компьютерного ПО, перезаписывая файлы данными, сгенерированными случайным образом. Согласно отчетам, хакеры также изменяли имена компьютеров в атакованных ими организациях на NO2BIBI, они также получили доступ к принтерам в данных организациях, на которых печатали различные лозунги против премьер-министра Израиля.

Среди целей атаки находились израильские IT- и хостинговые компании, оборонные подрядчики и гос. организации. Хакеры под именем Handala Hack заявили, что стоят за вредоносной активностью, где использовалось ПО, под названием COOLWIPE и CHILLWIPE. Атака была направленна на израильское правительство и финансовые учреждения.