В декабре 2023 года активность вируса-стиральщика направлена на правительственные и финансовые учреждения Израиля. В середине месяца злоумышленники, представляющие киберугрозу воспользовались вредоносным программным обеспечением для получения контроля над операционными системами Linux и Windows, на которых базируется большая часть компьютеров в организациях, которые подверглись атаке. Фишинговые электронные письма, в которых хакеры представлялись американской компанией, предоставляющей услуги безопасности, были использованы для одурачивания жертв, которые скачивали и запускали вредоносное ПО под названием COOLWIPE и CHILLWIPE (являясь вредоносным софтом, программа маскировалось под «обновление систем безопасности компьютера»). Данное ПО действует так, что сначала перезаписывает, а затем и вовсе удаляет файлы в системе.
Хакеры под именем Handala Hack, отсылающая к символу палестинского сопротивления, затем публично распространяла информацию о деятельности вируса-стиральщика, связанной с COOLWIPE и CHILLWIPE, а также использовала риторику, связанную с Палестиной. Национальное кибер-управление Израиля (INCD) приписало активность иранской группе, однако дополнительной информации об идентичности атакующих не предоставило.
В последние годы Иран активно вкладывает большие ресурсы в различные цифровизационные процессы, в том числе в развитие киберопераций типа hack-and-leak, а также в точечные информационные операции.
Операции hack-and-leak представляют собой двухэтапный процесс, включающий в себя компрометацию потенциальных жертв, а затем раскрытие извлеченных данных с целью оказания манипулятивного влияния через шантаж.
Иранские хакерские группировки обычно придерживаются общего шаблона: вторгаются в целевую систему, используя вымышленные организации (маскировку), затем анонсируют взлом, и манипулируют управляемыми аккаунтами в социальных сетях для усиления информационных утечек или дефейсмента (изменение внешнего вида сайт до неузнаваемости). В последних операциях использовались такие группировки и акторы, как «Кибер Мстители», «Солдаты Соломона», Abnaa Al-Saada, «Карма», Malek Team, «Кибер Флуд» и «КиберТоуфан».
Недавно, хакерские группировки, который непосредственно связанные с атаками типа hack-and-leak, поддерживающие и поддерживаемые Ираном, сделали заявления о взломах жизненно важных объектов инфраструктуры Израиля, включая энергетический сектор, они в значительной степени преувеличили свои достижения и попытались ввести общественность в заблуждение. Эти группы распространяли свои заявления через социальные сети и электронную почту, ссылаясь на доказательства, якобы подтверждающие их доступ к системам безопасности и веб-камерам в Израиле. Скорее всего, цель этих заявлений не только формирование новой информационной среды из старой, но и, скорее всего, создание восприятия уязвимости израильской обороны, хакеры не пытаются оказать какого-либо оценимого физического ущерба, их цель — запутывание.
Группировка «Кибер Флуд» концентрирует свои силы на дестабилизацию функционирования израильских учреждений после начала войны Израиля против ХАМАСа в секторе Газа 7 октября 2023 г..
Мы также стали свидетелями проведения операций типа hack-and-leak, нацеленных на Израиль, группой MARNANBRIDGE, предположительно связанной с иранской компанией Emennet Pasargad. Ранее эта компания осуществляла смешенные атаки, включавшие как кибер составляющую, так и дезинформационную деятельность общественности, она попала под американские санкции за попытки влиять на президентские выборы США 2020 года.
В середине октября 2023 года группа хакеров MARNANBRIDGE осуществила взлом и незаконное использование электронных почтовых аккаунтов местных органов власти Израиля. Это произошло в рамках операции по взлому и утечке данных, направленной на израильские муниципалитеты. Основной целью операции было вызвать страх среди израильтян, продемонстрировав то, что у злоумышленников есть доступ к государственным и административным системам, второй задачей было распространение сообщений через скомпрометированные аккаунты для усиления неопределенности. Электронные сообщения, отправленные тысячам пользователей в Израиле, содержали заявления о том, что хакерская группировка под именем «Кибер Флуд» получила данные, включая лично-идентифицируемую информацию, из систем хранения данных израильских государственных учреждений. Кроме того, в письмах были включены про-палестинские лозунги и ссылки на каналы «Кибер Флуд» на площадках X (бывший Twitter) и Telegram, где предполагаемо публиковались обновления и «доказательства» деятельности данной группировки. Благодаря автоматическому обнаружению электронных писем и пометке их как спам, пользователи Gmail оказались защищены от этой атаки. В своих аккаунтах на площадках Telegram и X, «Кибер Флуд» также заявил о повреждении сотен израильских веб-сайтов и взломе Министерства образования Израиля.
Иранская группа Cyber Aveng3rs, непосредственно связанная с Корпусом стражей исламской революции (КСИР) атаковала и взломала аппаратное, программное обеспечение, произведенное в Израиле, которое использовалось в системах водоснабжения США.
26 ноября 2023 года водопроводная управляющая компания Aliquippa в штате Пенсильвания объявила о компрометации машины на насосной станции, регулирующей давление воды. Используемая система включала программное обеспечение и компоненты израильской компании. Представитель Управления водоснабжения США заявил, что никакой угрозы в плане доступности воды никогда до этого не существовало, однако, как только стало известно о взломе, оборудование переключилось на ручное управление. Хакерская группа Cyber Aveng3rs, вероятно, поддерживаемая КСИР, взяла на себя ответственность за атаку и захватила цифровой дисплей панели управления, где затем выводилось сообщение от хакерской группировки: «Каждое устройство «Сделанное в Израиле» — законная цель ‘Cyber Aveng3rs. Данная группа была создана в 2020 году, но оставалась неактивной с июля 2020 года по июль 2023 года. Ранее она направляла атаки на жизненно важные объекты инфраструктуры, нефтегазовые компании, транспорт и технологические компании, используя атаки отказа в обслуживании (DDoS), операции взлома и утечки данных, а также уничтожение данных. Несмотря на широкие заявления о деятельности против значительных целей, мы не наблюдали значительных последствий, связанных с этими утверждениями. Мы полагаем, что группа, вероятно, преувеличила или вовсе выдумала свои атаки. Как и в случае с другими хакерскими-активистскими группами, поддерживающими Иран, эти действия, вероятно, направлены на создание восприятия, что Израиль находится под угрозой или осажден, а не на причинение значительного реального ущерба.