Группы, ассоциированные с ХАМАСом, проявляли высокий интерес к Израилю и активно участвовали в кибероперациях по сбору информации в пределах палестинской территории и Израиля. Они осуществляли массовые кампании по фишингу, направленные на пользователей в Палестине и соседних регионах, а также предпринимали постоянные попытки атаковать израильские организации, используя различные кибервозможности, включая вредоносное ПО на операционную систему Android. Их обычной практикой было осуществление атак внутри Палестины, а также регулярные нападения на Израиль, Соединенные Штаты, Европу и страны, соседствующие с Израилем и Палестиной. На сентябрь 2023 года, группы, ассоциированные с ХАМАСом, осуществляли свою обыкновенную по активность, заметного ее увеличения к 7 октября с их стороны не наблюдалось, и с тех пор значительной инициативности не фиксировалось. Не наблюдалось также и видоизменений в самих атаках перед началом конфликта, и предполагается, что ХАМАС не использовал кибероперации тактически для поддержки.

Киберактивисты, связанные с ХАМАСом, долгое время оперировали простыми, но эффективными методами и тактиками. Их арсенал включает в себя фишинг и различные другие уловки с распространением вредоносного ПО, часто это все подкрепляется использованием актуальных политических тем, простые пользовательские бэкдоры и широко распространенные средства удаленного доступа, такие как njRAT и Xtreme RAT. Также в ходе своей деятельности они используют инструменты для маскировки вредоносного ПО, приобретенные на подпольных форумах. Мобильные программы, включая пользовательские и открытые бэкдоры системы Android, также являются распространенным средством, с помощью которого реализуют фишинг.

Тем не менее, наблюдается тенденция к развитию кибервозможностей у одной из хакерский группировок, связанных с ХАМАСом — BLACKATOM. Эти злоумышленники проявляют признаки более продвинутых навыков, таких как тщательная социальная инженерия, адаптированная для разработчиков программного обеспечения, а также создание пользовательских вредоносных программ для операционных систем Windows, Mac и Linux. Случаи будущих кибератак со стороны ХАМАСа остаются неясными, но недавние основания для предположений, что кибервозможности хакеров развиваются требуют того, чтобы за ними ввелся постоянный контроль.

До 7 октября группы, ассоциированные с ХАМАСом, активно вели обширные кампании по фишингу, ориентированные на Палестину и её соседей в регионе, а также систематически осуществляла нападения на Израиль.

Проведение кампаний по фишингу и внедрение вредоносного ПО

В период предшествующий атаке 7 октября, IT-специалисты Google отмечали активность акторов, связанных с ХАМАСом, в организации нескольких кампаний, включая масштабные атаки по фишингу для распространения вредоносных программ и попытки кражи электронных данных. Например, в сентябре 2023 года группа, ассоциированная с ХАМАСом, известная как BLACKSTEM (или Molerats), направила несколько волн фишинговых электронных писем более чем 1000 пользователям, проживающим в Палестине, Египте, Тунисе и Иордании. Также было зафиксировано ограниченное количество целей в Израиле. В электронных сообщениях были встроены ссылки на поддельный новостной сайт, имитирующий Al Jazeera. В качестве нагрузки использовалась MAGNIFI, простой бэкдор, написанный на C++. Этот бекдор поддерживает скачивание и выполнение дополнительных файлов, которые сохраняются и периодически выполняются из определенного каталога.

В рамках отдельной кампании в сентябре 2023 года BLACKSTEM отправила фишинговые электронные письма с URL-адресом, перенаправляющим запрос через Microsoft для аутентификационных токенов. Пользователи, вошедшие в систему Microsoft, получали запрос на разрешение доступа к контролируемому атакующим Azure/Microsoft-приложению. Запрошенный токен включал разрешения на чтение/запись для почты, и если он был предоставлен, токен отправлялся по управляемому атакующему URL.

В сентябре 2023 года группы, ассоциированные с ХАМАСом, продолжили активные кибератаки, направленные на различные регионы, такие как Палестина, Египет, Тунис и Иордания.

BLACKSTEM, одна из этих групп, проводила обширные кампании по фишингу, атаку OAuth с использованием Microsoft и эксплуатировала уязвимость XSS на веб-сайте полиции Палестины для распространения вредоносного ПО. Кроме того, они разработали шпионское программное обеспечение для Android, которое имитировало официальное приложение правительства Палестины.

BLACKATOM, другая активная группа, вела атаки на израильских разработчиков программного обеспечения, используя уловку с заданием по кодированию.

Последний подтвержденный случай киберактивности от группировок, связанных с ХАМАСом, был зафиксирован 4 октября.

В период перед 7 октября группировки, аффилированные с ХАМАСом, провели некоторое количество наступательных мероприятий, нацеленных на пользователей и организации в Палестине, включая государственные структуры, под управлением ФАТХа. Ориентированность именно на внутренние объекты Палестины долгое время привлекала внимание хакеров, связанных с ХАМАС, что, вероятно, объясняется долгосрочными политическими разногласиями и делением на фракции. Последние по времени атаки, однако, свидетельствуют о том, что ХАМАС проявляет настойчивость в сборе разведывательной информации о внутренних делах Палестины уже за несколько недель до крупной атаки на Израиль.