Hamas’la bağlantılı siber tehdit aktörlerinin 7 Ekim’de İsrail’e düzenlenen terör saldırısından bu yana faaliyetlerini durdurmuş gibi görünmesi uzmanların kafasını karıştırdı.
Kombinasyon savaşı 2024’te modası geçmiş bir şey. Mandiant’ın dediği gibi yeni yayınlanan bir rapordaSiber operasyonlar, dünya genelinde siyasi, ekonomik veya doğası gereği savaş benzeri uzun süreli çatışmalara giren herhangi bir ulus veya ulus odaklı grup için “ilk başvurulacak araç” haline geldi. Rusya’nın Ukrayna’yı işgal etmesi (tarihsel siber yıkım, casusluk ve yanlış bilgilendirme dalgalarından önce gelen ve desteklenen) elbette bunun özetidir.
Gazze’de öyle değil. Eğer günümüzün taktik kitabı kaynak yoğun kinetik savaşı düşük riskli, düşük yatırımlı siber savaşla desteklemekse, Hamas bu kitabı çöpe attı.
Google’ın Tehdit Analizi Grubu (TAG) tehdit istihbaratı analisti Kristen Dennesen, “Eylül 2023 boyunca gördüğümüz şey, Hamas’la bağlantılı çok tipik siber casusluk faaliyetleriydi; faaliyetleri yıllardır gördüklerimizle oldukça tutarlıydı” dedi. Bu hafta bir basın toplantısı var. “Bu aktivite 7 Ekim öncesine kadar devam etti; bu noktadan önce herhangi bir değişim ya da artış olmadı. Ve o zamandan bu yana bu aktörlerden kayda değer bir aktivite görmedik.”
Siber saldırıların 7 Ekim’den önce artırılmaması stratejik olarak yorumlanabilir. Ama Hamas’ın neden (destekçilerine bakılmaksızın) siber operasyonlarını savaş çabalarını desteklemek için kullanmak yerine bıraktığını itiraf eden Dennesen, “Neden olduğuna dair herhangi bir açıklama yapmıyoruz çünkü bilmiyoruz.”
Hamas Ekim Öncesi 7: ‘KARATOM’
Tipik Hamas-nexus siber saldırıları arasında “kötü amaçlı yazılım dağıtmak veya e-posta verilerini çalmak için kitlesel kimlik avı kampanyaları”nın yanı sıra kimlik avı yoluyla düşürülen çeşitli Android arka kapıları aracılığıyla mobil casus yazılımlar yer alıyor dedi Dennesen. “Ve son olarak, hedefleme açısından: İsrail’in, Filistin’in, Orta Doğu’daki bölgesel komşularının ısrarla hedeflenmesinin yanı sıra ABD ve Avrupa’nın da hedef alınması” diye açıkladı.
Bunun neye benzediğine dair bir vaka çalışması için, BLACKSTEM (diğer adıyla MOLERATS, Extreme Jackal) ve DESERTVARNISH (diğer adıyla UNC718, Renegade Jackal, Desert Falcons, Arid Viper) ile birlikte Hamas bağlantılı üç ana tehdit aktöründen biri olan BLACKATOM’u ele alalım.
Eylül ayında BLACKATOM, İsrail Savunma Kuvvetleri’ndeki (IDF) yazılım mühendislerinin yanı sıra İsrail’in savunma ve havacılık endüstrilerindeki yazılım mühendislerini hedef alan bir sosyal mühendislik kampanyası başlattı.
Hile, LinkedIn’de şirketlerin çalışanları gibi görünmeyi ve sahte serbest iş fırsatlarıyla hedeflere mesaj göndermeyi içeriyordu. İlk temastan sonra, sahte işe alım görevlileri, bir kodlama değerlendirmesine katılma talimatlarını içeren bir yem belgesi göndereceklerdi.
Sahte kodlama değerlendirmesi, alıcıların, saldırgan tarafından kontrol edilen GitHub veya Google Drive sayfasından insan kaynakları yönetimi uygulaması görünümüne sahip bir Visual Studio projesi indirmesini gerektiriyordu. Daha sonra alıcılardan kodlama becerilerini göstermeleri için projeye özellikler eklemeleri istendi. Ancak projede, etkilenen bilgisayara kötü amaçlı bir ZIP dosyasını gizlice indiren, çıkaran ve çalıştıran bir işlev bulunuyordu. ZIP’in içinde: SysJoker çoklu platform arka kapısı.
‘Rusya gibisi yok’
Hamas’ın işgalinin siber faaliyetlerinde Rusya’nın modeline benzer bir değişimle eşleşmemesi mantığa aykırı görünebilir. Bunun nedeni, 7 Ekim’deki terör saldırısını bu kadar şaşırtıcı derecede etkili kılan gizlilik olan operasyonel güvenliğe öncelik vermesi olabilir.
Mandiant’a göre, Hamas’la bağlantılı olduğu doğrulanan en son siber faaliyetin neden 4 Ekim’de gerçekleştiği ise daha az açıklanabilir. (Bu arada Gazze, son aylarda ciddi internet kesintilerinden zarar gördü.)
Google TAG’ın kıdemli direktörü Shane Huntley, “Bence burada vurgulanması gereken en önemli şey, bunların çok farklı tarafların dahil olduğu çok farklı çatışmalar olduğudur” dedi. “Hamas Rusya’ya hiç benzemiyor. Dolayısıyla siber kullanımının çok farklı olması şaşırtıcı değil [depending on] Daimi ordular ile 7 Ekim’de gördüğümüze benzer bir tür saldırı arasındaki çatışmanın niteliği.”
Ancak Hamas muhtemelen siber operasyonlarını tamamen durdurmadı. “Hamas bağlantılı aktörlerin gelecekteki siber operasyonlarına ilişkin görünüm yakın vadede belirsiz olsa da, Hamas’ın siber faaliyetlerinin eninde sonunda devam edeceğini tahmin ediyoruz. Bu Filistin içi meseleler hakkında istihbarat toplamak için casusluğa odaklanılmalıdır, İsrail, ABD ve Orta Doğu’daki diğer bölgesel aktörler” dedi Dennesen.