Peretas Hamas Memata-matai Pemerintah Timur Tengah, Mengganggu Israel

Aktor ancaman yang sudah lama berafiliasi dengan Hamas telah melakukan spionase terhadap pemerintah di Timur Tengah dan serangan wiper yang merusak di Israel.

“Wirte” adalah ancaman persisten tingkat lanjut (APT) berusia 6 1/2 tahun yang bekerja untuk mendukung agenda politik Hamas. Check Point Research mengidentifikasinya sebagai subkelompok Cybergang Gaza (alias Molerats), yang juga dianggap tumpang tindih dengan TA402.

Dalam beberapa minggu dan bulan terakhir, Wirte telah memanfaatkan perang Gaza untuk menyebarkan serangan phishing terhadap entitas pemerintah yang tersebar di seluruh wilayah tersebut. Hal ini juga telah dilaksanakan serangan wiper di Israel. “Ini menunjukkan bahwa Hamas masih memiliki kemampuan dunia maya, bahkan dengan perang yang sedang berlangsung,” kata Sergey Shykevich, manajer kelompok intelijen ancaman di Check Point.

Serangan Mata-mata dan Penghapusan Wirte

Serangan Wirte tidak terlalu unik atau canggih. PDF dalam email mungkin berisi tautan yang mengarahkan target ke file untuk diunduh, yang diberi nama dengan cara tertentu untuk memberikan legitimasi (misalnya, “Beirut — Perkembangan Perang di Lebanon 2”). File tersebut akan berisi dokumen umpan, satu atau lebih file executable yang sah, dan malware.

Untuk meningkatkan rantai infeksi ini, Wirte terkadang memanfaatkannya pemuat IronWinddimulai pada bulan Oktober 2023. IronWind menggunakan rantai infeksi multitahap yang kompleks untuk menghapus malware, dengan tujuan membuat analisis yang membuat frustrasi. Ia menggunakan geofencing, dan pemuat reflektif yang menjalankan kode langsung di memori, bukan di disk, yang mungkin akan terlihat oleh perangkat lunak antivirus.

Dalam serangan yang berfokus pada spionase, akhir dari rantai ini mungkin akan membawa dampak buruk kerangka pengujian penetrasi sumber terbuka “Havoc.” Havoc memungkinkan akses terus-menerus ke mesin yang disusupi, berguna untuk membuat kendali jarak jauh, melakukan pergerakan lateral, mencuri data, dan banyak lagi.

Sebaliknya, pada bulan Februari dan Oktober 2024, kampanye Wirte mencapai klimaks dengan penerapan wiper yang disebut “SameCoin”.

Bulan lalu, Wirte menggunakan alamat email reseller resmi perangkat lunak ESET di Israel. Pesan iming-imingnya – yang dikirim ke rumah sakit, pemerintah kota, dan lainnya – memperingatkan penerima bahwa “Penyerang dari pemerintah mungkin mencoba menyusupi perangkat Anda!” dan disertakan link downloadnya. Tautan tersebut pertama kali mencoba terhubung ke situs web Home Front Command Israel, sebuah sayap dari Pasukan Pertahanan Israel (IDF) yang bertanggung jawab untuk melindungi warga sipil. Situsnya hanya dapat diakses oleh orang-orang di Israel, jadi jika pengalihan berhasil, serangan akan dilanjutkan.

Selanjutnya, file zip yang diunduh menjatuhkan dan mendekripsi wallpaper JPG pro-Hamas, video propaganda, alat yang dirancang untuk memungkinkan pergerakan lateral dalam jaringan yang ditargetkan, dan wiper SameCoin.

Apa yang Wirte Inginkan

Kegiatan mata-mata Wirte telah menyebar ke Mesir dan Arab Saudi, namun target favoritnya tampaknya berasal dari Yordania dan Otoritas Palestina (PA), entitas pemerintah yang mengawasi sebagian Tepi Barat dan dikendalikan oleh Fatah, saingan politik utama Hamas di Palestina. Secara umum, hal ini tetap konsisten dalam setengah lusin tahun sejarahnya.

Wirte telah berkembang dalam pendekatannya terhadap Israel. Dengan cara ini, hal ini juga mencerminkan aktor-aktor ancaman Palestina lainnya.

“Sebelum perang, sebagian besar fokusnya adalah pada spionase dan kegigihan diam-diam dalam jaringan,” jelas Shykevich. Hal ini sangat kontras dengan gelombang terbaru serangan wiper yang keras, misalnya, yang dijadwalkan dimulai pada 7 Oktober, bertepatan dengan peringatan satu tahun Operasi Banjir Al-Aqsa yang dilancarkan Hamas, serangan teror yang menewaskan lebih dari 1.000 warga Israel dan Israel. menyebabkan penangkapan hampir 250 orang lagi.

“Sekarang, semakin banyak yang membuat [breaches] publik, menunjukkan data, kehancuran. Fokusnya lebih banyak pada operasi peretasan dan kebocoran, dan bagaimana mereka dapat menggunakan kemampuan dunia maya untuk mencoba membentuk sebuah narasi.”

Jangan lewatkan gratis yang akan datang Acara Virtual Membaca Gelap“Kenali Musuh Anda: Memahami Penjahat Dunia Maya dan Pelaku Ancaman Negara,” 14 November pukul 11 ​​​​pagi ET. Jangan lewatkan sesi tentang pemahaman MITRE ATT&CK, menggunakan keamanan proaktif sebagai senjata, dan kelas master dalam respons insiden; dan sejumlah pembicara terkemuka seperti Larry Larsen dari Navy Credit Federal Union, mantan analis Kaspersky Lab Costin Raiu, Ben Read dari Mandiant Intelligence, Rob Lee dari SANS, dan Elvia Finalle dari Omdia. Daftar sekarang!