Het conflict tussen Israël en Iran is ook op cybergebied voelbaar: hacktivisten hebben DDoS-aanvallen, malware en andere cyberaanvallen uitgevoerd.
Het conflict tussen Israël en Iran, dat begon met Israëlische aanvallen op Iraanse nucleaire en militaire doelen op 13 juni, heeft geleid tot een breder cyberconflict in de regio, inclusief de lancering van nieuwe malwarecampagnes.
Cyble-onderzoekers van threat intelligence documenteerden cyberaanvallen door 74 hacktivistische groepen in het Midden-Oosten tussen 13 en 17 juni. De overgrote meerderheid van de hacktivistische groepen – meer dan 90% – wordt beschouwd als pro-Iran. De meeste cyberaanvallen waren gericht op Israëlische organisaties. Iran was een doelwit van verschillende cyberaanvallen en het regionale cyberconflict heeft zich ook verspreid naar Egypte, Jordanië, de VAE, Pakistan en Saoedi-Arabië.
Cyberaanvallen uitgevoerd door hacktivistische groepen in de regio omvatten DDoS-aanvallen, website-defacements, ongeautoriseerde toegang en datalekken – en de lancering van ransomware/wiper- en banking-malwarecampagnes. Te midden van de toegenomen cyberactiviteit is Iran blijkbaar begonnen met het beperken van de internettoegang in een poging de Israëlische cyberoperaties te beperken.
Hacktivisme in het Midden-Oosten omvat informatieoperaties
Na het uitbreken van de vijandelijkheden op 13 juni constateerde Cyble een aanzienlijke escalatie van hacktivistische activiteiten gericht op Israël en verschillende staten in de regio. De operaties werden aangestuurd door een brede coalitie van ideologisch gemotiveerde actoren, van wie velen zich identificeren met pro-Palestijnse, pro-Iraanse of antiwesterse verhalen, aldus Cyble deze week in een advies aan cliënten van de afdeling dreigingsinlichtingen .
Israël was het belangrijkste doelwit, met tientallen cyberaanvallen op de overheid, defensie, media, telecom, financiën, onderwijs en hulpdiensten. De meeste incidenten betroffen DDoS-aanvallen (Distributed Denial-of-Service), maar er waren ook gevallen van ongeautoriseerde toegang, defacement, datalekken en ransomware- aanvallen.
De volgende hashtags zijn gebruikt in cybercampagnes:
- #SalomZionist
- #OpIsrael
- #OneUmmah
- #VrijPalestina
- #SteunIran
- #HackVoorMenselijkheid
- #OpJordan
De volledige lijst van hacktivistengroepen die Cyble heeft gedetecteerd, wordt gedetailleerd weergegeven in de onderstaande afbeelding:
Naast het publiceren van hun eigen DDoS-aanvallen en defacement-operaties, gebruiken hacktivistische groepen hun Telegram-kanalen systematisch om het bredere cyber- en geopolitieke verhaal te versterken. Dit omvat het opnieuw plaatsen van beweringen over aanvallen door gelieerde of ideologisch gelijkgestemde collectieven, waardoor “een gevoel van gedecentraliseerde coördinatie” wordt versterkt, aldus Cyble.
De contentstromen van de groepen bevatten vaak pro-Iraanse en pro-Palestijnse verhalen, vaak verpakt in “emotionele en polariserende termen”, aldus de onderzoekers. Een opvallende trend is de verspreiding van videobeelden van raketaanvallen en drone-operaties, naast schokkende beelden van slachtoffers aan Iraanse zijde.
“Deze materialen dienen zowel als mobilisatiemiddelen als psychologische oorlogsvoering, waardoor de grens tussen cyberactiviteiten en informatieoperaties vervaagt”, aldus het Cyble-advies. “De groepen lijken zich niet alleen te positioneren als digitale strijders, maar ook als onderdeel van een breder ecosysteem van verzetsmedia.”
Hacktivistische aanvallen: DDoS, inbreuken, malwarecampagnes
Onder de door Cyble gedocumenteerde cyberaanvallen bevonden zich vijf ransomware-/afpersingsaanvallen die de Handala Group claimde tegen Israëlische organisaties, waaronder media, telecom, bouw, onderwijs en chemische/energie. De groep verstrekte datamonsters voor twee van de vijf vermeende aanvallen.
Andere opvallende claims van hacktivistische aanvallen die Cyble de afgelopen dagen heeft gedocumenteerd, zijn onder meer 34 DDoS-aanvallen, vijf verminkingen, twee datalekken, twee gevallen van ongeautoriseerde toegang, een claim van een ransomware- aanval gericht op een Israëlisch overheidsdoelwit , een grote aanval op de Iraanse cryptobeurs Nobitex en vier incidenten met betrekking tot gegevens- of inloggegevenslekken.
Onder de hacktivistengroepen die de afgelopen dagen actief waren, bevonden zich:
| Hacktivistengroep | Doel |
| Anonieme jongens | Israël |
| Arabische geesten | Jordanië |
| Handala Hack | Israël |
| Servermoordenaars | Israël |
| RipperSec | Israël |
| Dienet | Israël |
| LulzSec Zwart | Israël |
| Cyber Ghost Team | Israël |
| Keymous+ | Egypte |
| GhostSec | Israël |
| Dark Storm Team | Israël |
| Jemen Cyberleger | Saoedi-Arabië |
| Anonieme Syrië-hackers | Iran |
| Rode Adelaar | Pakistan |
| Mysterios-team | Egypte |
| Tunesische maskers | Egypte |
| Eenheid Negen | Egypte |
| Islamitisch Hackerleger | Iran |
| Cyber-islamitische weerstand | Israël |
| Natie van Redders | Israël |
| Onbekend Cybers-team | VAE |
| Meneer Hamza | Israël |
| EvilByte | Israël |
| Digitale Geest | Israël |
| Cyber Fattah-team | Israël |
| Roofzuchtige mus | Iran |
Op 16 juni werd een ransomware- of wiper-executable, geïdentificeerd als “encryption.exe”, in het wild aangetroffen en toegeschreven aan een eerder niet gerapporteerde dreigingsactor, bekend als Anon-g Fox. De malware controleert met name de tijdzone van het systeem als Israel Standard Time (IST) en de taal als Hebreeuws voordat deze verder wordt uitgevoerd. Als aan deze voorwaarden niet wordt voldaan, wordt de uitvoering geblokkeerd met de foutmelding ‘Dit programma kan alleen in Israël worden uitgevoerd’, wat suggereert dat er sprake is van een geopolitiek motief, mogelijk gekoppeld aan het aanhoudende cyberconflict tussen Iran en Israël.
Onderzoekers van Cyble Research and Intelligence Labs ontdekten ook een campagne met de IRATA Android-malware die zich richt op bankapplicaties in Iran. De malware is waargenomen terwijl deze zich voordoet als overheidsinstanties, waaronder het gerechtelijk apparaat van de Islamitische Republiek Iran en het Ministerie van Economische Zaken en Financiën. De malware richt zich op meer dan 50 bank- en cryptovaluta-applicaties en misbruikt de toegankelijkheidsservice om de beoogde bank te identificeren, bankrekeningnummers en -saldi te stelen en kaartgegevens te verzamelen.
De malware kan het geïnfecteerde apparaat op afstand besturen en verschillende acties uitvoeren, zoals het verbergen van het pictogram, het verzamelen van sms-berichten en contacten, het maken van screenshots en het ophalen van een lijst met geïnstalleerde applicaties. Deze mogelijkheden stellen de malware in staat om uitgebreide informatie te verzamelen, die kan worden gebruikt om frauduleuze transacties uit te voeren vanaf de rekening van het slachtoffer, wat mogelijk tot aanzienlijk financieel verlies kan leiden.
Hacktivisten en conflict
Hacktivisten zien conflicten vaak als een kans om hun agenda te promoten, wraak te nemen en de angst en chaos te versterken, zoals vorige maand gebeurde in de Indiase staat Jammu en Kasjmir . En zoals het conflict tussen Iran en Israël aantoont, kunnen bondgenoten aan beide kanten van een conflict het doelwit worden van hacktivistische aanvallen. Zelfs vóór het uitbreken van de vijandelijkheden tussen Israël en Iran vorige week, loofden de VS een beloning uit voor informatie over CyberAv3ngers/Mr. Soul – een dreigingsactor die naar verluidt banden heeft met het Iraanse IRGC Cyber-Electronic Command – voor vermeende cyberaanvallen op kritieke infrastructuur in de VS en elders.
Organisaties die het doelwit van hacktivisme kunnen worden, wordt geadviseerd te investeren in DDoS-beveiliging en maatregelen te nemen om zich te beschermen tegen datalekken, websitevernieling en, steeds vaker, ransomware-aanvallen .
