همپوشانی زیرساخت های کاربردی حماس با گروه تگ-63

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این برنامه برای ارتباط با وب سایت گردان های عز الدین القسام حماس پیکربندی شده است.

تجزیه و تحلیل زیرساخت مرتبط با وب‌سایت منجر به شناسایی دسته‌ای از دامنه‌ها شد که از تجارت ثبت دامنه تگ-63 (TAG-63) که با نام های آرید وایپر (AridViper)، ای پی تی-سی-23 (APT-C-23) و دیزرت فالکون (Desert Falcon) نیز شناخته می شود، تقلید می کند.

تگ-63 یک گروه سایبری است که به اعتقاد این گروه تحقیقاتی به دستور حماس کار می کند.

گروه تحقیقاتی اینسیکت (Insikt Group) گفت:

ما همچنین مشاهده کردیم که این دامنه ها از طریق یک کد گوگل آنالیتیکس (Google Analytics) به هم متصل شده اند. علاوه بر این، یک دامنه مرتبط با کلاستر میزبان وب سایتی بود که سازمان جهانی علیه شکنجه (OMCT) را جعل می کرد. مجدداً، بر اساس الگوهای ثبت دامنه، ما یک رابطه احتمالی با ایران را مشاهده کردیم که به آن دامنه گره خورده است. این احتمال وجود دارد که حوزه‌های تازه شناسایی‌شده توسط عواملی اداره می‌شوند که وابستگی سازمانی یا ایدئولوژیکی با گردان‌های قسام دارند.

در زمان نگارش این مقاله، سپاه پاسداران انقلاب اسلامی ایران و به طور خاص نیروی قدس، تنها نهاد شناخته شده ای از ایران است که به حماس و دیگر گروه های فلسطینی کمک های فنی سایبری ارائه می کند.

این وب سایت از زمان آغاز جنگ میان حماس و رژیم صهیونیستی به طور متناوب کار کرده است.

از 11 اکتبر 2023 به بعد، گروه اینسیکت نقطه دامنه را به چندین آدرس آی پی (IP) مختلف مشاهده کرده است که احتمالاً مربوط به تلاش برای اطمینان از عملکرد، فرار از حذف وب سایت یا جلوگیری از حملات منع سرویس (DoS) است.

شناسایی همپوشانی‌های زیرساختی که بین برنامه حماس و دسته‌ای از دامنه‌هایی که این گروه گمان می‌کند به صنایع تجاری تگ-63 مرتبط هستند، قابل توجه است؛ زیرا نه تنها یک لغزش احتمالی در امنیت عملیاتی را نشان می‌دهد، بلکه مالکیت زیرساخت مشترک بین گروه‌ها را نیز به تصویر می‌کشد.

یک فرضیه برای توضیح این مشاهدات این است که تگ-63، منابع زیرساختی را با بقیه سازمان حماس نیز به اشتراک می گذارد.