حمله گروه هکری وابسته به حماس علیه نهادهای رژیم صهیونیستی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یک گروه هکری وابسته به حماس، عملیات‌های سایبری خود را فراتر از منحصراً نهادهای اسرائیلی گسترش داده است.

شرکت فناوری‌های نرم‌افزاری چک پوینت (Check Point) در تحلیلی مدعی شد که این فعالیت که به گروهی به نام «WIRTE» مرتبط است، اردن، عراق، عربستان سعودی و مصر را نیز هدف قرار داده است.

این شرکت عنوان کرد :

«درگیری [اسرائیل و حماس] فعالیت WIRTE را مختل نکرده و آنها همچنان از رویدادهای اخیر در منطقه در عملیات‌های خود استفاده می‌کنند. این گروه هکری همچنین اخیراً دست کم در 2 موج حملات مخرب علیه اسرائیل دست داشته است.»

به گفته کارشناسان، WIRTE نامی است که به یک عامل تهدید پایدار پیشرفته (APT) در خاورمیانه اختصاص داده شده که حداقل از ماه اوت سال 2018 فعال بوده و طیف وسیعی از نهادها را در سراسر منطقه هدف قرار می‌دهد. فعالیت این گروه اولین بار توسط شرکت امنیت سایبری اسپانیایی «S2 Grupo» ثبت شد.

هکرها بخشی از یک گروه با انگیزه سیاسی به نام باند سایبری غزه (معروف به Molerats و TA402) هستند که گروه دوم به دلیل استفاده از ابزارهایی مانند «BarbWire»، «IronWind» و «Pierogi» در کمپین‌های حمله خود شناخته شده است.

این شرکت اسرائیلی توضیح داد :

«فعالیت این خوشه در طول جنگ غزه ادامه داشته است. فعالیت مستمر این گروه از یک سو وابستگی آن به حماس را تقویت و از سوی دیگر انتساب جغرافیایی این فعالیت را به طور خاص به غزه پیچیده می‌کند.»

محققان معتقدند که فعالیت‌های WIRTE در سال 2024 از تنش‌های ژئوپلیتیکی در خاورمیانه و جنگ برای ساخت آرشیوهای «RAR» و درنتیجه استقرار چارچوب پس از بهره‌برداری «Havoc» سرمایه‌گذاری می‌کند. زنجیره‌های جایگزین مشاهده شده قبل از سپتامبر 2024 از آرشیوهای RAR مشابه برای ارائه دانلودر IronWind استفاده کرده‌اند.

هر دوی این توالی‌ها از یک فایل اجرایی قانونی برای بارگذاری DLL حاوی بدافزار استفاده می‌کنند و سند پی‌دی‌اف فریبنده را برای قربانی نمایش می‌دهند.

چک پوینت ادعا کرد که همچنین در اکتبر 2024 یک کمپین فیشینگ را مشاهده کرده که چندین سازمان اسرائیلی مانند بیمارستان‌ها و شهرداری‌ها را هدف قرار داده که در آن ایمیل‌هایی از یک آدرس قانونی متعلق به شریک شرکت امنیت سایبری «ESET» در اراضی اشغالی ارسال می‌شدند.

این ایمیل حاوی نسخه جدیدی از پاک‌کن «SameCoin» بود که اوایل سال جاری در حملات علیه رژیم صهیونیستی به کار گرفته شد. علاوه بر تغییرات جزئی در بدافزار، نسخه جدیدتر یک تابع رمزگذاری منحصربه‌فرد را معرفی می‌کند که تنها در یک نوع لودر جدیدتر IronWind یافت شده است.

علاوه بر بازنویسی فایل‌ها با بایت‌های تصادفی، جدیدترین نسخه پاک‌کن SameCoin پس‌زمینه سیستم را برای نمایش تصویری با نام گردان‌های القسام، شاخه نظامی حماس، تغییر می‌دهد.

کارشناسان مدعی شدند که SameCoin یک پاک‌کن سفارشی است که در فوریه 2024 توسط یک گروه هکری وابسته به حماس برای خرابکاری دستگاه‌های ویندوز و اندروید کشف شد؛ و این بدافزار تحت پوشش یک به‌روزرسانی امنیتی توزیع شده است.

به گفته «HarfangLab»، نمونه‌های لودر ویندوز («INCD-SecurityUpdate-FEB24.exe»)، مهر زمانی آن‌ها برای مطابقت با 7 اکتبر 2023، مصادف با حمله طوفان‌الاقصی، تغییر یافت. اعتقاد بر این است که بردار دسترسی اولیه ایمیلی است که جعل هویت اداره ملی سایبری رژیم صهیونیستی (INCD) است.

چک پوینت در پایان اظهار داشت :

«علی‌رغم درگیری‌های مداوم در خاورمیانه، این گروه همچنان به کمپین‌های متعددی ادامه می‌دهد و ابزار همه‌کاره‌ای را به نمایش می‌گذارد که شامل پاک‌کن‌ها، درهای پشتی و صفحات فیشینگ است.»