Моссад почти не виден. Победы и поражения израильских спецслужб - Сергей Вадимович Чертопруд

течение десяти лет ХАМАС проводил кибероперации против израильских и палестинских объектов. Эти операции можно разделить на две категории, которые соответствуют общей стратегии ХАМАСА: шпионаж и пропаганда…

Как любой государственной или частной организации ХАМАС требуются качественные разведданную, чтобы обеспечить своему руководству и командирам преимущества в принятии решений на политической и военной аренах. Кража ценных секретов у Израиля, конкурирующих палестинских группировок и отдельных лиц в его собственных рядах предоставляет ХАМАСУ стратегические и оперативные рычаги воздействия и, таким образом, является приоритетной задачей в его кибероперациях.

Силы внутренней безопасности (ISF) — основная разведывательная организация ХАМАСа, состоящая из членов сил безопасности «Аль-Маджд» из более крупных бригад «Изз ад-Дин аль-Кассам», военного крыла ХАМАС. Обязанности ISF варьируются от шпионажа до подавления политической оппозиции и инакомыслия внутри партии и ее аппарата безопасности. Спектр задач ISF проявляется в кибероперациях ХАМАС.

Понятно, что Израиль — главная целью кибершпионажа ХАМАС. За последние несколько лет эти операции стали обычным делом, постепенно переходя от широкой, прямолинейной тактики к более индивидуальным, изощренным подходам. Первоначальная тактика группы была сосредоточена на подходе “распыляй и молись”, рассылая обезличенные электронные письма с вредоносными вложениями большому числу адресатов в надежде, что часть из них клюнет. Например, операция, начавшаяся в середине 2013 года и обнаруженная в феврале 2015 года, привела к тому, что операторы ХАМАС заманивали цели обещанием порнографических видеороликов, которые на самом деле были вредоносными приложениями. Операторы полагались на то, что их жертвы — в число которых входили объекты в правительственном, военном, академическом, транспортном и инфраструктурном секторах — скрывали информацию об инцидентах от своих отделов информационных технологий на рабочих местах из-за стыда за то, что они нажимали на порнографию на работе, тем самым максимально увеличивая доступ и время работы с объектом.

Позже в ходе операций ХАМАС были внедрены различные тактические новшества, чтобы увеличить свои шансы на успех. В сентябре 2015 года группа начала размещать ссылки вместо вложений, непорнографические приманки, такие как видео автомобильных аварий, и дополнительное шифрование отфильтрованных данных. Другая кампания, опубликованная в феврале 2017 года, включала более персонализированный подход с использованием методов социальной инженерии для нацеливания на персонал ЦАХАЛа вредоносных программ с поддельных аккаунтов Facebook (Соцсети Instagram и Facebook запрещены в РФ; они принадлежат корпорации Meta, которая признана в РФ экстремистской).

В последующие годы группа начала внедрять различные приложения для смартфонов и маркетинговые веб-сайты для скрытой установки троянов мобильного удаленного доступа на целевые устройства. В 2018 году группировка установила шпионское ПО на смартфоны, маскируясь под Red Alert, приложение для запуска ракетных сирен для израильтян. Аналогичным образом в 2020 году ХАМАС нацелился на израильтян через приложения для знакомств с такими названиями, как Catch & See и GrixyApp. ХАМАС также замаскировал свое шпионское по под, казалось бы, безобидное приложение для проведения Чемпионата мира по футболу, которое позволило группе собрать информацию о различных военных объектах и оборудовании ЦАХАЛа, включая бронетехнику. Это все области, о которых командиры ХАМАС проявили интерес к получению дополнительной информации, чтобы получить потенциальное преимущество в будущем военном конфликте».

И это было написано примерно за год до 7 октября 2023 года! Еще один тревожный сигнал — сбор информации о военной инфраструктуре, который не заметили и (или) проигнорировали спецслужбы Израиля. Продолжим цитирование доклада:

«По данным израильской фирмы по разведке угроз Cybereason, более поздние открытия указывают на “новый уровень изощренности” операций ХАМАС. В апреле 2022 года в кампании кибершпионажа, нацеленной на отдельных сотрудников израильских вооруженных сил, правоохранительных органов и служб экстренной помощи, использовалось ранее недокументированное вредоносное ПО с улучшенными механизмами скрытности. Это указывает на то, что ХАМАС предпринимает больше шагов для защиты оперативной безопасности, чем когда-либо. Источником заражения для этой конкретной кампании была социальная инженерия на таких платформах, как Facebook (Соцсети Instagram и Facebook запрещены в РФ; они принадлежат корпорации Meta, которая признана в РФ экстремистской), отличительная черта многих шпионских операций ХАМАСА, чтобы обманом заставить цели загружать троянские приложения. Как только вредоносная программа загружена, операторы ХАМАС могут получить доступ к широкому спектру информации из документов устройства, камеры и микрофона, получая огромные данные о местонахождении цели, взаимодействиях и многом другом. Информация, собранная у военнослужащих, сотрудников правоохранительных органов и служб экстренной помощи, может быть полезна сама по себе или из-за ее потенциальной ценности для вымогательства.

В то время как основная часть киберопераций ХАМАС направлена на сбор информации, часть из них предполагает использование этой информации для дальнейшего воздействия на общественность. Эта широко определенная категория информационных операций включает в себя все — от взломов и утечек информации до фальсификаций и кампаний в социальных сетях, которые продвигают полезные рассказы.

Операции по взлому и утечке информации, когда хакеры получают секретную или иным образом чувствительную информацию и впоследствии предают ее гласности, являются явными попытками изменить общественное мнение и “смоделировать скандал”. Стратегическое распространение украденных документов, изображений и видеозаписей — потенциально поддающихся манипулированию — в критические моменты может стать неожиданной выгодой для группы как ХАМАС. В декабре 2014 года ХАМАС взял на себя ответственность за взлом секретной сети ЦАХАЛ и публикацию нескольких видеороликов, снятых ранее в этом году во время израильской операции «Нерушимая скала» в секторе Газа. В клипах, на которые ХАМАС наложил арабские подписи, были изображены важные детали операции ЦАХАЛ, включая два отдельных видеоролика. случаи, когда израильские силы привлекали террористов, проникающих в Израиль — одна группа проникла морем по пути в кибуц Зиким и одна группа через туннель под границей в кибуц Эйн-Хашлоша — для участия в похищениях людей. Один из рейдов привел к бою, длившейся примерно шесть часов, и гибели двух израильтян. Путем утечки видеозаписи, включая изображения мертвых израильтян, ХАМАС стремился представить себя палестинцам в качестве сильного лидера и посеять страх среди израильтян, хвастаясь своей способностью проникать в Израиль, убивать израильтян и возвращаться в Газу. Эти операции призваны продемонстрировать силу ХАМАСА на двух уровнях: во-первых, их способность взламывать и красть ценные материалы из Израиля и, во-вторых, их смелость в проведении атак для продвижения палестинского национального дела.

Взлом сайтов — еще один инструмент в кибер-арсенале ХАМАСа. Такого рода операции, форма онлайн-вандализма, которая обычно включает в себя взлом веб-сайта для размещения пропаганды, являются не столько разрушительными, сколько неприятными. Операции направлены на то, чтобы поставить цели в неловкое положение, хотя и временно, и произвести психологический эффект на аудиторию. В 2012 году, во время израильской операции “Литой свинец” в секторе Газа, ХАМАС взял на себя ответственность за атаки на израильские веб-сайты, включая командование