Quais são os riscos cibernéticos do último conflito no Médio Oriente?

Photo of author

By Sohaib


A guerra aberta regressou ao Médio Oriente na madrugada de sábado, 7 de Outubro, quando agentes do Hamas invadiram a fronteira entre Israel e o enclave palestiniano de Gaza. Tal como outros conflitos cinéticos modernos, o conflito em desenvolvimento entre o Hamas e Israel trouxe consigo uma correspondente e crescente guerra cibernética online, aumentando a perspectiva de organizações em todo o mundo serem apanhadas em incidentes cibernéticos decorrentes do conflito.

Enquanto isso, organizações ligadas ao conflito, como organizações não governamentais, empreiteiros de defesa, órgãos governamentais e até mesmo empresas não relacionadas com filiais em Israel, correrão um risco aumentado de atividades maliciosas direcionadas de diferentes atores de ameaças, de hacktivistas a nações. grupos de ameaças persistentes avançadas (APT) apoiados pelo Estado.

Com estas ideias em mente, decidimos examinar como é esta nova guerra cibernética, examinar os padrões de atividade de ameaças que estão a ser observados e perguntar que medidas as equipas de segurança podem tomar para garantir a sua resiliência caso encontrem um alvo nas suas organizações.

Grande parte da atividade observada até o momento centrou-se em grupos hacktivistas conduzindo desfiguração de sites ou Negação de serviço distribuída (DDoS) e campanhas de desinformação e desinformação online – tais campanhas conduzidas por bots têm estado desenfreadas no X (antigo Twitter) nos últimos meses.

De acordo com Cartão de pontuação de segurançaPara a equipe do Strike Threat Intelligence, a maioria das atividades cibernéticas maliciosas até o momento envolveu atores fisicamente distantes do conflito e sem ligações conhecidas com o Hamas.

O âmbito internacional desta actividade tem sido particularmente digno de nota, incluindo grupos hacktivistas que apoiam ambos os lados – o SecurityScorecard encontrou provas de hacktivistas em países como a Índia e a Ucrânia que tomaram o lado de Israel e atacaram alvos palestinianos, enquanto grupos russos e ligados ao Irão tendiam a optar por Alvos israelitas, juntamente com outros países, incluindo Bangladesh, Indonésia e Marrocos.

Entre os grupos conhecidos que se envolveram do lado do Hamas estão o grupo Killnet DDoS, ligado à Rússia, e o seu colectivo afiliado Anonymous Sudan, que não está relacionado com o Anonymous, nem com os sudaneses. Entre os alvos que atingiram estão websites do governo israelita, a agência de segurança Shin Bet/Shabak e o jornal Jerusalem Post.

Independentemente do alvo, a maioria destes ataques teve pouco impacto perturbador a longo prazo – os alvos israelitas podem defender-se adequadamente e os palestinianos são menos numerosos e operam sistemas menos sofisticados.

Há também provas claras de que a direcção em que a actual guerra cibernética no Médio Oriente parece estar a evoluir segue um padrão semelhante ao modo como a guerra cibernética em curso entre actores pró-russos e pró-ucranianos começou na Primavera de 2022.

Na verdade, Jeremiah Fowler de WebsitePlanetque acompanha ambas as guerras, disse que estava vendo muitas das mesmas técnicas em uso agora que foram usadas contra a Rússia por hacktivistas pró-ucranianos, incluindo o chamado Exército de TI da Ucrânia.

“No entanto, eles parecem ser menos eficazes agora”, disse ele. “O principal fator que diferencia essas táticas de guerra cibernética é o tempo entre os conflitos.

“Nos 19 meses desde que os hacktivistas declararam guerra cibernética contra a Rússia, os especialistas em segurança cibernética e os serviços de inteligência de todo o mundo tiveram tempo para analisar, preparar-se e tentar isolar-se, aprendendo com as falhas das defesas cibernéticas da Rússia.

“Afinal, é um facto que a guerra cibernética desempenhará um papel significativo em quaisquer conflitos actuais e futuros”, disse Fowler. “O ciberespaço funciona agora como uma segunda frente sem regras de envolvimento definidas. Hacktivistas e grupos afiliados ao governo podem escolher um lado e lançar numerosos ataques com base em seus conjuntos de habilidades específicas, inclinando a balança do conflito aparentemente com apenas alguns cliques.”

Atenção do Hamas à OpSec

Uma diferença substancial observada entre os dois conflitos é a falta de actividade cibernética antes do ataque inicial do Hamas. Antes da invasão da Ucrânia pela Rússia, que tinha sido sinalizada com meses de antecedência pelo governo russo, a Ucrânia foi bombardeada com uma campanha generalizada de invasões cibernéticas destinadas a suavizar antecipadamente alvos críticos.

Este não foi o caso na guerra de Gaza, e isto não é uma grande surpresa, porque por necessidade, o Hamas passou meses – talvez anos – a planear o seu ataque inicial com uma atenção excepcional dada à segurança operacional (OpSec). Na verdade, foi sugerido que alguns membros seniores do Hamas foram mantidos totalmente no escuro, no caso de serem comprometidos pela inteligência israelita.

Portanto, para que a incursão apanhe Israel de surpresa, pode ter sido necessário que os grupos pró-Palestina e os actores afiliados ao Hamas confinassem a sua actividade a níveis normais. De acordo com a equipe de inteligência do SecurityScorecard, é quase certo que esse foi o caso.

“As coleções recentemente ampliadas do SecurityScorecard de canais de mensagens afiliados ao Hamas não contêm nenhuma evidência de como ou quando a operação do Hamas começaria antes do início do conflito”, disse a equipe do Strike Threat Intelligence.

“Isto sugere que, em contraste com outras guerras contemporâneas, a frequência ou o impacto das operações cibernéticas e de informação não aumentou antes da guerra.

“Um grupo hacktivista russo pode, por exemplo, opor-se a Israel e ser capaz de tentar ataques contra alvos israelitas após o início da guerra, mas seria improvável que tal grupo tivesse uma relação com o Hamas que lhe pudesse ter oferecido as primeiras indicações necessárias. conduzir operações cibernéticas como um prelúdio para ataques físicos”, apontou a equipe do Strike.

O isolamento do Hamas e a clara superioridade tecnológica de Israel neste caso também podem explicar por que razão nenhuma actividade cibernética precedeu o conflito físico.

Postura defensiva

Dado que a forma mais difundida de ataque cibernético impactante vista até agora tem sido os ataques DDoS, os defensores devem considerar a implementação de mitigações de DDoS como uma prioridade. Radwareum fornecedor especializado em serviços de mitigação de DDoS, sugere a seguinte lista de verificação como uma base sólida para uma estratégia defensiva:

  • Reunir informações atualizadas sobre atores de ameaças ativos que podem ser usados ​​para implementar proteção preventiva, por exemplo, adicionando intervalos de IP associados à sua atividade para listas de negação;
  • Implementar detecção baseada em comportamento para detectar e bloquear anomalias de tráfego com rapidez e precisão, permitindo a passagem de tráfego genuíno;
  • Implemente a criação de assinaturas em tempo real para se proteger rapidamente contra novas ameaças e dias zero;
  • Elaborar um plano de resposta a emergências de segurança cibernética, certificando-se de que leva em conta ataques DDoS em sistemas e dispositivos conectados, e testá-lo;
  • Adicione combinações híbridas de serviços de proteção DDoS locais e na nuvem para permitir a prevenção de ataques em tempo real que pode lidar com ataques de maior volume e proteger contra a saturação do canal.

Os operadores de infraestruturas críticas podem, adicionalmente, desejar reforçar as defesas em torno da sua tecnologia operacional (TO), como os sistemas de controlo industrial (ICS). As equipes de segurança podem querer revisar se é ou não realmente necessário expor tais dispositivos à Internet pública (spoiler, não é) e, se possível, restringir o acesso a eles adicionando IPs conhecidos ou dependentes a uma lista de permissões e colocando atrás de uma rede privada virtual (VPN) ou firewall.

Além de fortalecer as redes, os defensores podem querer considerar a possibilidade de outras formas de ataque. Chris Hauk, defensor da privacidade do consumidor na Privacidade de pixels, disse: “As organizações com conexões israelenses vão querer ficar alertas para ataques cibernéticos que podem vir tanto de fora quanto de dentro. As organizações devem educar os seus funcionários sobre os riscos dos esquemas de phishing para obter acesso aos sistemas internos. Também é possível que alguns funcionários simpatizem com o Hamas, possivelmente iniciando ataques a partir de dentro.”

Além disso, os cibercriminosos com motivação financeira também procurarão explorar a guerra para aceder a redes alvo para exfiltração de dados ou ataques de ransomware, por isso é importante que tanto as equipas de segurança como os funcionários regulares estejam atentos a atividades suspeitas, como disse Paul Bischoff, da Comparatech explicou.

“As organizações do Reino Unido deveriam estar atentas a ataques de phishing que usam o conflito Israel-Palestina como clickbait”, disse Bischoff. “E-mails, mensagens e chamadas telefônicas de phishing tentam induzir as vítimas a clicar em links maliciosos que levam a páginas de login falsas ou anexos que contêm malware.

“O conteúdo das mensagens pode estar relacionado com instituições de caridade, desinformação sobre o conflito ou mesmo recrutamento”, disse ele. “Nunca clique em links ou anexos de mensagens não solicitadas e sempre verifique a identidade do remetente antes de entregar dinheiro ou informações privadas.”

Escudos para cima

Poucos dias antes do início da guerra na Ucrânia, Jen Easterly, da Agência de Segurança Cibernética e de Infraestrutura dos EUA emitiu seu agora famoso alerta “Shields Up” para encorajar as organizações a tomar medidas para reforçar a sua resiliência face ao que estava por vir.

No caso, o impacto cibernético da guerra na Ucrânia foi bastante mais limitado do que se temia, com pouca actividade perturbadora observada fora da zona de guerra física – embora os próprios alvos ucranianos tenham enfrentado uma onda de ataques cibernéticos.

Com um grau razoável de confiança, podemos especular que o elemento cibernético da guerra Hamas-Israel seguirá uma trajetória semelhante.

Mesmo assim, como vimos, aquelas organizações que possam estar de alguma forma adjacentes aos combates, ou que tenham alguma ligação a Israel ou à Palestina, deveriam considerar tirar o pó dos seus planos de resposta a incidentes e levantar os seus escudos.

Leave a Comment