Tool of first Resort-Report: Der Israel-Hamas-Krieg im Netz

Cybersicherheit spielt in der Geopolitik eine entscheidende Rolle – insbesondere in Konfliktzeiten. Offensive Cyber-Operationen sind zwar nahezu allgegenwärtig, doch die Taktiken, der Zeitpunkt und die Ziele der jeweiligen Akteure, von denen die Bedrohung ausgeht, können sich stark unterscheiden. So hatten wir vergangenes Jahr bereits in einem Report aufgezeigt, wie Cyber-Taktiken zur Unterstützung militärischer Aktionen im Krieg zwischen Russland und der Ukraine eingesetzt wurden.

In unserem neuesten Bericht „Tool of First Resort: Israel-Hamas War in Cyber“ teilen wir jetzt Insights zu einem anderen taktischen Ansatz – und der Eskalation offensiver Cyber-Operationen nach den Terroranschlägen vom 7. Oktober. Insbesondere nach den Anschlägen der Hamas haben wir beobachtet, dass die anhaltenden Cyber-Operationen von iranischen und mit der Hisbollah verbundenen Gruppen immer fokussierter und konzentrierter wurden und – neben anderen Zielen – darauf abzielte, die öffentliche Unterstützung für den Krieg zu untergraben.

Der heutige Bericht zeigt anhand eines aktuellen Beispiels, dass Cyber-Operationen das Mittel erster Wahl sind und Gegnern eine kostengünstigere und risikoärmere Möglichkeit bieten, sich an Konflikten zu beteiligen, Informationen zu sammeln, das tägliche Leben zu stören und die öffentliche Wahrnehmung zu beeinflussen – und das alles, während sie dennoch im Hintergrund bleiben.

Google hat seinen Nutzerinnen und Nutzer vor, während und nach den Hamas-Terroranschlägen vom 7. Oktober vor Cyber-Bedrohungsaktivitäten geschützt. Der heutige Bericht, der auf Analysen der Google Threat Analysis Group (TAG), Mandiant und Trust & Safety-Teams basiert, enthält neue Informationen zu Phishing-Kampagnen, die von der iranischen Regierung unterstützt wurden, zu Hack-and-Leak- und Informationsoperationen sowie zu verheerenden Angriffen auf Cyber-Operationen des Iran und der Hamas.

Wichtige Erkenntnisse zu Cyber-Operationen im Zusammenhang mit dem Israel-Hamas-Krieg

1.Der Iran greift weiterhin aggressiv israelische und US-amerikanische Entitäten an – oft mit gemischten Ergebnissen. Dieser anhaltende Fokus deutet darauf hin, dass der Anschlag der Hamas die Strategie Teherans nicht grundlegend verändert hat. Allerdings haben wir nach dem Anschlag fokussierte Aktivitäten gesehen, die darauf abgezielt haben, die öffentliche Unterstützung für den Krieg zu untergraben. Unter anderem durch:

• Zerstörerische Angriffe gegen wichtige israelische Organisationen;
• Hack-and-Leak-Operationen, einschließlich überspitzter Behauptungen über Angriffe auf kritische Infrastrukturen in Israel und den USA;
• Informationsoperationen (IO), um israelische Bürgerinnen und Bürger zu demoralisieren, das Vertrauen in kritische Organisationen zu untergraben und die weltweite öffentliche Meinung gegen Israel zu wenden;
• Phishing-Kampagnen, die auf Nutzerinnen und Nutzer mit Sitz in Israel und den USA abzielen, um Informationen über wichtige Entscheidungsträger zu sammeln.

1. Die kritische Infrastruktur des Iran wurde durch einen Akteur gestört, der behauptete, auf den Konflikt zu reagieren. „Gonjeshke Darande“ (auf Deutsch: „Räuberischer Sperling“) behauptete, er habe die meisten Tankstellen im Iran vom Netz genommen und deren Infrastruktur und Zahlungssysteme angegriffen. Der Iran hat die Aktivitäten von Gonjeshke Darande Israel zugeschrieben. Wir konnten nicht ausreichende Beweise dazu finden, die diese Behauptungen stützen.
2. Die Cyberspionage der Hamas verlief im Vorfeld des 7. Oktober nach ihrem typischen Muster, und wir haben seitdem keine nennenswerten Aktivitäten beobachtet. Unsere Beobachtungen deuten darauf hin, dass die Hamas Cyber-Operationen nicht zur taktischen Unterstützung des Terroranschlags vom 7. Oktober eingesetzt hat. Bis September 2023 beteiligten sich mit der Hamas verbundene Gruppen im Rahmen ihrer normalen Geschäftstätigkeit an Cyberspionage, darunter:

• Massenhafte Phishing-Kampagnen zur Verbreitung von Malware und zum Diebstahl von Daten;
• Mobile Spyware, einschließlich Android-Hintertüren, die über Phishing verbreitet wird;
• Anhaltende Angriffe auf Israel, Palästina und ihre demographischen Nachbarn im Nahen Osten sowie regelmäßige Angriffe auf die USA und Europa.

Was ist der Unterschied zum Krieg Russlands gegen die Ukraine?

Seit unserem Bericht letztes Jahr haben wir gesehen, wie sich mehrere unserer Einschätzungen bestätigt haben. Dazu gehört, dass von der russischen Regierung unterstützte Angreifer ihre Cyberangriffe gegen die Ukraine und NATO-Partner fortgesetzt und weiterhin mehrere Sektoren in der Ukraine und in der Region ins Visier genommen haben – darunter hochrangige Personen in NGOs, ehemalige Geheimdienst- und Militärbeamte sowie NATO-Regierungen. Im Vorfeld der Gegenoffensive der Ukraine im Juni 2023 konnten wir auch eine Zunahme der Häufigkeit und des Umfangs von APT29-Phishing-Operationen beobachten, darunter eine Intensivierung der Operationen, die sich auf ausländische Botschaften in der Ukraine konzentrierten. Außerdem gab es später einen Anstieg von Angriffen gegen Kyivstar und Parkovy. Auch Moskau verbindet Cyberangriffe weiterhin mit Militäroperationen.

Die Cyberaktivitäten im Zusammenhang mit dem Krieg zwischen Israel und der Hamas unterscheiden sich jedoch stark vom Krieg in der Ukraine. Anders als beim Angriff auf die Ukraine konnten wir vor dem Angriff keinen Anstieg der Cyber-Operationen gegen israelische Ziele beobachten und haben keine Hinweise darauf, dass Cyberaktivitäten in die Schlachtfeld-Operationen der Hamas integriert oder zur Ermöglichung physischer Militäraktionen genutzt wurden.

Was wir im Jahr 2024 erwarten können

Unsere Beobachtungen im Bericht deuten auf mehrere umfassendere zukunftsgerichtete Einschätzungen für 2024 hin:

• Mit dem Iran verbundene Gruppen werden wahrscheinlich weiterhin destruktive Cyberangriffe durchführen, insbesondere im Falle einer Eskalation des Konflikts, beispielsweise durch Militäroperationen gegen iranische Stellvertretergruppen in verschiedenen Ländern wie dem Libanon und dem Jemen..
• Hack-and-Leak-Operationen und Informationsoperationen werden eine Schlüsselkomponente bleiben, um während des gesamten Krieges Absichten deutlich zu machen und Fähigkeiten zu unterstreichen – sowohl den Gegnern Irans als auch anderen Gruppen gegenüber, die sie beeinflussen wollen.
• Für die nahe Zukunft können Cyber-Operationen von Hamas-nahen Akteuren nicht vorhergesehen werden. Aber wir gehen davon aus, dass die Hamas ihre Cyber-Aktivitäten irgendwann wieder aufnehmen werden und dann mit Fokus auf der Spionage zur Informationsbeschaffung liegen mit Fokus auf innerpalästinensischen Angelegenheiten, Israel, den USA, Europa und andere regionale Akteure im Nahen Osten.

Es ist klar, dass Cyberangriffe künftig eine prominente Rolle in großen bewaffneten Konflikten spielen werden. Wir hoffen, dass die in diesem Bericht enthaltenen Analysen und Forschungsergebnisse dazu beitragen, dass Verteidiger weltweit davon lernen und neue Erkenntnisse für die kollektive Verteidigung gewinnen können. Bei Google setzen wir uns für die Sicherheit von Online-Nutzerinnen und -Nutzern rund um den Globus ein und wir werden weiterhin Maßnahmen ergreifen, um böswillige Aktivitäten zu unterbinden, unsere Nutzerinnen und Nutzer zu schützen und dazu beizutragen, das Internet für alle sicherer zu machen.

Weitere Details finden Sie im vollständigen Bericht. Um Netzwerkverteidigern beim Schutz vor den im Bericht beschriebenen Aktivitäten zu helfen, haben wir auch Indicators of Compromise (IOCs) auf Github veröffentlicht.