Сайт ХАМАС переехал на российский хостинг после начала вторжения в Израиль

Сайт ХАМАС «переехал» на хостинг в России после нападения на Израиль. Вероятно, это свидетельствует о связи террористической организации с хакерами, а также с Ираном. Об этом в своём отчёте заявила компания в области кибербезопасности Recorded Future. На публикацию обратили внимание в «Медузе».

Речь идёт о портале «Бригад аль-Кассама», боевого крыла ХАМАС. Ранее группировка пользовалась украинским IP-адресом. Сообщается, что 11 октября его перенесли на российский хостинг VDSina от фирмы «Хостинг-технологии». С 15 октября сайт одновременно использует IP-адреса компаний из Ливана и Панамы. 

Как отмечают в «Мезузе», основной сайт ХАМАС также использует российский хостинг. По данным «Медузы», речь снова идёт о VDSina.

Сообщается, что ещё примерно 90 сайтов использовали идентичный сайту ХАМАСА код Google Analytics. Эти веб-страницы разделили на две группы. Первая из них связана с Ираном. В Recorded Future предполагают, что разработчики сайта связаны с Тегераном, в том числе потому, что используют специфичные слова на фарси. Один из сайтов с таким же кодом Google Analytics оказался фейковым сайтом Всемирной организации против пыток, хотя неизвестно, успели ли злоумышленники им воспользоваться.

Вторую группу сайтов, как предполагается, использовали хакеры из группы TAG-63 (она же — AridViper или APT-C-23). В апреле 2021 года Meta (тогда ещё Facebook) выпустила отчёт о деятельности группировки, в котором, помимо прочего, сообщила, что хакерам из неё удалось разработать шпионскую программу для iOS, которая маскировалась под обычный мессенджер и не требовала проводить Jailbreak устройства (получать больше полномочий), чтобы начать его взлом. Внутри приложения содержался «троян», который сам получал дополнительные полномочия на устройстве и мог не только шпионить за деятельностью пользователя, но и влиять на неё: например, программа использовалась для перенаправления жертв на фишинговые страницы соцсетей и iCloud.

«Во всех случаях успешная установка этих инструментов не требовала каких-либо эксплойтов. Это говорит о том, что операторы Arid Viper продолжают в значительной степени полагаться на социальную инженерию для распространения своих вредоносных программ <..> Кампании, приписываемые этой группе, показывают, как относительно простой злоумышленник использовал комбинацию социальной инженерии, фишинговых сайтов и постоянно развивающегося набора инструментов вирусов для Windows и Android для успешного проведения наступательных киберопераций», — сообщали в компании.

Ранее аналитики Bloomberg обвинили Кремль в создании фейковых суданских хакерских группировок для атак по Швеции. Сеть из нескольких взломщиков также атаковала объекты во Франции, Германии, Индии и Израиле. 

Вторжение ХАМАС на территорию Израиля началось 7 октября. Атака унесла жизни как минимум 1 400 человек. Ожидается, что скоро ЦАХАЛ начнёт наземную операцию в секторе Газа, чтобы ликвидировать противника.