متهم شدن گروه هکری حماس به حمله علیه سازمان‌های دولتی خاورمیانه

به گزارش کارگروه حملات سایبری سایبربان؛ یک گروه هکری ظاهراً وابسته به حماس، متهم به استفاده از اسناد حاوی بدافزار برای نفوذ به نهادهای دولتی و دیپلماتیک مرتبط با عمان، مراکش و تشکیلات خودگردان فلسطین شده است.

واحد ۴۲ شرکت پالو آلتو نتورکز (Palo Alto Networks) گزارشی در مورد گروهی موسوم به «Ashen Lepus»، منتشر کرد. سخنگوی این شرکت مدعی شد که گروه هکری مذکور را براساس سال‌ها بررسی فعالیت آنها به حماس نسبت می‌دهد که به گفته آنها نشان دهنده همسویی مداوم با منافع استراتژیک حماس است.

شرکت ادعا کرد که فعالیت اخیر شامل گونه جدیدی از بدافزار است که آنها «AshTag» می‌نامند و به آنها اجازه داده تا اطلاعات را از نهادهای کلیدی در سراسر خاورمیانه سرقت کنند. در این گزارش آمده است که Ashen Lepus از سال ۲۰۲۰ پیچیدگی فزاینده‌ای را نشان داده و تاکتیک‌های هک پیشرفته‌تری را توسعه داده که شامل مبهم‌سازی زیرساخت‌ها و سایر ابزارهای جدید است.

این بدافزار معمولاً به اسناد قانونی در مورد دخالت ترکیه با نهادهای فلسطینی مرتبط است. در حالی که کارشناسان معتقدند که سایر فعالیت‌های تهدیدآمیز وابسته به حماس در طول درگیری رژیم صهیونیستی و حماس کاهش یافته، Ashen Lepus حتی پس از آتش‌بس اکتبر ۲۰۲۵ همچنان به طور مداوم فعال است.

بدافزار AshTag چندین سال است که مورد استفاده قرار می‌گیرد و پس از اعلام آتش‌بس غزه در ماه اکتبر امسال، همچنان در حملات مورد استفاده قرار می‌گرفت. واحد ۴۲ پس از آتش‌بس، ادعا کرد که فعالیت‌های عملی در محیط‌های خاص قربانی مشاهده شده است؛ این بدافزار به هکرها اجازه می‌دهد تا فایل‌ها را استخراج و محتوا را روی دستگاه‌های قربانی دانلود کنند و اقدامات بیشتری انجام دهند.

آخرین کمپین از اسنادی استفاده کرده که بر رابطه ترکیه با نهادهای سیاسی فلسطینی متمرکز است که بنابر ادعای محققان، تغییری است که نشان می‌دهد نهادهای ترکیه احتمالاً حوزه جدیدی از منافع عملیاتی باشند.

این فریب‌ها شامل اسنادی با عناوین مربوط به مشارکت بین مراکش و ترکیه، ابتکارات دفاعی ترکیه، فعالیت‌های حماس در سوریه و تلاش‌های دولت فلسطین بود؛ حملات با یک فایل پی‌دی‌اف آلوده آغاز می‌شود که اهداف را به دانلود یک آرشیو «RAR» حاوی یک بار مخرب هدایت می‌کند.

کارشناسان مدعی هستند که گروه هکری چندین تغییر برای اتخاذ امنیت عملیاتی بهتر ایجاد کرده و از تاکتیک‌های مختلفی برای ترکیب بهتر فعالیت خود با فعالیت شبکه بی‌خطر استفاده می‌کند؛ در چندین مورد، این گروه پس از استفاده از بدافزار برای دسترسی به سیستم‌های قربانی، سرقت داده‌های دستی را انجام داده است. واحد ۴۲ اعتقاد دارد که عوامل تهدید در یک مورد اسناد را مستقیماً از حساب ایمیل قربانی، با تمرکز بر به دست آوردن اسناد خاص و مرتبط با دیپلماسی، دانلود می‌کردند.

محققان شرکت ادعا کردند:

«Ashen Lepus همچنان یک عامل جاسوسی مداوم است و قصد آشکاری برای ادامه عملیات خود در طول درگیری منطقه‌ای اخیر نشان می‌دهد، برخلاف سایر گروه‌های تهدید وابسته که فعالیت آنها به طور قابل توجهی کاهش یافته است. فعالیت‌های عوامل تهدید در طول 2 سال گذشته به ویژه تعهد آنها به جمع‌آوری مداوم اطلاعات را برجسته می‌کند.»

سایر شرکت‌های امنیت سایبری فعالیت این گروه را تحت نام «WIRTE» ردیابی کرده‌اند و آن را به گروه‌های بزرگ‌تری مانند «Gaza Cybergang» و «Molerats» مرتبط دانسته‌اند. محققان پیش از این هکرهای وابسته به حماس را به گونه‌ای از بدافزار به نام «SysJoker» مرتبط می‌دانستند که مؤسسات آموزشی رژیم صهیونیستی را هدف قرار می‌داد.