Тревога на севере — техническая ошибка или хакерская атака?

Около 18:20 в среду, 11 октября, сирены «Цева адом» прозвучали по всему северу Израиля. Вначале сообщалось, что около десятка дронов пересекли северную границу. Воздушная тревога была объявлена в Тверии, Бейт-Шеане, Цфате, Нагарии, Кирьят-Шмоне, Хайфе, всей Галилее, на Голанских высотах, в окрестностях Кинерета.

Однако позже, около 19:55, пресс-служба ЦАХАЛа заявила, что тревога была ложной и ее причиной стала техническая ошибка. Все беспилотники, которые могли видеть жители севера, были израильскими.

Каким образом система оповещения решила, что имеет место атака множества дронов? Не исключено, что проблема намного глубже, чем просто техническая ошибка. Еще 10 октября группа хактивистов AnonGhost, поддерживающая палестинцев, сообщила в своем Telegram-канале, что обнаружила уязвимость в приложении Red Alert, широко используемом в Израиле для оповещения о ракетных атаках в реальном времени.

• Читайте также: 
• Продолжается сбор пожертвований: чего не хватает в первую очередь?
• Наземная операция в Газе – необходимость или ловушка?
• Ужас на фестивале в Реим: «Би-би-си» восстановила картину событий

По данным исследователей кибербезопасности из компании Group-IB, хакеры успешно эксплуатировали уязвимость в API приложения, что позволило им перехватить запросы и использовать Python-скрипты для отправки ложных сообщений о ядерной угрозе некоторым пользователям приложения. Создатели приложения Red Alert сообщили, что приложение функционирует в штатном режиме, несмотря на утверждения о его взломе.

On Sunday, #AnonGhost, a well-known #hacktivist group, exploited an API vulnerability in the #RedAlert app, that provides real-time rocket alerts for Israelis. In their exploit, they successfully intercepted requests, exposed vulnerable servers and APIs, and employed Python… pic.twitter.com/CZj2pAkS07

— Group-IB Threat Intelligence (@GroupIB_TI) October 9, 2023

По утверждениям специалистов Group-IB, действие AnonGhost было частью более широкой кампании кибератак на Израиль в поддержку атак террористов ХАМАС. Группа поделилась информацией о нападении в своем Telegram-канале.

По мнению специалистов, такая деятельность представляет собой шаг в сторону от традиционных методов хактивистских групп, таких как DDoS-атаки или дефейс сайтов, и указывает на возможное расширение технических возможностей злоумышленников.

Согласно опубликованному 9 октября отчету Digital Defense Report компании Microsoft, группа хакеров из сектора Газа, которая отслеживается под названием Storm-1133, ассоциирована с серией кибератак, нацеленных на израильские частные организации в сферах энергетики, обороны и телекоммуникаций.

Согласно отчету, данная группа продвигает интересы группы ХАМАС, поскольку большая часть активности направлена против организаций, воспринимаемых как враждебные к ХАМАС. Целью кампании стали организации в израильских секторах энергетики и обороны, а также объекты, лояльные к ФАТХ, палестинской политической партии со штаб-квартирой на Западном берегу реки Иордан.

Цепочки атак включают в себя сочетание социальной инженерии и поддельных профилей на LinkedIn, выдающих себя за израильских менеджеров по персоналу, координаторов проектов и разработчиков ПО для отправки фишинговых сообщений, проведения разведки, доставки вредоносного ПО сотрудникам израильских организаций.

В конце июля иранская хакерская группа «Cyber Avengers», также известная как «CyberAv3ngers», заявила в канале в Telegram о проникновении в сеть BAZAN Group — крупнейшей нефтеперерабатывающей и нефтехимической группы Израиля. В октябре та же группировка заявила о взломе электростанции Дорад в Ашкелоне, которая является одной из крупнейших частных электростанций в стране.

«Детали», Ю.Л. Фото: экран приложения red alert