Die Anwendungsinfrastruktur der Hamas enthüllt mögliche Überschneidungen mit TAG-63 und iranischen Bedrohungsaktivitäten

Die Forschungsgruppe von Recorded Future, Insikt Group, hat eine Anwendung identifiziert, die auf einem Telegrammkanal verbreitet wird, der von Mitgliedern/Unterstützern der Terrororganisation Hamas verwendet wird.

Die Anwendung ist so konfiguriert, dass sie mit der Website der Izz ad-Din al-Qassam Brigaden der Hamas kommuniziert. Durch eine mit der Website verbundene Infrastrukturanalyse wurde eine Gruppe von Domänen identifiziert, die die Domänenregistrierungsmethoden von TAG-63 (AridViper, APT-C-23, Desert Falcon) nachahmen, einer Cybergruppe, die unserer Ansicht nach im Auftrag der Terrororganisation Hamas operiert. Wir haben außerdem festgestellt, dass diese Domänen über einen Google Analytics-Code miteinander verbunden waren. Darüber hinaus hostete eine mit dem Cluster verbundene Domäne eine Website, die die Weltorganisation gegen Folter (OMCT) parodiert. Aufgrund der Domänenregistrierungsmuster konnten wir wiederum einen wahrscheinlichen Zusammenhang mit dem Iran bei dieser Domäne feststellen. Es ist wahrscheinlich, dass die neu identifizierten Domänen von Bedrohungsakteuren betrieben wurden, die eine organisatorische oder ideologische Verbindung zu den Kassam-Brigaden haben. Zum Zeitpunkt der Abfassung dieses Artikels ist das Korps der Islamischen Revolutionsgarde (IRGC) des Iran und insbesondere die Quds-Brigaden die einzige bekannte iranische Organisation, die der Hamas und anderen palästinensischen Bedrohungsgruppen technische Unterstützung im Bereich Cybersecurity bietet.

Die Anwendung verfügt über direkte Links zur Website der Hamas-Organisation (Quelle: Telegram)

Seit Beginn des Bodenangriffs der Hamas auf israelisches Territorium funktionierte die Website nur zeitweise. Ab dem 11. Oktober 2023 beobachteten wir, dass die Domäne auf mehrere verschiedene IP-Adressen verwies. Dies steht wahrscheinlich im Zusammenhang mit Versuchen, die Funktionsfähigkeit sicherzustellen, der Abschaltung von Websites zu entgehen oder möglicherweise Denial-of-Service-Angriffe (DoS) durchzuführen. Die identifizierten Infrastrukturüberschneidungen zwischen der Hamas-Anwendung und dem Domänencluster, von dem wir vermuten, dass er mit der TAG-63-Masche in Verbindung steht, sind bemerkenswert, weil sie nicht nur eine mögliche Lücke in der Betriebssicherheit aufzeigen, sondern auch die Eigentumsverhältnisse bei der von den Gruppen gemeinsam genutzten Infrastruktur. Eine Hypothese zur Erklärung dieser Beobachtung besteht darin, dass TAG-63 Infrastrukturressourcen mit dem Rest der Hamas-Organisation teilt.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.