lunes, 14 octubre, 2024
Suscríbete Gratis
Ciberseguridad

La guerra cibernética entre Israel y Hamas

Foto del avatar
Revista Ciberseguridad
17 de octubre de 2023
477 VISITAS
9 0
La guerra cibernética entre Israel y Hamas

Tras el estallido de la guerra entre Israel y Hamás el pasado 7 de octubre, una amplia variedad de actores comenzaron a reivindicar la responsabilidad de los ciberataques contra entidades vinculadas a ambos lados del conflicto.

La evidencia disponible no ofrece ninguna indicación clara de que la actividad cibernética precediera a las operaciones físicas. De manera similar, las colecciones recientemente ampliadas de SecurityScorecard de canales de mensajería afiliados a Hamás no contienen evidencia de cómo o cuándo comenzaría la operación de Hamás antes del inicio del conflicto. Esto sugiere que, a diferencia de otras guerras contemporáneas, la frecuencia o el impacto de las operaciones cibernéticas y de información no aumentaron antes de la guerra.

Los atacantes bastante aislados del conflicto físico y sin vínculos operativos u organizativos claros con él parecen ser responsables de gran parte del conflicto cibernético hasta el momento. Este aislamiento, junto con la ventaja tecnológica de Israel sobre Hamás, puede explicar por qué ninguna actividad cibernética precedió al conflicto físico. Un grupo hacktivista ruso puede, por ejemplo, oponerse a Israel y ser capaz de intentar ataques contra objetivos israelíes tras el inicio de la guerra, pero sería poco probable que dicho grupo tuviera una relación con Hamás que le hubiera ofrecido las primeras indicaciones necesarias para Realizar operaciones cibernéticas como preludio de ataques físicos.

Hasta ahora, los ataques han involucrado principalmente ataques distribuidos de denegación de servicio (DDoS) y desfiguraciones de sitios web, actividad relativamente poco sofisticada típica de los grupos hacktivistas que los reivindican. Sin embargo, el alcance internacional de esta actividad es digno de mención, ya que supuestamente presenta a grupos hacktivistas indios y ucranianos que simpatizan con Israel y reivindican ataques contra organizaciones palestinas. Pero grupos vinculados a Rusia e Irán han organizado ataques contra organizaciones públicas y privadas en Israel. Si bien algunos de estos ataques han tenido como objetivo organizaciones de bastante alto perfil, su impacto disruptivo ha sido relativamente mínimo, especialmente si se compara con la actividad cinética relacionada con el conflicto.

KillNet y Anonymous Sudan, grupos hacktivistas que se cree actúan en apoyo de los intereses geopolíticos rusos, han lanzado algunos de los ataques de más alto perfil contra objetivos israelíes, entre ellos: el sitio web del gobierno israelí ; la Agencia de Seguridad de Israel, más conocida como Shin Bet o Shabak ; y el periódico en inglés Jerusalem Post .

Si bien estos ataques han atraído considerable atención, parecen haber causado poco daño más allá de dejar temporalmente inaccesibles los sitios web públicos de las organizaciones objetivo. Sin embargo, los intentos posteriores de atacar los sistemas de control industrial (ICS) en Israel pueden ofrecer un mayor motivo de preocupación, dado que es más probable que las interrupciones en los dispositivos ICS tengan consecuencias físicas.

El 10 de octubre, el grupo hacktivista SiegedSec afirmó que, en colaboración con Anonymous Sudan, había llevado a cabo una serie de ataques DDoS contra dispositivos ICS y otra infraestructura israelí.

Los ataques contra dispositivos ICS no solo podrían comprometer a las organizaciones, sino que también podrían poner en peligro vidas humanas, ya que los dispositivos ICS controlan infraestructura crítica, como subestaciones de redes eléctricas, líneas de fabricación, sensores y controladores lógicos programables (PLC), incluidos relés y reconectadores. Debido a que tales ataques podrían tener resultados más graves que las interrupciones en el servicio de los sitios web, el equipo STRIKE se centró en los supuestos objetivos de SiegedSec y expuso los dispositivos ICS israelíes de manera más general al realizar más investigaciones y análisis sobre los ataques recientemente reclamados contra Israel.

Recomendaciones

En términos generales, SecurityScorecard recomienda que las organizaciones revisen la necesidad comercial de exponer los dispositivos ICS a Internet en general y, cuando sea posible, colocarlos detrás de una VPN o un firewall. Si eso no es posible, SecurityScorecard recomienda que las organizaciones consideren restringir el acceso a ellas agregando IP dependientes a una lista de permitidos.

Para abordar la amenaza de ataques DDoS en particular, SecurityScorecard recomienda lo siguiente:

  • Bloquee las IP en la lista de bloqueo de KillNet Bot de SecurityScorecard .
    • KillNet es solo uno de los muchos grupos de actores de amenazas involucrados en el conflicto, pero esta lista de bloqueo probablemente pueda ayudar a defenderse contra más atacantes que KillNet por sí solo.
    • Aunque muchos de los grupos de más alto perfil involucrados en estos ataques, incluidos KillNet y Anonymous Sudan, probablemente tengan vínculos con Rusia, bloquear las IP rusas no detendrá los ataques DDoS. Como se refleja en la lista de bloqueo de SecurityScorecard, los ataques provienen de servidores proxy abiertos y solucionadores de DNS ubicados en todo el mundo.
  • Tener sólo un firewall no detendrá el volumen de tráfico que hemos observado en recientes ataques DDoS de alto perfil. Como resultado, es fundamental implementar mitigaciones de DDoS a través de un servicio como Cloudflare, Akamai o AWS Cloudfront.
  • Configure los solucionadores de DNS y los servidores proxy para que solo acepten solicitudes de direcciones IP internas y usuarios autorizados, a menos que exista una razón práctica para no hacerlo. Gran parte de la infraestructura de bots maliciosos se basa en servidores proxy abiertos. Si todos estos servicios estuvieran configurados correctamente, sería un golpe devastador para los operadores de botnets que apoyan a los actores de amenazas involucrados en el conflicto.

Conclusión

El 9 de octubre, el director de ciberseguridad de la Agencia de Seguridad Nacional, Rob Joyce, señaló que la inteligencia estadounidense aún no ha observado pruebas que indiquen que el conflicto haya dado lugar a ciberataques particularmente importantes. Los datos que SecurityScorecard recopiló en los días posteriores parecen respaldar esta evaluación. Si bien, hipotéticamente, los ataques contra dispositivos ICS podrían resultar más significativos que muchos de los ataques más visibles que han ocurrido hasta ahora, los datos de NetFlow recopilados por el equipo STRIKE aún no apuntan a ataques exitosos contra los objetivos de ICS reclamados por SiegedSec. Sin embargo, dado el enorme impacto que tales ataques podrían tener en la infraestructura crítica, los hallazgos de Attack Surface Intelligence pueden merecer una mayor atención a medida que el conflicto continúa.

Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Revista Ciberseguridad

Revista Ciberseguridad

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

¿Cuál es tu reacción?

Noticias Relacionadas

Redes Sociales

RSS
Facebook
X (Twitter)
LinkedIn
Hosted by CDMON

Agenda

RSS Podcasts

RSS The Hacker News

RSS KitPloit – PenTest & Hacking Tools

RSS Graham Cluley

Suscríbete Gratis

Introduce tu correo electrónico para suscribirte a este blog y recibir avisos de nuevas entradas.

© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad
Diseño Web: ProsiNet
Suscríbete Gratis
© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad