Mit der Terrorattacke der Hamas gegen Israel begannen auch die Online-Angriffe. Mit technisch einfachen DDoS-Angriffen wurden Webserver überlastet, sodass Webseiten und Mobile-Apps von Behörden und Medien temporär nicht erreichbar waren. Bestätigt sind wiederholte Überlastungsangriffe auf die Zeitung «Jerusalem Post», mehrere israelische Spitäler und Regierungsbehörden. Die Angriffe waren meist kurzlebig und wenig wirkungsvoll. Israelische Medien berichteten zudem, dass das Bildungsministerium für Videokonferenzen von Zoom auf Google umgestiegen sei, nachdem unerwünschte Personen, die sich als Hamas-Kämpfer ausgaben, in Videomeetings aufgetaucht seien.
Der pro-palästinensischen Hacker-Gruppe AnonGhost soll es zudem gelungen sein, die Smartphone-App RedAlert zu hacken. Diese warnt die israelische Bevölkerung vor Raketenangriffen oder anderen Gefahren.
Am Montag nach der Terrorattacke berichtete das IT-Sicherheitsunternehmen Group-IB, dass Hacker tags zuvor eine Sicherheitslücke ausgenutzt hätten, um Spam-Nachrichten über die Warn-App zu versenden. Screenshots legen nahe, dass die Hacktivisten an einige User Nachrichten wie «Tod den Israelis» oder «Die Atombombe kommt» senden konnten.
Ob die Warn-App wirklich gehackt oder – wie eine andere Hacker-Gruppierungen behauptete – per DDoS-Angriff temporär lahmgelegt wurde, ist unklar. Die App war zwischenzeitlich aus dem Google Play Store verschwunden, was auf Probleme hindeutet.
Einen bleibenden Schaden hinterlassen solche «Distributed Denial of Service»-Attacken nicht und es werden auch keine Daten entwendet oder verschlüsselt. Die Angreifer verfolgen andere Ziele: Die in den ersten Stunden der Terrorattacke unter Schock stehende israelische Bevölkerung sollte noch mehr eingeschüchtert werden. Die Terroristen wollen Panik schüren, Falschinformationen verbreiten, das Vertrauen in die Fähigkeit des Staates, seine Bürger zu verteidigen, untergraben und allgemein das Land destabilisieren.
Denn allein das über Social-Media verbreitete Gerücht, dass die in der aktuellen Situation wichtige Warn-App ausfallen könnte, kann Verunsicherung in der Bevölkerung auslösen. Im Grunde genügt es den Angreifern daher, Apps oder Webseiten wenige Minuten lahmzulegen oder mit Anti-Israel-Parolen zu verunstalten, um einen Screenshot davon auf ihren Social-Media-Kanälen zu teilen. So behauptete die pro-russische Hacker-Gruppierung Killnet, sie hätte die Webseiten des israelischen Inlandgeheimdienstes und des Finanzministeriums ausgeschaltet. Dafür gibt es keine unabhängige Bestätigung und selbst wenn die Webseiten kurze Zeit offline waren, inzwischen sind sie längst wieder erreichbar.
Eine andere Taktik von Hacktivisten ist, Daten aus alten Hackerangriffen zu veröffentlichen und diese als aktuelle Angriffe auszugeben, um Aufmerksamkeit zu erzeugen. Auf Telegram und in einschlägig bekannten Untergrund-Foren behaupteten Hacker-Gruppierungen beispielsweise am Tag nach der Hamas-Attacke, sie hätten Israels Energieversorgung und das Raketenabwehr-System Iron Dome kompromittiert. Hierzu veröffentlichten sie von anderen Hackern bei früheren Angriffen auf andere Ziele gestohlene Daten, um einen aktuellen Angriff vorzutäuschen.
On Oct 8, #hacktivist group #CyberAv3ngers in their Telegram channel claimed to have successfully attacked #Dorad power plant (pic. 1). Group-IB’s Threat Intelligence team has discovered that the information posted by CyberAv 3ngers is data that was stolen by the #ransomware… pic.twitter.com/9PNiefYqzf
— Group-IB Threat Intelligence (@GroupIB_TI) October 10, 2023
IT-Sicherheitsforscher entlarvten die Behauptungen rasch als Falschaussage, aber auch hier dürften die in den sozialen Medien gestreuten Falschbehauptungen gereicht haben, um Menschen zu verunsichern. Der Fakten-Check, der die Behauptungen widerlegt, wird in der Regel von weit weniger Menschen gesehen.
Dutzende Hacker-Gruppierungen vermeldeten in den vergangene Tagen über 80 angebliche DDoS-Angriffe auf israelische Webseiten. Insgesamt sollen laut dem Cyberangriff-Tracker Cyberknow mindestens 58 Gruppierungen mitmischen; 10 davon auf israelischer Seite.
Die bislang zu beobachtenden Überlastungsangriffe gegen Webseiten dürften meist von ausserhalb des Gazastreifens erfolgen und mindestens drei Akteure haben zuvor mit pro-russischen oder pro-iranischen Aktionen für Aufsehen gesorgt.
Bis jetzt gibt es indes keine Beweise für schwerwiegende oder mit der Hamas koordinierte Cyberangriffe (von staatlichen Akteuren) – was nicht ausschliesst, dass solche noch folgen könnten.
Die oft auf Telegram verbreiteten Erfolgsmeldungen sollten kritisch hinterfragt werden, insbesondere wenn Hacktivisten angeblich erfolgreiche Angriffe auf Israels kritische Infrastruktur vermelden. «Vieles davon erweist sich als falsch, veraltet oder unvollständig», sagte IT-Sicherheits-Experte Allan Liska.
Klar scheint: Das bislang begrenzte Ausmass des Cyberschadens in Israel ist nicht vergleichbar mit den gezielten Angriffen russischer Hacker in den Stunden, bevor die Ukraine überfallen wurde. Damals legte zeitgleich mit der Invasion der russischen Armee eine Cyberattacke zehntausende Breitbandmodems in der Ukraine lahm. Betroffen war auch das Satellitennetzwerk KA-Sat des amerikanischen Betreibers Viasat.
Israels Cybersicherheitsbehörde stellte bereits kurz nach Beginn der Hamas-Attacke klar, es gebe «keinen konkreten Cyberangriff im Zusammenhang mit der aktuellen Situation». Sie forderte die Bevölkerung auf, wachsam zu bleiben und allfällige Angriffe und Gerüchte über angebliche Hacks zu melden.
Israels Nationale Cyber-Direktion rief die Bürger auch dazu auf, sämtliche Überwachungskameras mit sicheren Passwörtern zu schützen oder andernfalls komplett auszuschalten. Die Behörden befürchten, dass ungesicherte Webcams von der Hamas für Spionage missbraucht werden könnten. Laut Behördenangaben sind oder waren im ganzen Land mehr als 66'000 Sicherheitskameras potenziell anfällig für Angriffe aus der Ferne.
Die Israelis haben eine wichtige Lektion aus dem Ukraine-Krieg gelernt, bei dem Sicherheitskameras in der gesamten Ukraine von russischen Hackern gehackt wurden, um militärische Hilfskonvois zu verfolgen oder um Ziele für Raketenbeschuss in Echtzeit anzupassen.
Die Hamas nutzt gehackte Überwachungskameras auch für ihre Propaganda: Die Terroristen verbreiten Aufnahmen von gehackten Kameras, die den Einschlag ihrer Raketen in israelische Häuser zeigen sollen. Die Terroristen wollen so demonstrieren, dass ihre Raketen das Raketen-Abwehrsystem Iron Dome durchdringen können.
Nebst Hacktivisten ruft die aktuelle Lage auch Cyberkriminelle auf den Plan, die rein an Profit interessiert sind. Kriminelle verkaufen beispielsweise den Live-Zugang zu kompromittierten Systemen.
Einige Cyberkriminelle versuchen aus dem Krieg Profit zu schlagen, indem sie angeblich gestohlene Datenbanken von israelischen und palästinensischen Organisationen anbieten.
Die Kriminellen dürften auch bereits gefälschte Webseiten erstellt haben, die zu Spenden für Israel oder Palästina aufrufen. Das Geld landet natürlich weder in Israel noch bei den Palästinensern.
