W ciągu ostatnich kilku miesięcy grupa hakerska o nazwie Cyber Toufan zaatakowała ponad 100 organizacji publicznych i prywatnych w Izraelu w ramach agresywnej kampanii. Ma to oczywiście związek z sytuacją w regionie i jest przez nią napędzane. Cyber Toufan przedstawia się jako grupa cyberwojowników z państwa palestyńskiego. Szybko zyskała sławę, przeprowadzając złożone cyberataki na znane podmioty izraelskie.
Taktyka grupy sugeruje, że jest sponsorowana przez rząd, a przesłanki wskazują na zaangażowanie Iranu. Informował o tym Check Point już na początku grudnia.
„Grupa wykazała się lepszymi możliwościami w porównaniu z innymi grupami hakerskimi powiązanymi z Hamasem. Ich działania, które skupiają się na włamaniach do serwerów, baz danych i wyciekach informacji, zdecydowanie sugerują wsparcie ze strony państwa narodowego, przy czym wiele czynników wskazuje na Iran jako prawdopodobnego sponsora” – odnotował pod koniec listopada Międzynarodowy Instytut ds. Zwalczania Terroryzmu.
Badacze zajmujący się bezpieczeństwem wyśledzili ponad 100 włamań związanych z operacjami Cyber Toufan. Ich akcje charakteryzują się eksfiltracją dużych ilości danych, w tym danych osobowych, i ich publikacją w Internecie.
„Ich ataki nie tylko doprowadziły do znacznych wycieków danych, ale posłużyły również jako forma cyfrowego odwetu, zgodnego z szerszymi celami strategicznymi w regionie” – napisała w raporcie dwa tygodnie temu firma zajmująca się badaniem zagrożeń SOC Radar.
Jak twierdzi badacz bezpieczeństwa Kevin Beaumont, do tej pory grupa na swoim kanale Telegram upubliczniła dane 59 organizacji. Jednak prawdopodobnie odpowiada też za 40 kolejnych ataków, w tym wymierzonych w dostawcę usług.
„Opublikowane przez nich dane obejmują pełny obraz dysku serwera, certyfikaty SSL z kluczami prywatnymi do wielu domen (które nadal nie zostały unieważnione i są w użyciu), zrzuty SQL i CRM. Nawet kopie zapasowe WordPressa, ponieważ najwyraźniej organizacje tworzą CRM na WordPressie” – mówi Beaumont.
Ofiarami Cyber Toufan są Izraelskie Archiwum Narodowe, Urząd ds. Innowacji, Homecenter Izrael, biuro odpowiadające za środowisko naturalne, Kolegium Akademickie w Tel Awiwie, Ministerstwo Zdrowia, Ministerstwo Opieki Społecznej i Ubezpieczeń Społecznych, Urząd Papierów Wartościowych, Allot, MAX Security & Intelligence, Radware i Toyota Izrael.
Beaumont twierdzi, że niektóre ofiary nie były w stanie podnieść się po cyberatakach i przez kilka tygodni pozostawały offline, prawdopodobnie dlatego, że napastnicy za pomocą specjalnego narzędzia wymazują dane na systemach Linux.
Według badacza Cyber Toufan wykorzystuje Shred – legalne narzędzie do „usuwania plików w sposób niemożliwy do odzyskania”. W tym celu grupa uruchamia Shred przy użyciu własnego skryptu powłoki, aby mieć pewność, że będzie nadal działać, nawet jeśli proces zostanie zamknięty przez administratora.
Cyber Toufan nie poprzestaje na włamaniach. Hakerzy wysyłają e-maile do klientów organizacji, które padły ich ofiarą, i w ten sposób szerzą propagandę. Jednocześnie badacze mają dowody, że grupa współpracuje z innymi grupami hakerskimi w ramach większych zbiorowych operacji.