Barb(ie) подключается к командно-контрольным серверам (C2) и отправляет профиль идентификатора системы, а также устанавливает постоянную связь, создавая две запланированные задачи. Наконец, он загружает и устанавливает на устройство бэкдор BarbWire

BarbWire — это полноценный бэкдор с широкими возможностями, такими как:

Защита от обнаружения

Разведка ОС (имя пользователя, архитектура, версия Windows, установленные антивирусные продукты)

Шифрование данных

Перехват клавиатуры

Захват экрана

Аудиозапись

Загрузка дополнительных вредоносных программ

Перечисление локальных/внешних дисков и каталогов

Кража определенных типов файлов и эксфильтрация данных в формате RAR.

Ничего личного, только бизнес

После 7 октября 2023 года активизировались торговцы персональными данными военнослужащих и сотрудниках спецслужб. Например, 15 октября 2023 года на русскоязычном хакерском форуме RAMP пользователь под псевдонимом «blackfield» выставил на продажу базу данных, содержащую личные данные, номера телефонов, фотографии и ссылки на соцсети членов Армии обороны Израиля (ЦАХАЛ) и Службы безопасности Израиля (Шабак).

Продавец оценил стоимость пакета данных в 15 тыс. долларов США, что по мнению экспертов выше средней цены по рынку. Но это по ситуации мирного времени. К тому же хакер заявил, что воспользуется эскроу-счётом форума для совершения безопасной сделки. Услуга эскроу-счёта представляет собой проведение транзакций через третью сторону для обеспечения выполнения определенных условий.

Продажа украденных данных, а не их бесплатное распространение, указывает на то, что blackfield хочет извлечь финансовую выгоду, а не преследует идеологические цели. Так же известно, что до этого blackfield продал аналогичный пакет за 50 тыс. долларов, правда тогда это были личные данные граждан другого государства.

Специалисты предполагают, что данные были получены с помощью взломов профилей в соцсетях методом подстановки учетных данных (Credential stuffing). Возможно, у киберпреступника была дополнительная информация, которая позволила ему идентифицировать членов ЦАХАЛ и Шабак[111].

Не можешь контролировать, просто отключи

17 октября 2023 года Bloomberg сообщило, что Израиль ведет переговоры с компанией SpaceX американского бизнесмена Илона Маска по предоставлению услуг спутниковой связи Starlink в ходе войны с ХАМАС. В Министерстве коммуникаций Израиля это подтвердили и пояснили: использование Starlink должно способствовать укреплению связи «в условиях военного времени».

По данным Bloomberg, Израиль намерен временно отключить интернет и телефонную связь в секторе Газа и ряде приграничных районов во время проведения наземной военной операции. Применение же Starlink поможет армии обороны Израиля эффективно планировать и осуществлять свои удары, а властям страны даст возможность обеспечить жителей израильских городов бесперебойным выходом в интернет, несмотря на военные действия.

Фактически это означает, что Израиль, среди прочего, признал неэффективность своей «прослушки» телефонных переговоров и Интернета ХАМАС и других палестинских радикальных группировок на территории сектора Газа. Оговоримся, но это не единственная причина для отключения Интернета на данной территории[112].

Помощь дружеских хакеров

23 октября 2023 года новостной портал TGRT Haber сообщил: турецкая хакерская группа Ayyıldız Tim заявила, что взломала систему израильского Минобороны и получила информацию об учениях и персональные данные оборонного ведомства.

«Совершенно секретные военные данные, данные об учениях и персональные данные, принадлежащие министерству обороны Израиля, были взломаны и конфискованы командой Ayyıldız Tim. Вы увидите силу турков! Мы тихо стоим на страже!» — сказано на странице хакеров в соцсети X (бывш. Twitter).

TGRT Haber отметил, что в другом заявлении группы говорится, что хакеры нацелены на биржевые системы, инфраструктуру электроснабжения и плотины еврейского государства. По словам хакеров, они осуществят атаку, когда поступит приказ.

Глава 5

Вместо «точеных» ликвидаций операция «Железные мечи»