Recorded Futureは10月19日(米国時間)、「Hamas Application Infrastructure Reveals Possible Overlap With TAG-63 and Iranian Threat Activity|Recorded Future」において、過激派組織であるハマスの構成員または支援者が使用するTelegramチャンネルで配布されているアプリケーションを特定したと報じた。このアプリケーションはハマスのメッセージ発信を強化するためのものとされ、イズ・アッディン・アル・カッサム旅団のWebサイト「alqassam[.]ps」と通信するように設定されていたという。
-
Hamas Application Infrastructure Reveals Possible Overlap With TAG-63 and Iranian Threat Activity|Recorded Future
Recorded Futureはサンドボックス(Androidエミュレータ)を用いてアプリケーションの分析を行っている。この分析ではアプリケーションのインストールおよび起動までは正常に動作したが、「接続に失敗した」としてコンテンツの読み込みには失敗したという。
Recorded Futureはその後の分析で、「alqassam[.]ps」への同じリダイレクトを共有する複数のドメインを特定。これらドメインのうち4つは脅威として追跡する「TAG-63(別名:AridViper、APT-C-23、Desert Falcon)」のドメインと一致していたとされる。これらドメインの登録時期を含む重複する指標に基づき、ドメインはほぼ間違いなくハマスの運営者が管理していると評価されている。
今回配布が確認されたアプリケーションのインフラと、TAG-63に関連すると思われるドメイン群の間ではインフラの重複が確認されており、TAG-63はハマスの構成員とインフラを共有している可能性が考えられるという。また、これらドメインのサブドメイン命名規則の特徴から、イランとの関連性が疑われると分析している。これらの評価は推測に基づく部分があるものの、調査結果からハマスの背後にイランの存在を感じさせるものとなっている。
Recorded Futureは、これら分析についてPDFで公開している。発見されたアプリケーションのファイル名やハッシュ値、調査で確認された各ドメインに関する情報や、ハマスの侵攻開始時のネットワークトラフィックの興味深い変化などが報告されている。
