Verschillende Israëlische en Palestijnse internetgebruikers zijn het afgelopen jaar via malware bespioneerd. Volgens het Noorse anti-virusbedrijf Norman gaat het om een groot spionagenetwerk dat in het Midden-Oosten actief is. De omvang van het netwerk kwam pas in beeld toen de Israëlische politie het eigen netwerk vanwege een naderende aanval offline haalde. Via een gerichte e-mail werd geprobeerd de politie te infiltreren.

Trend Micro rapporteerde dat het om een variant van de Xtreme RAT (Remote Access Trojan) ging. Norman laat tegenover IT-journalist Brian Krebs weten dat alle malware als onderdeel van de campagne met valse Microsoft certificaten zijn ondertekend. "Deze malware gebruikt hetzelfde framework, praat met dezelfde command & control-servers en hebben dezelfde vervalste digitale certificaten", aldus Snorre Fagerland. "Het zijn volgens mij dezelfde aanvallers."

Campagne
De oudste malware met de valse Microsoft-certificaten die Fagerland tegenkwam dateert van oktober 2011. In eerste instantie waren de aanvallen op Palestijnse doelwitten gericht, maar na acht maanden richtte de operatie zich op Israëlische doelwitten. Toen verplaatsen de aanvallers de command & control-servers van een provider in Ramallah naar de Verenigde Staten.

Wie er achter de aanvallen zit wil Fagerland niet zeggen, behalve dat het om een entiteit gaat met 'inlichtingenbehoefte' over zowel Israëlische als Palestijnse doelen. "Maar ik denk dat het in een cyberoorlog-context gezien ongehoord is dat twee partijen die in een conflict zijn betrokken, door dezelfde entiteit worden bespioneerd."