Die Zuordnung zum MOIS stützen die Forscher von Gambit Security auf forensische Spuren, die die Gruppe mit früheren von Iran unterstützten Angriffen verbinden. Dazu zählen Aktivitäten, die das israelische National Cyber Directorate dem iranischen Geheimdienst zugeschrieben hat. Zudem stießen die Forscher auf maßgeschneiderte Werkzeuge zum Abziehen von Daten.
Wo es zu Zerstörung kam, kombinierten die Angreifer dem Bericht zufolge mehrere Techniken über Virtualisierungs-, Speicher- und Backup-Infrastruktur hinweg, um eine Wiederherstellung zu verhindern. Sie löschten Datenbanken, virtuelle Maschinen und Speichervolumes – teils automatisiert über Skripte, teils durch direkte Eingriffe von Hand.
Über LACMTA hinaus identifizierten die Forscher weitere Betroffene, deren Daten zwar abgezogen, aber nicht zerstört wurden. Dazu gehören eine israelische Organisation aus dem Medienbereich, eine israelische Universität und ein türkischer Versicherungsmakler. Hinzu kämen mehrere weitere Websites aus den Bereichen Gastronomie, Kultur, digitale Dienste und Nachrichten. Auch Organisationen in Saudi-Arabien wurden laut Bericht von der Gruppe angegriffen.
Bemerkenswert sei die Kampagne nicht allein wegen der Zuschreibung an das MOIS, sondern auch wegen ihres Tempos. „Moderne Angreifer bewegen sich vom ersten Zugriff direkt in die Wiederherstellungsebene – Virtualisierung, Backups, Speichervolumes –, um die Zerstörung zu maximieren und eine Behebung zu verhindern", heißt es im Bericht. Die dafür nötigen Fähigkeiten würden zugleich immer geringer. Mit der breiten Verfügbarkeit von KI werde nach Einschätzung der Forscher jeder Akteur – ob versiert oder nicht – eine solche Kampagne durchführen können.
Ababil of Minab wäre nicht die erste mit dem MOIS verbundene Gruppe, die sich als Hacktivisten ausgibt. Nach einem Cyberangriff auf den Medizingerätehersteller Stryker im März bekannte sich eine Gruppe namens Handala zur Tat. Handala stellt sich als unabhängige, propalästinensische Hacktivisten-Gruppe dar, doch Fachleute und das US-Justizministerium ordnen sie dem MOIS zu. Bei dem Angriff auf Stryker wurden Mitarbeitergeräte und Systeme des Herstellers gelöscht.
