Trace Id is missing

Der Iran setzt vermehrt Cyberdesinformationskampagnen zur Unterstützung der Hamas ein.

Einführung

Als am 7. Oktober 2023 der Krieg zwischen Israel und der Hamas ausbrach, unterstützte der Iran die Hamas sofort mit einer inzwischen gut erprobten Technik. Diese als Cybereinflussnahmen bezeichneten gezielten Hackerangriffe wurden mit Desinformationskampagnen kombiniert und über soziale Medien verstärkt.1 Irans Operationen waren zunächst reaktionär und opportunistisch. Fast alle iranischen Einfluss- und die wichtigsten Cyberakteure konzentrierten sich Ende Oktober in einer zunehmend gezielten, koordinierten und zerstörerischen Weise auf Israel. Dies hat zu einer scheinbar grenzenlosen Kampagne gegen Israel geführt, bei der es viele Mitwirkende gab. Im Gegensatz zu früheren Cyberangriffen hat der Iran in diesem Krieg alle zerstörerischen Cyberangriffe gegen Israel – ob echt oder erfunden – durch Desinformationskampagnen im Netz ergänzt.

Schlüsselbegriffe definiert

  • Desinformationskampagnen im Cyberspace 
    Operationen, bei denen offensive Computernetzwerkoperationen mit Nachrichtenübermittlung sowie Erhöhung der Reichweite auf koordinierte und manipulative Weise kombiniert werden. Ziel ist, die Wahrnehmung, das Verhalten oder die Entscheidungen der Zielgruppen zu verändern und so die Interessen und Ziele einer Gruppe oder einer Nation zu fördern.
  • Cyber-Persona 
    Eine fiktive Gruppe oder Einzelperson, die nach außen hin die Verantwortung für eine Cyberoperation übernimmt, während die dahinter stehende Gruppe oder Nation auf glaubhafte Weise geleugnet wird.
  • Sockenpuppe 
    Eine falsche Online-Persona, die fiktive oder gestohlene Identitäten zum Zweck der Täuschung verwendet.

Desinformationskampagnen wurden immer raffinierter und manipulierter, und im Laufe des Krieges wurden ganze Netzwerke von „Sockenpuppen“ in den sozialen Medien eingesetzt. Während des gesamten Krieges wurde durch diese Desinformationskampagnen versucht, Israelis einzuschüchtern und gleichzeitig den Umgang der israelischen Regierung mit Geiseln und Militäroperationen zu kritisieren. Israel sollte polarisiert und letztlich destabilisiert werden.

Schließlich richtete der Iran seine Cyberangriffe und Desinformationskampagnen gegen Israels politische Verbündete und Wirtschaftspartner, um die Unterstützung für Israels militärische Operationen zu untergraben.

Wir gehen davon aus, dass die Bedrohung durch die iranischen Cyber- und Desinformationskampagnen zunehmen wird solange der Krieg andauert, insbesondere angesichts seines sich ausweitenden Potenzials. Die zunehmende Unverfrorenheit iranischer und mit dem Iran verbundener Akteure sowie die wachsende Zusammenarbeit zwischen ihnen deuten auf eine wachsende Bedrohung im Vorfeld der US-Wahlen im November hin.

Die iranischen Cyber- und Einflussoperationen haben seit dem Terroranschlag der Hamas vom 7. Oktober mehrere Phasen durchlaufen. Ein Element ihrer Operationen ist immer gleich geblieben: opportunistische Cyberangriffe in Kombination mit Einflussoperationen, die oft über die Präzision oder den Umfang der Wirkung hinwegtäuschen.

Dieser Bericht konzentriert sich auf iranische Einflussnahme und Cyberdesinformationskampagnen vom 7. Oktober bis Ende 2023 und deckt gleichzeitig Trends und Operationen ab, die bis zum Frühjahr 2023 zurückreichen.

Diagramm, das die Phasen der iranischen Cyberdesinformationskampagnen im Krieg zwischen Israel und Hamas darstellt.

Phase 1: Schnell und irreführend

Iranische Gruppen reagierten blitzschnell in der Anfangsphase des Israel-Hamas-Krieges. Iranische Staatsmedien veröffentlichten irreführende Angaben zu angeblichen Cyberangriffen, während iranische Gruppen veraltetes Material aus früheren Operationen verwendeten. Sie alle benutzten einen bereits vor dem Krieg erhaltenen Zugriff zu Medien und überspitzten den Umfang und die Auswirkungen der angeblichen Cyberangriffe.

Fast vier Monate nach Beginn des Krieges hat Microsoft noch immer keine eindeutigen Beweise dafür gefunden, dass iranische Gruppen ihre Cyber- oder Beeinflussungsoperationen mit den Plänen der Hamas zum Angriff auf Israel am 7. Oktober koordiniert haben. Die Mehrzahl unserer Daten und Erkenntnisse deutet vielmehr darauf hin, dass iranische Cyberakteure reaktiv waren und ihre Cyber- und Beeinflussungsoperationen nach den Hamas-Angriffen schnell ausweiteten, um Israel entgegenzuwirken.

Irreführende Angaben zu angeblichen Anschlägen durch staatliche Medien: 
Die mit dem Korps der Islamischen Revolutionsgarde verbundenen iranische Nachrichtenagentur Tasnim stellte am Tag des Kriegsausbruchs falsche Behauptungen auf. Eine Gruppe namens „Cyber Avengers“ soll Cyberangriffe gegen ein israelisches Kraftwerk verübt haben – angeblich „zur selben Zeit“ wie die Hamas. 2 Cyber Avengers, von dem Korps der Islamischen Revolutionsgarde verwendete Cyber-Persona, behaupteten am Abend vor dem Einmarsch der Hamas einen Cyberangriff auf ein israelisches Elektrizitätswerk verübt zu haben.3 Ihre Beweise: Wochen alte Presseberichte über Stromausfälle „in den letzten Jahren“ und ein Screenshot einer undatierten Unterbrechung des Dienstes auf der Unternehmenswebsite. 4
Wiederverwendung von altem Material: 
Nach den Angriffen der Hamas auf Israel behaupteten die Cyber Avengers, eine Reihe von Cyberangriffen gegen Israel zu verüben. Die ersten von ihnen erwiesen sich nach unseren Untersuchungen als falsch. Sie behaupteten am 8. Oktober, Dokumente über ein israelisches Kraftwerk veröffentlicht zu haben. Jedoch wurden die Dokumente bereits im Juni 2022 von einer anderen Cyber-Persona namens „Moses Staff“ veröffentlicht, die dem Korps Islamischen Revolutionsgarde angehört.5
Wiederverwendung des Zugriffs: 
Unserer Einschätzung nach gibt es eine andere Cyber-Persona namens „Malek Team“, die vom Ministerium für Nachrichtendienst und Sicherheit in Iran (MOIS) geleitet wird. Sie gab am 8. Oktober personenbezogene Daten aus einer israelischen Universität preis, ohne dass ein klarer Zusammenhang zwischen dem Ziel und dem aufkeimenden Konflikt in Israel erkennbar war. Dies deutet darauf hin, dass das Ziel opportunistisch war und möglicherweise aufgrund eines bereits vor Kriegsausbruch bestehenden Zugriff ausgewählt wurde. Anstatt eine Verbindung zwischen den kompromittierten Daten und der Unterstützung der Hamas-Operationen herzustellen, verwendete Malek Team zunächst Hashtags auf X (ehemals Twitter), um die Hamas zu unterstützen. Nur wenige Tage später änderte und passte es seine Botschaften an, um den israelischen Premierminister Benjamin Netanjahu zu verunglimpfen. Zu beobachten sind diese Art von Botschaften auch bei anderen iranischen Desinformationskampagnen.
Weltweiter iranischer Propagandakonsum, veranschaulicht mit einer Zeitleiste und einem Diagramm zum Anteil des Datenverkehrs
Abbildung 2: Microsoft Threat Intelligence – Konsum iranischer Propaganda nach Ländern, Angriffe der Hamas auf Israel. Diagramm, das Aktivitäten von April bis Dezember 2023 anzeigt.
Irans Desinformationskampagnen waren in den ersten Tagen des Krieges am effektivsten 
Nach dem Ausbruch des Krieges zwischen Israel und der Hamas stieg die Reichweite der iranischen staatsnahen Medien sprunghaft an. Das Microsoft AI for Good Lab beobachtete in den ersten Wochen des Konflikts einen Anstieg des iranischen Propaganda-Index um 42 %. Dieser überwacht den Konsum von Nachrichten des iranischen Staates und staatlicher Nachrichtensender (siehe Abbildung 1). Der Index misst den Anteil der Besucherinnen und Besucher dieser Seiten am gesamten Datenverkehr des Internets. Dieser Anstieg war in englischsprachigen Ländern, die eng mit den Vereinigten Staaten verbündet sind, besonders ausgeprägt (Abbildung 2). Somit kann der Iran mit seiner Berichterstattung über Konflikte im Nahen Osten auch ein westliches Publikum erreichen. Einen Monat nach Kriegsbeginn lag die Reichweite dieser iranischen Quellen weltweit immer noch 28 bis 29 % über dem Vorkriegsniveau.
Irans Einfluss ohne Cyberattacken demonstriert seine Agilität 
Irans Desinformationskampagnen schienen in den ersten Tagen des Krieges agiler und effektiver gewesen zu sein als seine kombinierten Cyberdesinformationskampagnen im späteren Verlauf des Konflikts. Wenige Tage nach dem Angriff der Hamas auf Israel startete ein vermutlich iranischer staatlicher Akteur, den wir als Storm-1364 verfolgen, eine Desinformationskampagne. Dessen Online-Personas namens „Tears of War“ gaben sich als israelische Aktivistinnen bzw. Aktivisten aus, um Nachrichten gegen Netanjahu über mehrere soziale Medien und Nachrichtenplattformen an israelische Zielgruppen zu verbreiten. Die Geschwindigkeit, mit der Storm-1364 diese Kampagne nach den Angriffen vom 7. Oktober durchführte, verdeutlicht die Agilität dieser Gruppe und weist auf die Vorteile reiner Beeinflussungskampagnen hin. Sie können möglicherweise schneller ausgeführt werden, weil nicht von Cyberaktivitäten einer Cyberdesinformationskampagne abhängt.

Phase 2: Alle Mann an Deck

Von Mitte bis Ende Oktober verlagerte eine wachsende Zahl iranischer Gruppen ihren Fokus auf Israel, und Irans Cyberdesinformationskampagnen waren nicht mehr weitgehend reaktiv und/oder erfunden. Sie umfassten auch zerstörerische Cyberangriffe und die Entwicklung interessanter Ziele für Operationen. Diese Angriffe umfassten die Löschung von Daten, Ransomware und offenbar die Anpassung eines IoT-Geräts (Internet of Things).6 Es gab auch Hinweise auf eine verstärkte Koordination zwischen iranischen Gruppen.

Microsoft Threat Intelligence hat in der ersten Woche des Krieges neun iranische Gruppen nachverfolgt, die aktiv gegen Israel vorgehen; am 15. Tag ist diese Zahl auf 14 Gruppen gestiegen. In einigen Fällen beobachteten wir, dass mehrere Gruppen des Korps der Islamischen Revolutionsgarde oder des Ministeriums für Nachrichtendienst und Sicherheit dieselbe Organisation oder Militärbasis mit Cyber- oder Beeinflussungsaktivitäten ins Visier nahmen. Daraus lässt sich schließen, dass die Aktivitäten koordiniert waren und/oder gemeinsame Ziele in Teheran festgelegt wurden.

Desinformationskampagnen im Cyberspace haben ebenfalls zugenommen. In der ersten Woche des Krieges beobachteten wir vier plötzlich eingeleitete, auf Israel gerichtete Cyberdesinformationskampagnen. Bis Ende Oktober hat sich die Zahl dieser Operationen mehr als verdoppelt, was eine deutliche Beschleunigung dieser Operationen bedeutet mit dem bisher schnellsten Tempo (siehe Abbildung 4).

Abbildung: Irans Cyber- und Einflussnetzwerk: Symbole, Bedrohungsaufklärung und die Iranische Revolutionsgarde
Zeitleiste der iranischen Cyberdesinformationskampagnen: Aufschwung während des Kamas-Krieges, 2021 bis 2023

Die von Microsoft als Storm-0784 bezeichnete „Shahid Kaveh“-Gruppe des Korps der Islamischen Revolutionsgarde nutzte am 18. Oktober maßgeschneiderte Ransomware, um Cyberangriffe auf Sicherheitskameras in Israel durchzuführen. Dann benutzte sie eine ihrer Cyber-Personas, „Soldiers of Solomon“, um fälschlicherweise zu behaupten, sie habe Sicherheitskameras und Daten auf dem Luftwaffenstützpunkt Nevatim erbeutet. Die Untersuchung der veröffentlichten Sicherheitsaufnahmen von Soldiers of Solomon zeigt, dass sie aus einer Stadt nördlich von Tel Aviv mit einer Nevatim-Straße stammen, nicht von dem gleichnamigen Luftwaffenstützpunkt. Eine Lokalisationsanalyse der Opfer zeigt, dass sich keines in der Nähe der Militärbasis befand (siehe Abbildung 5). Iranische Gruppen hatten mit zerstörerischen Anschlägen begonnen, jedoch blieben ihre Operationen weitgehend opportunistisch. Sie nutzten weiterhin Beeinflussungsaktivitäten, um die Präzision oder Wirkung der Anschläge zu überspitzen.

Eine andere Cyber-Persona, die dem Korps der Islamischen Revolutionsgarde angehört, ist Cotton Sandstorm (auch bekannt als Emennet Pasargad). Sie veröffentlichte am 21. Oktober ein Video, in dem zu sehen ist, wie die Angreifer digitale Anzeigen in Synagogen mit Botschaften verunstalten und Israels Operationen im Gazastreifen als „Völkermord“ bezeichnen. 7 Sie stellt eine Methode zur direkten Einbettung von Nachrichten in Cyberangriffen auf ein relativ weiches Ziel dar.

In dieser Phase wurden für iranische Beeinflussungsaktivitäten umfassendere und ausgefeiltere Formen der Reichweitenerhöhung benutzt. In den ersten zwei Wochen des Krieges haben wir nur minimale fortgeschrittene Formen von gefälschter Reichweitenerhöhung festgestellt – was wiederum darauf hindeutet, dass die Operationen reaktiv waren. In der dritten Woche des Krieges kam Irans erfolgreichster Akteur, Cotton Sandstorm, hervor und führte am 21. Oktober drei Cyberdesinformationskampagnen durch. Die Gruppe nutzte wie zuvor ein Netzwerk von Sockenpuppen in den sozialen Medien, um ihre Aktionen zu verstärken. Offenbar gaben sich viele von ihnen auf eine viel zu schnelle und unglaubwürdige Weise als Israelis aus. Cotton Sandstorm hat mehrere Male Massen-SMS oder -E-Mails verschickt, um seine Aktivitäten zu verstärken oder damit zu prahlen. Um die Authentizität zu erhöhen, benutzte die Gruppe kompromittierte Konten.8

Entkräftete Behauptungen über iranische Cyberangriffe: Gefälschte Ransomware und CCTV-Aufnahmen sowie irreführende Desinformationskampagnen aufgedeckt

Phase 3: Ausweitung des geografischen Geltungsbereichs

Seit Ende November haben iranische Gruppen ihre Cyberdesinformationskampagnen über Israel hinaus auf Länder ausgedehnt, von denen der Iran annimmt, dass sie Israel unterstützen. Höchstwahrscheinlich mit dem Ziel, die internationale politische, militärische oder wirtschaftliche Unterstützung für Israels militärische Operationen zu untergraben. Diese Ausweitung der Angriffe auf internationale Schiffe mit Verbindungen zu Israel erfolgte zeitgleich mit Beginn der Angriffe der Houthis, einer vom Iran unterstützten schiitischen militanten Gruppe im Jemen (siehe Abbildung 8).9

  • Am 20. November warnte die vom Iran betriebene Cyber-Persona „Homeland Justice“ vor bevorstehenden größeren Angriffen auf Albanien. Dies geschah, bevor sie Ende Dezember zerstörerische Cyberangriffe von MOIS-Gruppen (Ministerium für Nachrichtendienst und Sicherheit in Iran) gegen das albanische Parlament, die nationale Fluggesellschaft und Telekommunikationsanbieter verstärkte.10
  • Am 21. November nahm die von Cotton Sandstorm betriebene Cyber-Persona „Al-Toufan“ bahrainische Regierungs- und Finanzorganisationen ins Visier, weil diese ihre Beziehungen zu Israel normalisiert hatten.
  • Dem Korps der Islamischen Revolutionsgarde nahestehende Gruppen begannen am 22. November in den Vereinigten Staaten und möglicherweise auch in Irland eine weitere Attacke. Sie zielten auf israelische speicherprogrammierbare Steuerungen (SPS) und schalteten am 25. November eine solche Steuerung einer Wasserbehörde in Pennsylvania aus (Abbildung 6).11 Bei SPS handelt es sich um Industriecomputer, die für die Steuerung von Fertigungsprozessen wie Fließbändern, Maschinen und Robotern geeignet sind.
  • Eine nach Einschätzung von MTAC vom Iran gesponserte Persona, „Cyber Toufan Al-Aksa“, behauptete Anfang Dezember, Daten von zwei amerikanischen Unternehmen weitergegeben zu haben. Der Grund dafür sei, dass sie Israel finanziell unterstützt und Militärausrüstung geliefert haben..12 Zuvor hatte die Persona behauptet, am 16. November Attacken gegen die Unternehmen verübt und deren Daten gelöscht zu haben.13 Da es keine stichhaltigen forensischen Beweise gibt, die sie mit dem Iran in Verbindung bringt, ist es möglich, dass die Persona von einem iranischen Partner außerhalb des Landes mit iranischer Beteiligung betrieben wird.
Verunstaltete SPS (speicherprogrammierbare Steuerungen) bei der Wasserbehörde von Pennsylvania mit Cyber Avengers-Logo, 25. November

Irans Cyberdesinformationskampagnen sind auch in dieser letzten Phase immer raffinierter geworden. Um sich glaubhafter als Israelis auszugeben, haben sie ihre Sockenpuppen besser getarnt und einige von ihnen umbenannt sowie ihre Profilfotos geändert. Gleichzeitig nutzten sie neue Techniken, die wir von iranischen Akteuren noch nicht gesehen haben, einschließlich den Einsatz von KI als Schlüsselkomponente für ihre Nachrichten. Wir bewerten, dass Cotton Sandstorm im Dezember unter dem Deckmantel einer Persona namens „For Humanity“ Streaming-Fernsehdienste unter anderem in den Vereinigten Arabischen Emiraten gestört hat. „For Humanity“ veröffentlichte Videos auf Telegram, die zeigen, wie sich die Gruppe in drei Online-Streaming-Dienste einhackt und mehrere Nachrichtensender mit einer gefälschten Nachrichtensendung unterbricht. In dieser behauptet ein offenbar KI-generierter Moderator, Bilder von Palästinenserinnen und Palästinensern zu zeigen, die bei israelischen Militäroperationen verletzt oder getötet wurden (Abbildung 7).14Nachrichtendienste und Zuschauerinnen und Zuschauer in den Vereinigten Arabischen Emiraten, Kanada und dem Vereinigten Königreich berichteten über Unterbrechungen von Streaming-Fernsehprogrammen, einschließlich der BBC. Sie stimmen mit den Behauptungen von „For Humanity“ überein.15

HUMANITY 2023: 8. Oktober, 180 Verstorbene, 347 Verwundete. Abbildung 7: Störung des TV-Streamings durch KI-generierte Moderatorinnen und Moderatoren
Der Iran weitet seine Angriffe auf israelische Unterstützerinnen und Unterstützer aus, Cyberangriffe, Warnungen und Entstellungsaktivitäten.

Mit seinen Operationen verfolgte der Iran vier große Ziele: Destabilisierung, Vergeltung, Einschüchterung und Untergrabung der internationalen Unterstützung für Israel. Alle vier Ziele beabsichtigen, das Informationsumfeld Israels und seiner Unterstützer zu untergraben, um allgemeine Verwirrung und mangelndes Vertrauen zu schaffen.

Destabilisierung durch Polarisierung 
Die iranischen Angriffe auf Israel während des Krieges zwischen Israel und der Hamas haben sich zunehmend darauf konzentriert, einen innenpolitischen Konflikt über das Kriegsvorgehen der israelischen Regierung zu schüren. Mehrere Akteure, die iranische Desinformationskampagnen durchführt haben, tarnten sich als israelische Aktivistengruppen. Sie verbreiteten hetzerische Nachrichten und kritisierten das Vorgehen der Regierung gegenüber den Personen, die am 7. Oktober entführt und als Geiseln genommenen wurden.17 Netanjahu war ein Hauptziel solcher Nachrichten, und die Forderung nach seiner Absetzung war ein häufiges Thema in den iranischen Desinformationskampagnen.18
AVENGERS – ohne Elektrizität, Essen, Wasser, Brennstoff. Cyber Avengers veröffentlichen erneut ein Video zu Israels Blockade
Vergeltung 
Ein Großteil der iranischen Botschaften und Auswahl der Ziele unterstreicht den Vergeltungscharakter seiner Operationen. So veröffentlichte die Persona Cyber Avengers ein Video, in dem der israelische Verteidigungsminister erklärt, Israel werde Gaza-Stadt von Strom, Lebensmitteln, Wasser und Brennstoff abschneiden (siehe Abbildung 9). Dem folgen sollten eine Reihe angeblicher Cyber Avengers-Angriffe auf die israelische Strom-, Wasser- und Brennstoffinfrastruktur.19 Tage zuvor behaupteten sie über Angriffe auf Israels nationale Wassersysteme, sie enthielten die Botschaft „Auge um Auge“. Die dem Korps der Islamischen Revolutionsgarde angegliederte Nachrichtenagentur Tasnim berichtete, dass die Gruppe die Angriffe auf die Wassersysteme als Vergeltung für die Belagerung des Gazastreifens bezeichnete. 20 Eine mit dem Ministerium für Nachrichtendienst und Sicherheit verbundene Gruppe, die wir als Pink Sandstorm nachverfolgten (auch bekannt als Agrius), führte Ende November einen Hack und ein Leck in einem israelischen Krankenhaus durch. Offenbar sollten sie ein Vergeltungsschlag sein für die tagelange Belagerung des al-Shifa-Krankenhauses in Gaza durch Israel zwei Wochen zuvor.21
Einschüchterung 
Irans Operationen dienen auch dazu, die Sicherheit Israels zu untergraben und die Bürger Israels und seine Anhänger einzuschüchtern. So verbreiten sie Drohbotschaften und überzeugen die Zielgruppen davon, dass die Infrastruktur und die Regierungssysteme ihres Staates unsicher sind. Einige der iranischen Einschüchterungsversuche scheinen darauf abzuzielen, die Bereitschaft Israels zur Fortsetzung des Krieges zu untergraben, z. B. mit der Verbreitung von Nachrichten, in denen IDF-Soldaten davon zu überzeugt werden sollen, „den Kriegsdienst zu beenden und nach Hause zurückkehren“ (Abbildung 10).22 Eine iranische Cyber-Persona, die sich möglicherweise als Hamas ausgibt, drohte damit, bedrohliche Textnachrichten an die Familien israelischer Soldaten zu senden. Sie fügte hinzu: „Die Soldaten der IDF (Israelische Verteidigungsstreitkräfte) sollten sich bewusst sein, dass solange unsere Familien nicht sicher sind, ihre Familien es auch nicht sein werden.“23 Sockenpuppen, die die Hamas-Persona unterstützten, verbreiteten auf X die Nachricht, dass die IDF „keine Macht hat, ihre eigenen Soldaten zu schützen". Sie wiesen Nutzerinnen und Nutzer auf eine Reihe von Nachrichten hin, die angeblich von IDF-Soldaten verfasst wurden mit der Bitte an die Hamas, ihre Familien zu verschonen.24
Drohnachricht von einer angeblich von Cotton Sandstorm betriebenen Sockenpuppe, die auf den Zugang zu persönlichen Daten hinweist und zur Beendigung des Kriegsdienstes auffordert.
Untergrabung der internationalen Unterstützung für Israel 
In seinen international ausgerichteten Desinformationskampagnen verwendete der Iran häufig Nachrichten, die auf eine Schwächung der internationalen Unterstützung für Israel abzielten. Er hob die Schäden hervor, die durch Israels Angriffe auf den Gazastreifen entstanden sind. Eine Persona, die sich als pro-palästinensische Gruppe ausgab, bezeichnete Israels Vorgehen in Gaza als „Völkermord“.25 Im Dezember führte Cotton Sandstorm unter den Namen „For Palestinians“ und „For Humanity“ mehrere Desinformationskampagnen durch, in denen die internationale Gemeinschaft aufgefordert wurde, die israelischen Angriffe auf Gaza zu verurteilen.26

Um seine Ziele im Informationsraum zu erreichen, hat sich der Iran in den letzten neun Monaten stark auf vier Taktiken, Techniken und Verfahren für seine Desinformationskampagnen verlassen. Dazu gehört der Einsatz von Identitätswechsel und verbesserten Fähigkeiten zur Aktivierung von Zielgruppen. Ein zunehmender Einsatz von SMS-Kampagnen und die Nutzung von Medien, die mit dem Korps der Islamischen Revolutionsgarde verbunden sind, sind geeignete Mittel, um die Einflussoperationen zu verstärken.

Verkörperung von israelischen Aktivistinnen- und Aktivistengruppen sowie iranischen Partnerinnen und Partnern 
Iranische Gruppen haben auf einer seit langem bestehenden Technik des Identitätsdiebstahls aufgebaut. Sie entwickelten spezifischere und überzeugendere Personas, die sich sowohl als Freunde als auch als Feinde des Iran ausgeben. Viele der früheren Operationen und Personas des Iran haben sich als pro-palästinensische Aktivistinnen und Aktivisten ausgegeben.27 Eine Persona, die unserer Einschätzung nach von Cotton Sandstorm geleitet wird, ist in ihren jüngste Operationen noch einen Schritt weiter gegangen. Sie verwendete den Namen und das Logo des militärischen Flügels der Hamas, der al-Qassam-Brigaden, um falsche Nachrichten über die in Gaza festgehaltenen Geiseln zu verbreiten und Drohbotschaften nach Israel zu schicken. Ein anderer Telegram-Kanal hat IDF-Angehörige bedroht und ihre persönlichen Daten weitergegeben. Unserer Einschätzung nach wurde er von einer MOIS-Gruppe (Ministerium für Nachrichtendienst und Sicherheit in Iran) betrieben und verwendete ebenfalls das Logo der al-Qassam-Brigaden. Es ist unklar, ob der Iran mit Zustimmung der Hamas handelt.

In ähnlicher Weise hat der Iran zunehmend überzeugende Identitätswechsel fiktiver israelischer Aktivistinnen- und Aktivistenorganisationen geschaffen, auf der rechten sowie auf der linken Seite des israelischen politischen Spektrums. Durch diese falschen Aktivistinnen und Aktivisten versucht der Iran, israelische Gemeinden zu infiltrieren, um ihr Vertrauen zu gewinnen und einen Konflikt zu schüren.

Israelis zum Handeln bewegen 
Im April und November gelang es dem Iran wiederholt, ahnungslose Israelis zu rekrutieren, die vor Ort für seine falschen Operationen warben. Berichten zufolge gelang es iranischen Agenten bei einer kürzlich durchgeführten Operation mit dem Titel „Tears of War“, Israelis davon zu überzeugen, in israelischen Stadtvierteln Banner mit dem Schriftzug „Tears of War“ aufzuhängen. Auf ihnen war ein scheinbar KI-generiertes Bild von Netanjahu abgebildet mit einer Forderung seiner Absetzung (siehe Abbildung 11).28
Verstärkung durch SMS und E-Mails mit zunehmender Häufigkeit und Raffinesse 
Die iranischen Desinformationskampagnen stützten sich nach wie vor stark auf eine koordinierte, gefälschte Erhöhung der Reichweite in den sozialen Medien, um die Zielgruppen zu erreichen. Dahingegen setzte der Iran zunehmend auf Massen-SMS und E-Mails, um die psychologische Wirkung seiner Cyberdesinformationskampagnen zu verstärken. Die Erhöhung der Reichweite in den sozialen Medien durch Sockenpuppen hat nicht dieselbe Wirkung wie eine Nachricht, die im eigenen Posteingang oder gar auf dem eigenen Handy auftaucht. Cotton Sandstorm knüpfte ab Anfang 2022 mit dieser Technik an frühere Erfolge an29 und versendete seit August in mindestens sechs Operationen SMS und/oder E-Mails in großen Mengen. Der verstärkte Einsatz dieser Technik deutet darauf hin, dass die Gruppe diese Fähigkeit verfeinert hat und sie als effektiv ansieht. Die „Cyber Flood“-Operation von Cotton Sandstorm Ende Oktober umfasste bis zu drei Gruppen von Massen-SMS und -E-Mails an Israelis. In ihnen wurden angebliche Cyberangriffe überspitzt oder falsche Warnungen vor Hamas-Angriffen auf Israels Nuklearanlage bei Dimona verbreitet.30 In mindestens einem Fall nutzten sie ein kompromittiertes Konto, um die Glaubwürdigkeit ihrer E-Mails zu verbessern.
Abbildung 11: „Tears of War“-Banner in Israel mit einem KI-generierten Bild von Netanjahu und dem Text „Impeachment now“.
Einsatz staatlicher Medien 
Um angebliche Cyberoperationen zu verstärken und ihre Effekte in einigen Fällen zu überspitzen, hat der Iran offene und verdeckte Medien genutzt, die mit dem Korps der Islamischen Revolutionsgarde verbunden sind. Dem Korps der Islamischen Revolutionsgarde verbundene Medien verstärkten und überspitzten ihre Behauptungen, nachdem die Cyber Avengers im September angegeben hatten, das israelische Eisenbahnsystem angegriffen zu haben. Die dem Korps der Islamischen Revolutionsgarde nahestehende Tasnim News Agency zitierte fälschlicherweise die israelische Berichterstattung über ein anderes Ereignis als Beweis dafür, dass der Cyberangriff stattgefunden hat.31 Diese Berichterstattung wurde von anderen iranischen und mit dem Iran verbündeten Nachrichtenagenturen so weiterverbreitet, dass sie das Fehlen von Beweisen für die Behauptungen über den Cyberangriff weiter verschleierte.32
Vermehrter Einsatz von KI für Desinformationskampagnen 
MTAC beobachtete, dass iranische Akteure seit dem Ausbruch des Krieges zwischen Israel und Hamas KI-generierte Bilder und Videos verwenden. Cotton Sandstorm und Storm-1364 sowie der Hisbollah und der Hamas nahestehende Nachrichtensender haben KI benutzt, um die Einschüchterung zu verstärken und Bilder zu entwickeln, die Netanjahu und die israelische Führung verunglimpfen.
Abbildung 12: Desinformationskampagnen von Cotton Sandstorm von August bis Dezember 2023, mit Darstellung verschiedener Methoden und Aktivitäten.
1. Zunehmende Zusammenarbeit 
Schon Wochen nach dem Kriegsbeginn zwischen Israel und Hamas gab es erste Beispiele für die Zusammenarbeit zwischen Gruppen, die mit dem Iran verbunden sind. Dies verbesserte gleichzeitig die Einflussmöglichkeiten der Akteure. Jede Gruppe kann ihre vorhandenen Fähigkeiten einbringen, sodass eine einzelne nicht mehr das gesamte Spektrum an Werkzeugen oder Fachwissen entwickeln muss. Eine Zusammenarbeit stellt für die Gruppen somit keine großen Einstiegshürden dar.

Wir gehen davon aus, dass zwei MOIS-zugehörige (Ministerium für Nachrichtendienst und Sicherheit in Iran) Gruppen, Storm-0861 und Storm-0842, Ende Oktober in Israel und Ende Dezember in Albanien an einer zerstörerischen Cyberattacke beteiligt waren. In beiden Fällen verschaffte sich Storm-0861 wahrscheinlich Zugriff zum Netzwerk, bevor Storm-0842 die Wiper-Malware ausgeführt hat. In ähnlicher Weise führte Storm-0842 im Juli 2022 Wiper-Malware in albanischen Regierungsstellen aus, nachdem sich Storm-0861 Zugriff verschafft hatte.

Storm-1084, eine andere MOIS-nahe Gruppe, hatte im Oktober möglicherweise auch Zugang zu einer Organisation in Israel, in der Storm-0842 den „BiBi“-Wiper einsetzte. Die Waffe ist nach der Zeichenfolge „BiBi“ benannt, die nach der Umbenennung der gelöschten Dateien durch die Malware erscheint. Es ist unklar, welche Rolle Storm-1084 bei dem zerstörerischen Angriff gespielt hat, falls die Gruppe daran beteiligt war. Storm-1084 führte Anfang 2023 zerstörerische Cyberangriffe gegen eine andere israelische Organisation durch. Es handelte sich um eine andere MOIS-zugehörige Gruppe namens Mango Sandstorm (auch bekannt als. MuddyWater).33

Seit dem Ausbruch des Krieges hat Microsoft Threat Intelligence auch eine Zusammenarbeit zwischen einer MOIS-verbundenen Gruppe, Pink Sandstorm, und Cyber-Einheiten der Hisbollah festgestellt. Microsoft hat Überschneidungen in der Infrastruktur und eine gemeinsame Nutzung von Tools festgestellt. Die iranische Zusammenarbeit mit der Hisbollah bei Cyberdesinformationskampagnen ist zwar nicht neu, doch stellt sie eine besorgniserregende Entwicklung dar. Der Krieg könnte diese Gruppen über nationale Grenzen hinweg operativ noch enger zusammenführen.34 Da alle iranischen Cyberangriffe in diesem Krieg mit Desinformationskampagnen kombiniert wurden, besteht die zusätzliche Wahrscheinlichkeit, dass der Iran seine Einflussoperationen und deren Reichweite verbessert. Indem er arabische Muttersprachler einsetzt, verbessert er die Authentizität seiner gefälschten Personas.

2. Israel im Fokus 
Der Fokus iranischer Cyber-Akteure auf Israel hat sich verstärkt. Der Iran konzentriert sich seit langem auf Israel – Teherans Hauptgegner neben den Vereinigten Staaten. Dementsprechend waren nach den Daten von Microsoft Threat Intelligence in den letzten Jahren israelische und US-amerikanische Unternehmen fast immer die häufigsten Ziele des Iran. Im Vorfeld des Krieges konzentrierten sich die iranischen Akteure vor allem auf Israel, gefolgt von den Vereinigten Arabischen Emiraten und den Vereinigten Staaten. Nach dem Ausbruch des Krieges hat sich dieser Fokus auf Israel verstärkt. 43 Prozent der von Microsoft verfolgten Cyberaktivitäten iranischer Nationalstaaten zielten auf Israel ab, mehr als auf die nächsten 14 Zielländer zusammen.
Prozentuale Aufschlüsselung der Mogult Threat Intelligence-Daten – nach Ländern, iranischen Zielpersonen vor dem Krieg und 75 Tage nach Kriegsbeginn

Wir gehen davon aus, dass die Bedrohung durch die iranischen Cyber- und Desinformationskampagnen zunehmen wird solange der Krieg andauert, insbesondere angesichts des steigenden Eskalationspotenzials an weiteren Fronten. In den ersten Tagen des Krieges haben iranische Gruppen noch Operationen im Eiltempo durchgeführt oder gar erfunden. Vor kurzem haben sie ihre Operationen jedoch verlangsamt, was ihnen mehr Zeit gibt, sich einen gewünschten Zugriff zu verschaffen oder aufwendigere Desinformationskampagnen zu entwickeln. Die in diesem Bericht beschriebenen Kriegsphasen verdeutlichen, dass die iranischen Cyber- und Beeinflussungsoperationen langsam fortschreiten und immer gezielter, kooperativer und destruktiver werden.

Auch iranische Akteure werden immer mutiger in ihren Angriffen, scheinbar ohne Sorge vor den Auswirkungen. Vor allem bei einem Cyberangriff auf ein Krankenhaus und dem Austesten von Washingtons Grenzen macht sich dieses Verhalten bemerkbar. Die Angriffe des Korps der Islamischen Revolutionsgarde auf US-Wasserkontrollsysteme waren zwar opportunistisch, jedoch handelte es sich offenbar um einen geschickten Trick. Um Washington auf die Probe zu stellen, behaupteten sie, es sei legitim, in Israel hergestellte Ausrüstung anzugreifen.

Im Vorfeld der US-Wahlen im November 2024 stellt die verstärkte Zusammenarbeit zwischen iranischen und mit dem Iran verbundenen Gruppen eine größere Herausforderung für die Wahlverteidiger dar. Verteidiger können sich nicht mehr damit zufrieden geben, einige wenige Gruppen zu verfolgen. Vielmehr sorgt eine wachsende Anzahl von Zugriffsagenten, Einflussgruppen und Cyber-Akteuren für ein komplexeres und verflochtenes Bedrohungsumfeld.

Weitere Erkenntnisse über von Expertinnen und Experten über Irans Einflussoperationen

Im Microsoft Threat Intelligence-Podcasterfahren Sie mehr über die Cyberdesinformationskampagnen des Iran. Der Schwerpunkt der Expertinnen und Experten liegt auf den Aktionen des Iran im Zusammenhang mit den Präsidentschaftswahlen 2020 in den USA und dem Krieg zwischen Israel und der Hamas. Die Diskussion befasst sich mit den Taktiken iranischer Akteure, z. B. Imitationen, Rekrutierung von Einheimischen und die Nutzung von E-Mail- und Textnachrichten zur Erhöhung der Reichweite. Außerdem werden die Komplexität der iranischen Cyberaktivitäten erläutert, ihre Zusammenarbeit und kreativen Taktiken, ihr Propagandakonsum sowie die Herausforderungen bei der Zuordnung von Desinformationskampagnen.

Verwandte Artikel

Russische Bedrohungsakteure wollen Kriegsmüdigkeit ausnutzen 

Die russischen Cyber- und Beeinflussungsoperationen gehen weiter, während der Krieg in der Ukraine andauert. Microsoft Threat Intelligence informiert über die neuesten Cyberbedrohungen und Beeinflussungsaktivitäten der letzten sechs Monate.

Iran setzt für größere Wirksamkeit auf Cyberdesinformationskampagnen

Microsoft Threat Intelligence hat zunehmende Cyberdesinformationskampagnen aus dem Iran aufgedeckt. Sehen Sie sich Erkenntnisse zu Bedrohungen mit Details neuer Techniken an, und finden Sie heraus, wo das Potenzial für künftige Bedrohungen liegt.

Die Cyber- und Desinformationskampagnen im Krieg auf dem digitalen Schlachtfeld der Ukraine

Microsoft Threat Intelligence untersucht ein Jahr Cyber- und Beeinflussungsaktivitäten in der Ukraine, deckt neue Trends bei Cyberbedrohungen auf und zeigt, womit im zweiten Jahr des Krieges zu rechnen ist.