Trace Id is missing

Iran lisää kyberavusteisia vaikuttamisoperaatioita Hamasin tukemiseksi

Lataa
Jaa

Johdanto

Kun Israelin ja Hamasin välinen sota puhkesi 7. lokakuuta 2023, Iran lisäsi välittömästi Hamasin tukea käyttämällä nyt jo hyvin hiottua tekniikkaansa, jossa yhdistetään kohdennettuja hakkerointeja ja sosiaalisessa mediassa vahvistettuja vaikuttamisoperaatioita, joita me kutsumme kyberavusteisiksi vaikuttamisoperaatioiksi.1 Iranin operaatiot olivat aluksi reaktiivisia ja opportunistisia. Lokakuun loppuun mennessä lähes kaikki Iranin vaikuttaminen ja merkittävät kybertoimijat keskittyivät Israeliin yhä kohdennetummin, koordinoidummin ja tuhoisammin, minkä vuoksi Israelia vastaan suunnattu kampanja vaikutti rajattomalta "kaikki peliin" -kampanjalta. Toisin kuin joissakin Iranin aiemmissa kyberhyökkäyksissä, kaikkia sen tuhoisia kyberhyökkäyksiä Israelia vastaan tässä sodassa (todellisia tai tekaistuja) täydennettiin kybervaikuttamisoperaatioilla.

Keskeisten termien määrittely

  • Kyberavusteiset vaikuttamisoperaatiot 
    Operaatiot, joissa yhdistetään hyökkääviä tietokoneverkko-operaatioita viestintään ja vahvistamiseen koordinoidulla ja manipuloivalla tavalla kohdeyleisöjen käsitysten, käyttäytymisen tai päätösten muuttamiseksi ryhmän tai kansakunnan etujen ja tavoitteiden edistämiseksi.
  • Kyberpersoona 
    Julkisuudessa esiintyvä teennäinen ryhmä tai henkilö, joka ottaa vastuun kyberoperaatiosta ja tarjoaa samalla uskottavan kiistettävyyden vastuussa olevalle ryhmälle tai valtiolle.
  • Käsinukke 
    Valheellinen verkkopersoona, joka käyttää fiktiivisiä tai varastettuja käyttäjätietoja petostarkoituksessa.

Vaikuttamisoperaatiot muuttuivat yhä hienostuneemmiksi ja epäaidommiksi, ja sodan edetessä käytettiin sosiaalisen median "käsinukke"-verkostoja. Koko sodan ajan näillä vaikuttamisoperaatioilla on pyritty pelottelemaan israelilaisia ja samalla kritisoimaan Israelin hallituksen panttivankien käsittelyä ja sotilasoperaatioita polarisoimiseksi ja lopulta Israelin horjuttamiseksi. hallituksen panttivankien käsittelyä ja sotilasoperaatioita polarisoimiseksi ja lopulta Israelin horjuttamiseksi.

Lopulta Iran käänsi kyberhyökkäyksensä ja vaikuttamisoperaationsa Israelin poliittisia liittolaisia ja talouskumppaneita vastaan heikentääkseen tukea Israelin sotilasoperaatioille.

Odotamme, että Iranin kyber- ja vaikuttamisoperaatioiden aiheuttama uhka kasvaa konfliktin jatkuessa, etenkin kun sodan laajenemisen mahdollisuus kasvaa. Iranilaisten ja Iraniin sidoksissa olevien toimijoiden lisääntynyt rohkeus ja niiden välinen laajeneva yhteistyö merkitsevät kasvavaa uhkaa ennen marraskuussa pidettäviä Yhdysvaltojen vaaleja.

Iranin kyber- ja vaikuttamisoperaatiot ovat edenneet useiden vaiheiden kautta 7. lokakuuta tapahtuneen Hamasin terrori-iskun jälkeen. Yksi operaatioiden osatekijä on pysynyt koko ajan vakiona: opportunistisen kyberkohdistamisen yhdistäminen vaikuttamisoperaatioihin, jotka usein johtavat harhaan vaikutuksen tarkkuuden tai laajuuden suhteen.

Tässä raportissa keskitytään Iranin vaikuttamistoimiin ja kyberavusteisiin vaikuttamisoperaatioihin 7. lokakuuta ja vuoden 2023 lopun välisenä aikana, mutta siinä käsitellään myös suuntauksia ja operaatioita vuoden 2023 keväästä lähtien.

Kaavio, jossa kuvataan Iranin kyberavusteisten vaikuttamisoperaatioiden vaiheet Israelin ja Hamasin välisessä sodassa

Vaihe 1: Reaktiivinen ja harhaanjohtava

Iranilaiset ryhmät reagoivat Israelin ja Hamasin välisen sodan alkuvaiheessa. Iranin valtion tiedotusvälineet antoivat harhaanjohtavia tietoja väitetyistä kyberhyökkäyksistä, ja iranilaisryhmät käyttivät uudelleen vanhentunutta materiaalia aiemmista operaatioista, käyttivät uudelleen pääsyä, joka heillä oli ennen sotaa, ja liioittelivat väitettyjen kyberhyökkäysten kokonaislaajuutta ja -vaikutusta.

Lähes neljä kuukautta sodan alkamisen jälkeen Microsoft ei ole vieläkään nähnyt tiedoissaan selkeitä todisteita siitä, että iranilaiset ryhmät olisivat koordinoineet kyber- tai vaikuttamisoperaatioita Hamasin suunnitelmien kanssa hyökätä Israeliin 7. lokakuuta. Pikemminkin tietojemme ja havaintojemme enemmistö viittaa siihen, että iranilaiset kybertoimijat toimivat reaktiivisesti ja lisäsivät nopeasti kyber- ja vaikuttamisoperaatioitaan Hamasin iskujen jälkeen vastustaakseen Israelia.

Harhaanjohtavia yksityiskohtia väitetyistä hyökkäyksistä valtion tiedotusvälineiden kautta: 
Sodan syttymispäivänä Tasnim-uutistoimisto, Islamic Revolutionary Guard Corpsin (IRGC) alainen iranilainen uutistoimisto, väitti virheellisesti, että "Cyber Avengers" -niminen ryhmä teki kyberhyökkäyksiä israelilaista voimalaitosta vastaan "samaan aikaan" Hamasin hyökkäysten kanssa. 2 Cyber Avengers, IRGC:n johtama kyberpersoona, väitti itse asiassa tehneensä kyberhyökkäyksen israelilaista sähköyhtiötä vastaan Hamasin hyökkäystä edeltävänä iltana.3 Heidän todisteensa: viikkoja vanhat lehtitiedotukset sähkökatkoista "viime vuosina" ja kuvakaappaus päiväämättömästä palveluhäiriöstä yhtiön verkkosivustolla. 4
Vanhan materiaalin käyttäminen uudelleen: 
Hamasin Israeliin tekemien hyökkäysten jälkeen Cyber Avengers väitti tekevänsä useita kyberhyökkäyksiä Israelia vastaan. Niistä varhaisimmat tutkimuksemme paljastivat valheellisiksi. Lokakuun 8. päivänä he väittivät vuotaneensa asiakirjoja israelilaisesta voimalaitoksesta, vaikka asiakirjat oli julkaissut aiemmin kesäkuussa 2022 toinen IRGC:n johtama kyberpersoona "Moses Staff".5
Pääsyn uudelleenkäyttö: 
Toinen kyberpersoona "Malek Team", jonka arvioimme olevan Iranin tiedustelu- ja turvallisuusministeriön (MOIS) hallinnoima, vuoti 8. lokakuuta henkilötietoja israelilaisesta yliopistosta ilman selkeää yhteyttä siellä puhkeamassa olevaan konfliktiin, mikä viittaa siihen, että kohde oli opportunistinen ja valittiin kenties ennen sodan puhkeamista olemassa olleen pääsyn perusteella. Sen sijaan, että Malek Team olisi luonut yhteyksiä vuotaneiden tietojen ja Hamasin operaatioiden tukemisen välille, se käytti aluksi X:ssä (aiemmin Twitter) aihetunnisteita Hamasin tukemiseen, ja vain päiviä myöhemmin se muutti viestejään samantyyppisiksi kuin Israelin pääministeriä Benjamin Netanjahua mustamaalaavat viestit, joita on nähty muissa Iranin vaikuttamisoperaatioissa.
Iranin propagandan maailmanlaajuinen kulutus aikajanalla ja liikenteen osuudella havainnollistettuna
Kuva 2: Microsoft Threat Intelligence – Iranin propagandan kulutus maittain, Hamas hyökkää Israeliin. Kaavio, joka kuvaa toimintaa huhtikuusta joulukuuhun 2023.
Iranin vaikuttamisoperaatiot olivat tehokkaimpia sodan alkuvaiheessa 
Iranin valtioon liittyvien tiedotusvälineiden vaikutusvalta kasvoi Israelin ja Hamasin välisen sodan puhjettua. Konfliktin ensimmäisellä viikolla havaitsimme 42 prosentin nousun Microsoft AI for Good Labin Iranian Propaganda -indeksissä, jolla seurataan Iranin valtiollisten ja valtioon sidoksissa olevien uutisvälineiden kulutusta (katso kuva 1). Indeksillä mitataan näillä sivustoilla käyvän liikenteen osuutta internetin kokonaisliikenteestä. Kasvu oli erityisen voimakasta englanninkielisissä maissa, jotka ovat läheisiä liittolaisia Yhdysvaltojen kanssa (kuva 2), mikä korostaa Iranin kykyä tavoittaa länsimainen yleisö Lähi-idän konflikteja koskevalla raportoinnillaan. Kuukauden kuluttua sodan alkamisesta näiden iranilaisten lähteiden tavoittavuus oli maailmanlaajuisesti 28-29 prosenttia suurempi kuin ennen sotaa.
Iranin vaikutusvalta ilman kyberhyökkäyksiä osoittaa ketteryyttä 
Iranin vaikuttamisoperaatiot vaikuttivat ketterämmiltä ja tehokkaammilta sodan alkuvaiheessa kuin sen yhdistetyt kyber- ja vaikuttamisoperaatiot myöhemmin konfliktin aikana. Muutaman päivän kuluessa Hamasin Israeliin kohdistuneesta hyökkäyksestä todennäköinen Iranin valtiollinen toimija, jota seuraamme nimellä Storm-1364, käynnisti vaikuttamisoperaation käyttäen "Tears of War" -nimistä verkkopersoonaa, joka tekeytyi israelilaisiksi aktivisteiksi levittääkseen Netanjahun vastaisia viestejä israelilaisille yleisöille useilla sosiaalisen median ja viestinnän alustoilla. Nopeus, jolla Storm-1364 käynnisti tämän kampanjan lokakuun 7. päivän iskujen jälkeen, korostaa tämän ryhmän ketteryyttä ja viittaa pelkän vaikuttamisen avulla toteutettavien kampanjoiden etuihin, sillä ne voivat muodostaa nopeammin, koska niiden ei tarvitse odottaa kyberavusteisen vaikuttamisoperaation kybertoimintaa.

Vaihe 2: Kaikki peliin

Lokakuun puolivälin ja lokakuun lopun välisenä aikana yhä useammat iranilaisryhmät siirsivät huomionsa Israeliin, ja Iranin kyberavusteiset vaikuttamisoperaatiot muuttuivat suurelta osin reaktiivisista, keksityistä tai molemmista tuhoisiksi kyberhyökkäyksiksi ja kiinnostavien kohteiden kehittämiseksi operaatioita varten. Näihin hyökkäyksiin sisältyi tietojen poistamista, kiristysohjelmia ja ilmeisesti esineiden internetin (IoT) laitteen säätämistä.6 Näimme myös todisteita lisääntyneestä koordinoinnista iranilaisten ryhmien välillä.

Sodan ensimmäisellä viikolla Microsoft Threat Intelligence jäljitti yhdeksän iranilaista ryhmää, jotka olivat aktiivisia Israeliin kohdistuvissa hyökkäyksissä. Määrä kasvoi 14 ryhmään 15. päivään mennessä. Joissakin tapauksissa havaitsimme useiden IRGC:n tai MOIS:n ryhmien ottavan kohteekseen saman organisaation tai sotilastukikohdan kyber- tai vaikuttamistoiminnan avulla, mikä viittaa koordinointiin, Teheranissa asetettuihin yhteisiin tavoitteisiin tai molempiin.

Kyberavusteiset vaikuttamisoperaatiot lisääntyivät myös voimakkaasti. Havaitsimme sodan ensimmäisellä viikolla neljä hätäisesti toteutettua Israeliin kohdistunutta kyberavusteista vaikuttamisoperaatiota. Lokakuun loppuun mennessä tällaisten operaatioiden määrä yli kaksinkertaistui, mikä tarkoittaa näiden operaatioiden merkittävää kiihtymistä ja ylivoimaisesti nopeinta vauhtia tähän mennessä (katso kuva 4).

Kuvitus: Iranin kyber- ja vaikuttamisyhdistelmä, jossa ovat mukana symbolit, uhkatietämys ja vallankumouskaarti
Iranin kybervaikuttamisoperaatioiden aikajana: Nousu Kamasin sodan aikana, 2021-2023

Lokakuun 18. päivänä IRGC:n Shahid Kaveh -ryhmä, jota Microsoft jäljittää nimellä Storm-0784, käytti mukautettua kiristysohjelmaa tehdäkseen kyberhyökkäyksiä Israelin turvakameroita vastaan. Sitten se käytti yhtä kyberpersoonaa, "Soldiers of Solomonia", väittäessään valheellisesti, että se oli anastanut Nevatimin ilmavoimien tukikohdan turvakameroita ja tietoja. Soldiers of Solomonin vuotaman turvakamerakuvan tarkastelu paljastaa, että se on peräisin Tel Avivin pohjoispuolella sijaitsevasta kaupungista, jossa on Nevatim-katu, ei samannimisestä lentotukikohdasta. Itse asiassa uhrien sijainnin analyysi osoittaa, että yksikään uhri ei ollut lähellä sotilastukikohtaa (katso kuva 5). Vaikka iranilaisryhmät olivat aloittaneet tuhoisat iskut, niiden operaatiot olivat suurelta osin opportunistisia, ja ne käyttivät edelleen vaikuttamistoimia liioittelemaan iskujen tarkkuutta tai vaikutusta.

Lokakuun 21. päivänä toinen IRGC:n Cotton Sandstorm -ryhmän (joka tunnetaan yleisesti nimellä Emennet Pasargad) johtama kyberpersoona jakoi videon, jossa hyökkääjät turmelevat synagogien digitaalisia näyttöjä viesteillä, joissa Israelin Gazan-operaatioihin viitataan "kansanmurhana". 7 Tämä merkitsi menetelmää, jolla viestit voidaan upottaa suoraan kyberhyökkäyksiin, jotka kohdistuvat suhteellisen pehmeään kohteeseen.

Tässä vaiheessa Iranin vaikuttamistoiminnassa käytettiin laajempia ja kehittyneempiä epäaidon vahvistamisen muotoja. Sodan kahden ensimmäisen viikon aikana havaitsimme vain minimaalisen vähän epäaidon vahvistamisen kehittyneitä muotoja, mikä taas viittaa siihen, että operaatiot olivat reaktiivisia. Sodan kolmannella viikolla Iranin tuotteliain vaikuttajataho, Cotton Sandstorm, astui kuvaan ja käynnisti 21. lokakuuta kolme kyberavusteista vaikuttamisoperaatiota. Kuten ryhmältä usein nähdään, he käyttivät sosiaalisen median käsinukke-verkostoa operaatioiden vahvistamiseen, vaikka monet niistä näyttivätkin olevan hätäisesti uudelleenkäytettyjä ilman aitoja peitteitä, jotka naamioivat heidät israelilaisiksi. Cotton Sandstorm lähetti useaan otteeseen massatekstiviestejä tai -sähköpostiviestejä vahvistaakseen toimintaansa tai kehuskellakseen sillä, ja käytti vaarannettuja tilejä autenttisuuden lisäämiseksi.8

Iranin kyberhyökkäystä koskevat väitteet kumottu: Epäaitoja kiristysohjelmia ja valvontakameramateriaalia, harhaanjohtavia vaikuttamisoperaatioita paljastuu

Vaihe 3: Maantieteellisen kattavuuden laajentaminen

Marraskuun lopusta lähtien iranilaisryhmät laajensivat kyberavusteista vaikuttamistaan Israelin ulkopuolelle ja sisällyttivät siihen maita, joiden Iran katsoo auttavan Israelia, mikä hyvin todennäköisesti heikentää kansainvälistä poliittista, sotilaallista tai taloudellista tukea Israelin sotilasoperaatioille. Kohteiden laajeneminen tapahtui samaan aikaan, kun Iranin tukema Jemenin shiiamuslimien taistelijaryhmä Huthit alkoi hyökätä Israeliin yhteydessä oleviin kansainvälisiin laivoihin (katso kuva 8).9

  • Marraskuun 20. päivänä Iranin johtama kyberpersoona "Homeland Justice" varoitti merkittävistä tulevista hyökkäyksistä Albaniaa vastaan ennen kuin se vahvisti MOIS-ryhmien tuhoisat kyberhyökkäykset Albanian parlamenttia, kansallista lentoyhtiötä ja televiestintäpalvelujen tarjoajia vastaan joulukuun lopulla.10
  • Marraskuun 21. päivänä Cotton Sandstormin johtama kyberpersoona "Al-Toufan" otti kohteekseen Bahrainin hallituksen ja talousorganisaatiot, koska ne olivat normalisoineet suhteensa Israeliin.
  • Marraskuun 22. päivään mennessä IRGC:hen yhteydessä olevat ryhmät ottivat kohteekseen israelilaisvalmisteisia ohjelmoitavia logiikkaohjaimia (PLC) Yhdysvalloissa ja mahdollisesti Irlannissa, ja muun muassa yksi PLC kytkettiin pois päältä Pennsylvaniassa sijaitsevassa vesilaitoksessa 25. marraskuuta (kuva 6).11 PLC:t ovat teollisuustietokoneita, jotka on suunniteltu tuotantoprosessien, kuten kokoonpanolinjojen, koneiden ja robottilaitteiden ohjaamiseen.
  • Joulukuun alussa persoona, jonka MTAC arvioi olevan Iranin tukema, "Cyber Toufan Al-Aksa", väitti vuotavansa tietoja parista amerikkalaisesta yrityksestä, jotka tukevat taloudellisesti Israelia ja toimittavat laitteita sen armeijalle.12 Hän väitti aiemmin 16. marraskuuta tehneensä poistohyökkäyksiä yritysten tietoihin.13 Koska ei ole olemassa vahvoja tutkimustodisteita, jotka yhdistäisivät ryhmän Iraniin, on mahdollista, että persoonaa pyörittää Iranin ulkopuolella oleva iranilainen kumppani, johon Iran vaikuttaa.
Pennsylvanian vesilaitoksen turmeltu PLC ja Cyber Avengers -logo, 25. marraskuuta

Myös Iranin kyberavusteiset vaikuttamisoperaatiot kehittyivät edelleen tässä viimeisimmässä vaiheessa. He naamioivat käsinukkensa paremmin nimeämällä joitakin uudelleen ja muuttamalla niiden profiilikuvia näyttääkseen aidommin israelilaisilta. Samalla he käyttivät uusia tekniikoita, joita emme ole nähneet iranilaisilta toimijoilta, mukaan lukien tekoälyn käyttäminen keskeisenä osana viestintää. Arvioimme, että Cotton Sandstorm häiritsi suoratoistotelevisiopalveluja Yhdistyneissä arabiemiirikunnissa ja muualla joulukuussa "For Humanity" -nimisen persoonan varjolla. For Humanity julkaisi Telegramissa videoita, joissa ryhmä hakkeroi kolmeen suoratoistopalveluun ja häiritsi useita uutiskanavia väärennetyllä uutislähetyksellä, jossa tekoälyn luoma ankkuri väitti näyttävänsä kuvia Israelin sotilasoperaatioissa loukkaantuneista ja kuolleista palestiinalaisista (kuva 7).14 Arabiemiirikunnissa, Kanadassa ja Yhdistyneessä kuningaskunnassa toimivat uutistoimistot ja katsojat raportoivat For Humanityn väitteitä vastaavista häiriöistä suoratoistotelevisio-ohjelmissa, muun muassa BBC:ssä.15

HUMANITY 2023: 8. lokakuuta, 180 kuollut, 347 haavoittunut. Kuva 7: Suoratoistotelevision häirintä tekoälyn luoman lähetyksen avulla
Iran laajentaa Israelin tukijoihin kohdistuvia kyberhyökkäyksiä, varoituksia ja vääristämistoimia.

Iranin operaatioilla oli neljä laajaa tavoitetta: epävakauttaminen, kosto, pelottelu ja Iranin kansainvälisen tuen heikentäminen. Kaikilla näillä neljällä tavoitteella pyritään myös heikentämään Israelin ja sen kannattajien tietoympäristöjä yleisen hämmennyksen ja luottamuksen puutteen luomiseksi.

Epävakauttaminen polarisaation avulla 
Iran on Israelin ja Hamasin välisen sodan aikana kohdistanut hyökkäyksensä Israeliin ja keskittynyt yhä enemmän lietsomaan sisäistä konfliktia, joka koskee Israelin hallituksen lähestymistapaa sotaan. Useat iranilaiset vaikuttamisoperaatiot ovat esiintyneet israelilaisina aktivistiryhminä ja levittäneet kiihottavia viestejä, joissa kritisoidaan hallituksen suhtautumista 7. lokakuuta siepattuihin ja panttivangeiksi otettuihin henkilöihin.17 Netanjahu on ollut tällaisten viestien ensisijainen kohde, ja kehotukset hänen syrjäyttämisekseen olivat yleinen teema Iranin vaikuttamisoperaatioissa.18
AVENGERS - Ei sähköä, ruokaa, vettä, polttoainetta. Cyber Avengers julkaisi uudelleen videon Israelin saarrosta
Kosto 
Suuri osa Iranin viestinnästä ja kohteiden valinnasta korostaa sen operaatioiden kostotoiminnan luonnetta. Esimerkiksi asianmukaisesti nimetty Cyber Avengers -persoona julkaisi videon, jossa Israelin puolustusministeri totesi, että Israel katkaisee Gazan kaupungin sähkön, ruoan, veden ja polttoaineen (katso kuva 9), minkä jälkeen väitetään, että Cyber Avengers teki useita hyökkäyksiä Israelin sähkö-, vesi- ja polttoaineinfrastruktuuria vastaan.19 Aiemmat väitteet hyökkäyksistä Israelin kansallisia vesijärjestelmiä vastaan sisälsivät päivää aiemmin viestin "silmä silmästä", ja IRGC:hen kuuluva Tasnim-uutistoimisto kertoi ryhmän sanoneen, että hyökkäykset vesijärjestelmiä vastaan olivat kosto Gazan piirityksestä.20 MOIS:iin liittyvä ryhmä, jota seuraamme nimellä Pink Sandstorm (tunnetaan myös nimellä Agrius), teki marraskuun lopulla israelilaiseen sairaalaan kohdistuneen hakkeroinnin ja vuodon, joka näytti olevan kosto Israelin kaksi viikkoa aiemmin suorittamasta Gazassa sijaitsevan al-Shifa-sairaalan päiviä kestäneestä piirityksestä.21
Pelottelu 
Iranin operaatioiden tarkoituksena on myös heikentää Israelin turvallisuutta ja pelotella Israelin kansalaisia ja sen kannattajia lähettämällä uhkaavia viestejä ja vakuuttamalla kohdeyleisöt siitä, että heidän valtionsa infrastruktuuri ja hallintojärjestelmät ovat turvattomia. Osa Iranin pelottelusta näyttää pyrkivän heikentämään Israelin halukkuutta jatkaa sotaa, kuten viestit, joilla yritetään vakuuttaa IDF:n sotilaat siitä, että heidän pitäisi "jättää sota ja palata kotiin" (kuva 10).22 Eräs iranilainen kyberpersoona, joka saattaa esiintyä Hamasina, väitti lähettävänsä uhkaavia tekstiviestejä israelilaissotilaiden perheille ja lisäsi: "IDF:n [Israelin puolustusvoimien] sotilaiden tulisi olla tietoisia siitä, että kunnes meidän perheemme eivät ole turvassa, eivät heidän perheensä ole myöskään turvassa."23 Hamas-persoonaa vahvistavat käsinuket levittivät X:ssä viestejä, joiden mukaan IDF:llä "ei ole mitään valtaa suojella omia sotilaitaan", ja osoittivat katsojille sarjan viestejä, joita IDF:n sotilaiden väitettiin lähettäneen ja joissa Hamasia pyydettiin säästämään heidän perheensä.24
Oletetun Cotton Sandstormin johtaman käsinuken uhkaava viesti, jossa viitataan pääsyyn henkilökohtaisiin tietoihin ja kehotetaan lähtemään sodasta.
Israelin kansainvälisen tuen heikentäminen 
Iranin kansainvälisille yleisöille suunnattuihin vaikuttamisoperaatioihin sisältyi usein viestejä, joilla pyrittiin heikentämään kansainvälistä tukea Israelille korostamalla Israelin Gazaan tekemien hyökkäysten aiheuttamia vahinkoja. Palestiinalaismyönteiseksi ryhmäksi naamioitunut persoona kutsui Israelin toimia Gazassa "kansanmurhaksi".25 Joulukuussa Cotton Sandstorm toteutti useita vaikuttamisoperaatioita (nimillä "For Palestinians" ja "For Humanity"), joissa kehotettiin kansainvälistä yhteisöä tuomitsemaan Israelin hyökkäykset Gazaan.26

Saavuttaakseen tavoitteensa informaatioavaruudessa Iran on viimeisten yhdeksän kuukauden aikana tukeutunut vahvasti neljään vaikuttamistaktiikkaan, -tekniikkaan ja -menettelyyn (TTP). Näitä ovat muun muassa tekeytyminen ja parannetut kyvyt kohdeyleisöjen aktivoimiseksi sekä tekstiviestikampanjoiden lisääntyvä käyttö ja IRGC:hen sidoksissa olevien tiedotusvälineiden käyttö vaikuttamisoperaatioiden vahvistamiseksi.

Tekeytyminen Israelin aktivistiryhmiksi ja iranilaisiksi kumppaneiksi 
Iranilaisryhmät ovat kehittäneet pitkäaikaisen tekeytymistekniikan pohjalta entistä tarkempia ja vakuuttavampia persoonia, jotka esiintyvät sekä Iranin ystävinä että vihollisina. Monet Iranin aiemmista operaatioista ja persoonista ovat väittäneet olevansa palestiinalaisten asiaa puolustavia aktivisteja.27 Viimeaikaiset operaatiot, joita on toteuttanut Cotton Sandstormin johtama persoona, ovat menneet vielä pidemmälle: niissä on käytetty Hamasin sotilassiiven, al-Qassam-joukkojen, nimeä ja logoa Gazassa pidettäviä panttivankeja koskevien valheellisten viestien levittämiseen ja israelilaisten uhkaavien viestien lähettämiseen. Toinen Telegram-kanava, joka on uhkaillut IDF:n henkilöstöä ja vuotanut heidän henkilökohtaisia tietojaan ja jota arviomme mukaan pyöritti MOIS-ryhmä, käytti myös al-Qassam-joukkojen logoa. On epäselvää, toimiiko Iran Hamasin suostumuksella.

Vastaavasti Iran on luonut yhä vakuuttavampia imitaatioita Israelin poliittisen spektrin oikealla ja vasemmalla puolella toimivista kuvitteellisista israelilaisista aktivistijärjestöistä. Näiden tekaistujen aktivistien avulla Iran pyrkii soluttautumaan israelilaisiin yhteisöihin saadakseen niiden luottamuksen ja kylvääkseen eripuraa.

Israelilaisten aktivoiminen toimintaan 
Huhti- ja marraskuussa Iran osoitti toistuvasti onnistuneensa värväämään tietämättömiä israelilaisia osallistumaan kenttätoimintaan, jolla edistetään sen valeoperaatioita. Eräässä viimeaikaisessa operaatiossa, "Tears of War", iranilaiset toimijat onnistuivat tiettävästi vakuuttamaan israelilaiset ripustamaan Israelin asuinalueille Tears of War -brändättyjä banderolleja, joissa oli näennäisesti tekoälyn luoma kuva Netanjahusta ja joissa vaadittiin hänen erottamistaan virasta (katso kuva 11).28
Tekstin ja sähköpostin välityksellä tapahtuva vahvistaminen yhä useammin ja hienostuneemmin 
Vaikka Iranin vaikuttamisoperaatiot tukeutuvat edelleen vahvasti koordinoituun epäaitoon sosiaalisen median vahvistamiseen kohdeyleisöjen tavoittamiseksi, Iran on käyttänyt yhä enemmän massatekstiviestejä ja -sähköpostiviestejä tehostaakseen kyberavusteisten vaikuttamisoperaatioidensa psykologisia vaikutuksia. Sosiaalisessa mediassa käsinukkejen avulla tapahtuvalla vahvistamisella ei ole samanlaista vaikutusta kuin viestillä, joka ilmestyy henkilön sähköpostiin, puhumattakaan puhelimesta. Cotton Sandstorm jatkoi aiempaa menestystään käyttämällä tätä tekniikkaa vuodesta 2022 alkaen,29 lähettämällä massatekstiviestejä, -sähköposteja tai molempia ainakin kuudessa operaatiossa elokuun jälkeen. Tämän tekniikan lisääntynyt käyttö viittaa siihen, että ryhmä on hionut tätä kykyä ja pitää sitä tehokkaana. Cotton Sandstormin "Cyber Flood" -operaatioon lokakuun lopulla kuului jopa kolme sarjaa israelilaisille lähetettyjä massatekstiviestejä ja -sähköpostiviestejä, joissa vahvistettiin väitettyjä kyberhyökkäyksiä tai levitettiin vääriä varoituksia Hamasin iskuista Israelin Dimonan lähellä sijaitsevaa ydinvoimalaa vastaan.30 Ainakin yhdessä tapauksessa he käyttivät hyväksi vaarannettua tiliä sähköpostiviestiensä aitouden parantamiseksi.
Kuva 11: Tears of War -banderolli Israelissa, jossa on tekoälyn luoma kuva Netanjahusta ja teksti "impeachment now".
Valtion median hyödyntäminen 
Iran on käyttänyt IRGC:hen kytköksissä olevia avoimia ja salaisia tiedotusvälineitä vahvistaakseen väitettyjä kyberoperaatioita ja toisinaan liioittelemaan niiden vaikutuksia. Syyskuussa, kun Cyber Avengers väitti tehneensä kyberhyökkäyksiä Israelin rautatiejärjestelmää vastaan, IRGC:hen kytköksissä olevat tiedotusvälineet vahvistivat ja liioittelivat heidän väitteitään lähes välittömästi. IRGC:hen sidoksissa oleva Tasnim-uutistoimisto siteerasi virheellisesti israelilaisia uutislähetyksiä eri tapahtumasta todisteena siitä, että kyberhyökkäys oli tapahtunut.31 Muut Iranin ja Iranin liittolaisten tiedotusvälineet vahvistivat tätä raportointia tavalla, joka peitti entisestään kyberhyökkäystä tukevien todisteiden puutetta.32
Lisääntyvä tekoälyn käyttöönotto vaikuttamisoperaatioissa 
MTAC on havainnut iranilaisten toimijoiden käyttävän tekoälyn tuottamia kuvia ja videoita Israelin ja Hamasin välisen sodan puhkeamisesta lähtien. Cotton Sandstorm ja Storm-1364 sekä Hizbollahiin ja Hamasiin kytköksissä olevat uutistoimistot ovat hyödyntäneet tekoälyä pelottelun tehostamiseksi sekä Netanjahua ja Israelin johtoa mustamaalaavien mielikuvien kehittämiseksi.
Kuva 12: Cotton Sandstormin vaikuttamisoperaatiot elo-joulukuu 2023, esitetään erilaisia menetelmiä ja toimintoja.
1. Kasvava yhteistyö 
Viikkoja Israelin ja Hamasin välisen sodan jälkeen aloimme nähdä esimerkkejä Iraniin yhteydessä olevien ryhmien välisestä yhteistyöstä, mikä lisäsi toimijoiden mahdollisuuksia. Yhteistyö alentaa pääsyn kynnystä, jolloin kukin ryhmä voi käyttää jo olemassa olevia valmiuksiaan ja yhden ryhmän ei tarvitse kehittää kaikkia työkaluja tai toimintatapoja.

Arvioimme, että kaksi MOIS:iin yhteydessä olevaa ryhmää, Storm-0861 ja Storm-0842, tekivät yhteistyössä tuhoisan kyberhyökkäyksen Israelissa lokakuun lopulla ja uudelleen Albaniassa joulukuun lopulla. Molemmissa tapauksissa Storm-0861 tarjosi todennäköisesti pääsyn verkkoon ennen kuin Storm-0842 suoritti pyyhkimishaittaohjelman. Vastaavasti Storm-0842 suoritti pyyhkimishaittaohjelman Albanian hallituksen yksiköissä heinäkuussa 2022 sen jälkeen, kun Storm-0861 oli päässyt järjestelmään käsiksi.

Lokakuussa toinen MOIS:iin liittyvä ryhmä, Storm-1084, saattoi myös päästä israelilaiseen organisaatioon, jossa Storm-0842 otti käyttöön "BiBi"-pyyhkimen, joka sai nimensä siitä, että haittaohjelma nimesi pyyhityt tiedostot uudelleen merkkijonolla "BiBi". Ei ole selvää, mikä rooli Storm-1084:llä oli tuhoisassa hyökkäyksessä. Storm-1084 teki tuhoisia kyberhyökkäyksiä toista israelilaista organisaatiota vastaan alkuvuodesta 2023, ja sen mahdollisti toinen MOIS:iin liittyvä ryhmä Mango Sandstorm (tunnetaan myös nimellä MuddyWater).33

Sodan puhkeamisen jälkeen Microsoft Threat Intelligence on myös havainnut yhteistyötä MOIS:iin liittyvän Pink Sandstorm -ryhmän ja Hizbollahin kyberyksiköiden välillä. Microsoft on havainnut infrastruktuurin päällekkäisyyksiä ja yhteisiä työkaluja. Iranin yhteistyö Hizbollahin kanssa kyberoperaatioissa ei ole ennennäkemätöntä, mutta se on huolestuttava kehityssuuntaus, sillä sota saattaa vetää nämä ryhmät yli kansallisuusrajojen entistä lähemmäs toisiaan operatiivisesti.34 Koska Iranin kyberhyökkäykset tässä sodassa on kaikki yhdistetty vaikuttamisoperaatioihin, on lisäksi todennäköistä, että Iran parantaa vaikuttamisoperaatioitaan ja niiden ulottuvuutta hyödyntämällä äidinkielenään arabiaa puhuvia parantamaan epäaitojen persoonien aitoutta.

2. Hyperkeskittyminen Israeliin 
Iranin kybertoimijoiden keskittyminen Israeliin voimistui. Iran on jo pitkään keskittynyt Israeliin, jota Teheran pitää Yhdysvaltojen ohella tärkeimpänä vastustajanaan. Microsoft Threat Intelligencen tietojen perusteella israelilaiset ja yhdysvaltalaiset yritykset ovatkin viime vuosina olleet lähes aina Iranin yleisimpiä hyökkäyskohteita. Ennen sotaa iranilaiset toimijat keskittyivät eniten Israeliin, sitten Yhdistyneisiin arabiemiirikuntiin ja Yhdysvaltoihin. Sodan puhjettua tämä Israeliin kohdistuva huomio kasvoi entisestään. Neljäkymmentäkolme prosenttia Microsoftissa seuratusta Iranin kybertoiminnasta kohdistui Israeliin, mikä on enemmän kuin seuraavien 14 kohdemaan osuus yhteensä.
Mogult Threat Intelligence -tietojen prosentuaalinen jakautuminen maittain ja iranilaisiin kohteisiin ennen sotaa ja 75 päivää sodan jälkeen

Odotamme, että Iranin kyber- ja vaikuttamisoperaatioiden aiheuttama uhka kasvaa Israelin ja Hamasin välisen konfliktin jatkuessa, erityisesti kun eskaloitumismahdollisuudet uusilla rintamilla lisääntyvät. Iranilaisryhmät kiirehtivät sodan alkuaikoina toteuttamaan tai yksinkertaisesti keksimään operaatioita, mutta viimeaikaiset Iranin ryhmät ovat hidastaneet operaatioitaan, mikä antaa niille enemmän aikaa hankkia halutut pääsyt tai kehittää kehittyneempiä vaikuttamisoperaatioita. Tässä raportissa hahmotellut sodan vaiheet tekevät selväksi sen, että Iranin kyber- ja vaikuttamisoperaatiot ovat hitaasti edenneet ja muuttuneet entistä kohdennetummiksi, yhteistoiminnallisemmiksi ja tuhoisammiksi.

Iranilaiset toimijat ovat myös yhä rohkeammin kohdistaneet hyökkäyksiä, joista merkittävimpänä mainittakoon kyberhyökkäys sairaalaa vastaan, ja Washingtonin rajojen testaaminen näennäisesti välittämättä seurauksista. IRGC:n hyökkäykset yhdysvaltalaisia vedenhalintajärjestelmiä vastaan, vaikka ne olivatkin opportunistisia, olivat ilmeisesti ovela temppu testata Washingtonia väittämällä, että Israelissa valmistettuihin laitteisiin hyökkääminen on oikeutettua.

Marraskuussa 2024 pidettävien Yhdysvaltojen vaalien alla iranilaisten ja Iraniin sidoksissa olevien ryhmien lisääntynyt yhteistyö merkitsee suurempaa haastetta vaalien puolustamiseen osallistuville tahoille. Puolustajat eivät voi enää lohduttautua muutaman ryhmän jäljittämisellä. Pikemminkin pääsyagenttien, vaikuttajaryhmien ja kybertoimijoiden kasvava määrä tekee uhkaympäristöstä entistä monimutkaisemman ja kietoutuneemman.

Lisää asiantuntijoiden näkemyksiä Iranin vaikuttamisoperaatioista

Asiantuntijat kertovat lisää Iranin kyberavusteisista vaikuttamisoperaatioista keskittyen Iranin toimiin, jotka liittyvät Yhdysvaltojen vuoden 2020 presidentinvaaleihin sekä Israelin ja Hamasin väliseen sotaan, Microsoft Threat Intelligence -podcastissa. Keskustelussa käsitellään iranilaisten toimijoiden käyttämiä taktiikoita, kuten tekeytymistä, paikallisten rekrytointia sekä sähköpostin ja tekstiviestien hyödyntämistä. Se tuo myös taustaa Iranin kybertoiminnan monimutkaisuuteen, sen yhteistyöpyrkimyksiin, propagandan kulutukseen, luoviin taktiikoihin ja vaikuttamisoperaatioiden määrittelyyn liittyviin haasteisiin.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Kybervaikuttamisoperaatiot Valtioiden tukemat Valtioiden raportit Uhkaavat toimijat

Aiheeseen liittyviä artikkeleita

Venäläiset uhkatoimijat valmistautuvat hyödyntämään sotaväsymystä 

Venäjän kyber- ja vaikuttamistoimet jatkuvat Ukrainan sodan jatkuessa. Microsoft Threat Intelligence kertoo yksityiskohtaisesti viimeisimmistä kyberuhista ja vaikutustoimista viimeisten kuuden kuukauden ajalta.
Lue lisää

Iran pyrkii toteuttamaan entistä tehokkaampia vaikutusoperaatioita kybertoimien avulla

Microsoft Threat Intelligence paljasti Iranista käsin tapahtuvan lisääntyneen kyberpohjaisen vaikuttamistoiminnan. Tutustu uhkiin ja lue yksityiskohtaisia tietoja uusista tekniikoista ja tulevista uhkista.
Lue lisää

Kyber- ja vaikutusoperaatiot Ukrainan sodan digitaalisella taistelukentällä

Microsoft Threat Intelligence tarkastelee Ukrainan kyber- ja vaikutusoperaatioiden kulunutta vuotta, paljastaa kyberuhkien uusia suuntauksia ja kertoo, mitä on odotettavissa, kun sodan toinen vuosi alkaa.
Lue lisää