Irán fokozza a kiberalapú befolyásolási műveleteket a Hamász támogatására
Kulcskifejezések definíciója
- Kiberalapú befolyásolási műveletek
Olyan műveletek, amelyekben a támadó számítógépes hálózati műveleteket üzenetküldéssel és kommunikációs felerősítéssel kombinálják összehangolt és manipulatív módon annak érdekében, hogy a célközönség szemléletét, viselkedését vagy döntéseit megváltoztassák egy csoport vagy egy nemzet érdekeinek és céljainak támogatására. - Kiberszemélyiség
A nyilvánosság számára mesterségesen létrehozott csoport vagy személy, amely felelősséget vállal egy kiberműveletért, miközben a háttérben álló felelős csoport vagy nemzet számára hihető módon letagadhatóvá teszi a felelősséget. - Zoknibáb
Hamis online személyiség, amely megtévesztés céljából fiktív vagy lopott identitásokat használ.
A befolyásolási műveletek egyre kifinomultabbá és egyre kevésbé hitelessé váltak, és a háború előrehaladtával közösségi médiás „zoknibábhálózatokat” vetettek be. A háború alatt ezek a befolyásoló műveletek arra törekedtek, hogy megfélemlítsék az izraelieket, miközben bírálták az izraeli kormány túszokkal való bánásmódját és katonai műveleteit, hogy polarizálják, majd végül destabilizálják Izraelt.
Irán végül kibertámadásaival és befolyásolási műveleteivel Izrael politikai szövetségeseit és gazdasági partnereit célozta meg, hogy gyengítse Izrael katonai műveleteinek támogatását.
Arra számítunk, hogy az iráni kiber- és befolyásolási műveletek veszélye a konfliktus elhúzódásával tovább fog nőni, különösen mivel fennáll a háború kiszélesedésének lehetősége. Az iráni és Iránhoz kötődő szereplők növekvő vakmerősége, valamint a közöttük kialakuló együttműködés fokozódó fenyegetést jelent a novemberi amerikai választások előtt.
A Hamász október 7-i terrortámadása óta Irán kiber- és befolyásolási műveletei több fázison estek át. A műveletek egy eleme azonban mindvégig állandó maradt: az opportunista kibercélzás és a befolyásolási műveletek kombinációja, ami gyakran megtévesztő a hatás pontosságát vagy hatókörét illetően.
Ez a jelentés az iráni befolyásolási és kiberalapú befolyásolási műveletekre összpontosít október 7-től 2023 végéig, és kitér a 2023 tavaszáig visszanyúló tendenciákra és műveletekre is.
1. fázis: Reaktivitás és megtévesztés
Az Izrael és a Hamász közötti háború kezdeti szakaszában az iráni csoportok reaktívan léptek fel. Az iráni állami média félrevezető részleteket közölt állítólagos kibertámadásokról, az iráni csoportok pedig újra felhasználták a korábbi műveletekből származó elavult anyagokat, újrahasznosították a háború előtti hozzáférésüket, és eltúlozták az állítólagos kibertámadások általános kiterjedését és hatását.
Közel négy hónappal a háború után a Microsoft még mindig nem talált egyértelmű bizonyítékot az adatai alapján arra, hogy iráni csoportok összehangolták volna kiber- vagy befolyásolási műveleteiket a Hamász azon terveivel, hogy október 7-én megtámadják Izraelt. Adataink és megállapításaink túlnyomó része inkább arra enged következtetni, hogy az iráni kiberszereplők reaktívan cselekedtek, és a Hamász-támadások után gyorsan megnövelték kiber- és befolyásolási műveleteiket, hogy Izrael ellen lépjenek fel.
A háború kitörésének napján az Iszlám Forradalmi Gárdához (IRGC) kötődő iráni hírügynökség, a Tasnim valótlanul azt állította, hogy a Cyber Avengers nevű csoport kibertámadásokat hajtott végre egy izraeli erőmű ellen „a Hamász támadásaival egy időben”. 2 Az IRGC által irányított kiberszemélyiség, a Cyber Avengers valójában azt állította, hogy a Hamász támadását megelőző este hajtott végre kibertámadást egy izraeli villamosenergia-vállalat ellen.3 Bizonyítékuk: hetekkel ezelőtti sajtójelentések „az elmúlt évek” áramkimaradásairól, valamint egy képernyőfotó a vállalat weboldalának szolgáltatási zavaráról dátum nélkül. 4
A Hamász Izrael elleni támadásait követően a Cyber Avengers azt állította, hogy kibertámadások sorozatát hajtja végre Izrael ellen, amelyek közül a legkorábbiakról vizsgálataink kiderítették, hogy hamisak. Október 8-án azt állították, hogy egy izraeli erőmű dokumentumait szivárogtatták ki, bár a dokumentumokat már 2022 júniusában közzétette egy másik, az IRGC által irányított kiberszemélyiség, a Moses Staff. 5
Egy másik kiberszemélyiség, a Malek Team, amelyet megítélésünk szerint az iráni hírszerzési és biztonsági minisztérium (MOIS) irányít, október 8-án személyes adatokat szivárogtatott ki egy izraeli egyetemről anélkül, hogy a célpontok egyértelműen kapcsolódtak volna az ott kibontakozó konfliktushoz, ami arra utal, hogy a célpont opportunista volt, és talán a háború kitörése előtti, már meglévő hozzáférésre alapozva választották ki. Ahelyett, hogy összefüggést mutatott volna a kiszivárgott adatok és a Hamász műveleteinek támogatása között, a Malek Team kezdetben a Hamász támogatására használt hashtageket használt az X-en (korábban Twitter), és csak napokkal később változtatott az üzenetek tartalmán úgy, hogy azok igazodjanak a Benjamin Netanjahu izraeli miniszterelnököt becsmérlő tartalmakhoz, amelyeket más iráni befolyásolási műveletekben is láthattunk.
Az iráni állami médiumok hatóköre az Izrael–Hamász háború kitörése után megugrott. A konfliktus első hetében 42%-os növekedést figyeltünk meg a Microsoft AI for Good Lab által mért iráni propagandaindexben, amely az iráni állami és az államhoz kötődő hírcsatornák híreinek fogyasztását figyeli (lásd az 1. ábrát). Az index az ezeket az oldalakat látogató forgalom arányát méri az internet teljes forgalmához képest. A növekedés különösen jelentős volt az Egyesült Államokkal szoros szövetségben álló angol nyelvű országokban (2. ábra), ami jól mutatja, hogy Irán képes a közel-keleti konfliktusokról szóló tudósításaival elérni a nyugati célközönséget. A háború kezdete után egy hónappal ezeknek az iráni forrásoknak az elérhetőségi hatóköre globálisan még mindig 28-29%-kal haladta meg a háború előtti szintet.
Irán befolyásolási műveletei a háború első napjaiban agilisabbnak és hatékonyabbnak tűntek, mint a konfliktus későbbi szakaszában végrehajtott kombinált kiberbefolyásolási műveletei. A Hamász Izrael elleni támadását követő napokban egy valószínűsíthetően iráni állami szereplő, amelyet Storm-1364 néven azonosítottunk, a Tears of War nevű online személyiséggel olyan befolyásolási műveletet indított, amelyben izraeli aktivistáknak adta ki magát, hogy Netanjahu-ellenes üzeneteket terjesszen az izraeli közönségnek több közösségi médiás és üzenetküldő platformon. Az a gyorsaság, amellyel a Storm-1364 az október 7-i támadások után elindította ezt a kampányt, rávilágít a csoport mozgékonyságára, és kiemeli a csak befolyásolásra irányuló kampányok előnyeit, amelyeket gyorsabban lehet kialakítani, mivel nem kell a kiberalapú befolyásolási műveletek kibertevékenységére várniuk.
2. fázis: Mindenki a fedélzetre
Október közepe-vége óta egyre több iráni csoport helyezte át a hangsúlyt Izraelre, és Irán kiberalapú befolyásolási műveletei a nagyrészt reaktív, hamisított vagy mindkettőből álló műveletekről áttértek a pusztító kibertámadásokra és a műveletek kiszemelt célpontjainak kidolgozására. A támadások közé tartozott az adatok törlése, a zsarolóprogramok és a jelek szerint egy IoT-eszköz módosítása is.6 Emellett bizonyítékot láttunk az iráni csoportok közötti fokozott koordinációra is.
A háború első hetében a Microsoft Veszélyforrás-intelligencia kilenc olyan iráni csoportot figyelt meg, amelyek aktívan támadták Izraelt – ez a szám a 15. napra 14-re nőtt. Néhány esetben azt figyeltük meg, hogy több IRGC- vagy MOIS-csoport ugyanazt a szervezetet vagy katonai bázist célozta meg kiber- vagy befolyásolási tevékenységgel, ami koordinációra, Teheránban kitűzött közös célokra vagy mindkettőre utalhat.
A kiberalapú befolyásolási műveletek száma ugyancsak kiugróan megnövekedett. A háború első hetében négy sietve végrehajtott, Izrael ellen irányuló kiberalapú befolyásolási műveletet figyeltünk meg. Október végére az ilyen műveletek száma több mint kétszeresére nőtt, ami az ilyen műveletek jelentős felgyorsulását jelzi, és messze az eddigi leggyorsabb ütemet jelenti (lásd a 4. ábrát).
Október 18-án az IRGC Shahid Kaveh csoportja, amelyet a Microsoft Storm-0784 néven azonosított, testreszabott zsarolóprogramot használt az izraeli biztonsági kamerák elleni kibertámadásokhoz. Ezután az egyik kiberszemélyisége, a Soldiers of Solomon felhasználásával valótlanul azt állította, hogy a Nevatim légibázison biztonsági kamerákat és adatokat ejtett túszul váltságdíj céljából. A Soldiers of Solomon által kiszivárogtatott biztonsági felvételek vizsgálata azt mutatja, hogy a felvételek nem az azonos nevű légibázisról, hanem egy Tel-Avivtól északra fekvő, Nevatim nevű utcával rendelkező városból származnak. Az áldozatok tartózkodási helyének elemzéséből kiderül, hogy egyikük sem volt a katonai bázis közelében (lásd az 5. ábrát). Jóllehet az iráni csoportok pusztító támadásokba kezdtek, műveleteik nagyrészt opportunista jellegűek maradtak, és továbbra is befolyásolási tevékenységekkel igyekeztek eltúlozni a támadások pontosságát vagy hatását.
Október 21-én az IRGC által működtetett Cotton Sandstorm (közismert nevén Emennet Pasargad) csoport egy másik kiberszemélyisége megosztott egy videót, amelyen a támadók zsinagógák digitális kijelzőit rongálták meg olyan üzenetekkel, amelyek Izrael gázai műveleteire népirtásként hivatkoztak. 7 Ez egy olyan módszer volt, amellyel az üzeneteket közvetlenül egy viszonylag puha célpont elleni kibertámadásokba ágyazták be.
Ebben a szakaszban Irán befolyásolási tevékenysége a nem hiteles felerősítés kiterjedtebb és kifinomultabb formáit alkalmazta. A háború első két hetében a nem hiteles felerősítés minimálisan előrehaladott formáit észleltük – ami ismét arra utal, hogy a műveletek reaktívak voltak. A háború harmadik hetére Irán legtevékenyebb befolyásolási szereplője, a Cotton Sandstorm lépett színre, és október 21-én három kiberalapú befolyásolási műveletet indított el. Ahogy az a csoportnál gyakran tapasztalható, a műveletek felerősítésére a közösségi médiában zoknibábok hálózatát használták, bár a jelek szerint ezek közül sokat elhamarkodottan alakítottak át az új célra anélkül, hogy azok hitelesen álcázták volna magukat izraelieknek. A Cotton Sandstorm több alkalommal küldött tömegesen SMS-eket vagy e-maileket, hogy felerősítse a műveleteit vagy dicsekedjen velük, a hitelesség fokozása érdekében pedig feltört fiókokat használt.8
3. fázis: Bővülő földrajzi hatókör
November végétől kezdve az iráni csoportok a kiberalapú befolyásolási tevékenységüket Izraelen túlra is kiterjesztették, és olyan országokat is célba vettek, amelyek Irán megítélése szerint segítik Izraelt. Ennek célja nagy valószínűséggel az Izrael katonai műveleteinek nemzetközi politikai, katonai vagy gazdasági támogatásának aláásása volt. A célpontok körének bővülése egybeesett az Izraelhez kötődő nemzetközi szállítmányozás elleni támadások kezdetével, amelyeket az Irán által támogatott jemeni síita militáns csoport, a Hútik hajtottak végre (lásd a 8. ábrát).9
- November 20-án az Irán által működtetett Homeland Justice nevű kiberszemélyiség Albánia elleni közelgő súlyos támadásokra figyelmeztetett, majd december végén a MOIS-csoportok által az albán parlament, a nemzeti légitársaság és a távközlési szolgáltatók ellen elkövetett pusztító kibertámadásokat erősítettek fel. 10
- November 21-én a Cotton Sandstorm által üzemeltetett Al-Toufan kiberszemélyiség Bahrein kormányát és pénzügyi szervezeteit vette célba az Izraellel való kapcsolatok normalizálása miatt.
- November 22-től az IRGC-hez köthető csoportok izraeli gyártmányú programozható logikai vezérlőket (PLC-ket) kezdtek célba venni az Egyesült Államokban és valószínűleg Írországban is, aminek során november 25-én egy pennsylvaniai vízügyi hatóságnál is lekapcsoltak egyet a hálózatról (6. ábra).11 A PLC-k olyan ipari számítógépek, amelyeket gyártási folyamatok, például gyártósorok, gépek és robotizált eszközök vezérlésére fejlesztettek ki.
- December elején egy, az MTAC szerint Irán által támogatott személyiség, a Cyber Toufan Al-Aksa azt állította, hogy kiszivárogtatta két amerikai cég adatait, amiért azok pénzügyileg támogatják Izraelt és felszereléseket biztosítanak a hadserege számára.12 Előzőleg azt állították, hogy november 16-án adattörlési támadást intéztek a vállalatok ellen.13 Mivel nincsenek erős nyomozati bizonyítékok arra, hogy a csoport Iránnal áll kapcsolatban, lehetséges, hogy a személyiséget egy iráni partner irányítja iráni közreműködéssel az országon kívül.
Irán kiberalapú befolyásolási műveletei ebben a legújabb szakaszban is egyre kifinomultabbá váltak. Jobban álcázták a zoknibábjaikat azzal, hogy némelyiket átnevezték és megváltoztatták a profilképüket, hogy hitelesebben tűnjenek izraelinek. Közben olyan új technikákat is alkalmaztak, amilyeneket még nem láttunk iráni szereplőknél: többek között mesterséges intelligenciát használtak üzenetük átadásának kulcsfontosságú elemeként. Vizsgálataink szerint a Cotton Sandstorm decemberben internettelevíziós szolgáltatásokat zavart meg az Egyesült Arab Emírségekben és máshol, egy For Humanity nevű személyiség álcáját használva. A For Humanity olyan videókat tett közzé a Telegramon, amelyeken a csoport három online műsorszórási szolgáltatást tört fel, és több hírcsatornát is megzavart egy hamis hírműsorral, amelyben egy láthatóan mesterséges intelligencia által generált műsorvezető szerepelt, aki azt állította, hogy az izraeli katonai műveletekben megsérült és megölt palesztinokról készült képeket mutat be (7. ábra).14 Az Egyesült Arab Emírségekben, Kanadában és az Egyesült Királyságban a hírcsatornák és a nézők olyan zavarokról számoltak be az internettelevíziós műsorszolgáltatásokban, beleértve a BBC-ét is, amelyek megegyeztek a For Humanity állításaival.15
Irán műveletei négy átfogó célt szolgáltak: a destabilizálást, a megtorlást, a megfélemlítést és az Izraelnek nyújtott nemzetközi támogatás aláásását. E négy cél mindegyike arra is törekszik, hogy gyengítse Izrael és támogatói információs környezetét, hogy általános zavart és bizalomhiányt keltsen.
Irán az Izrael-Hamász háború során egyre inkább arra összpontosított, hogy belpolitikai konfliktust szítson Izrael kormányának a háborúhoz való hozzáállásával kapcsolatban. Több iráni befolyásolási művelet izraeli aktivista csoportnak álcázta magát, hogy olyan gyújtó hangvételű üzeneteket terjeszthessenek, amelyek bírálják a kormány hozzáállását az október 7-én elrabolt és túszul ejtett személyekhez.17 Ezeknek az üzeneteknek Netanjahu volt az elsődleges célpontja, és az eltávolítására irányuló felhívások az iráni befolyásolási műveletek gyakori témája volt.18
Irán üzeneteinek nagy része és a célpontok kiválasztása is a műveletek megtorló jellegét hangsúlyozza. A beszédes nevű Cyber Avengers nevű kiberszemélyiség például közzétett egy videót, amelyben az izraeli védelmi miniszter kijelentette, hogy Izrael leállítja Gáza város áram-, élelmiszer-, víz- és üzemanyag-ellátását (lásd a 9. ábrát), majd ezt követően azt állították, hogy a Cyber Avengers támadássorozatot hajtott végre az izraeli áram-, víz- és üzemanyag-infrastruktúra ellen.19 Napokkal korábban, az izraeli állami vízellátó rendszerek elleni támadásokról szóló állításaikban a „Szemet szemért” üzenet szerepelt, és az IRGC-hez köthető Tasnim hírügynökség arról számolt be, hogy a csoport szerint a vízellátó rendszerek elleni támadások a gázai ostrom megtorlásaként történtek.20 Egy MOIS-hoz köthető csoport, amelyet Pink Sandstorm (más néven Agrius) néven azonosítottunk, november végén egy izraeli kórház ellen hajtott végre hackertámadást és adatkiszivárogtatást, amely a két héttel korábbi, a gázai al-Shifa kórház napokig tartó izraeli ostromáért való megtorlásnak tűnt.21
Irán műveletei arra is szolgálnak, hogy aláássák Izrael biztonságát és megfélemlítsék Izrael polgárait és támogatóit azáltal, hogy fenyegető üzeneteket közvetítenek, és meggyőzik a célközönséget arról, hogy államuk infrastruktúrája és kormányzati rendszerei nem biztonságosak. Az iráni megfélemlítés egy része, úgy tűnik, arra irányul, hogy aláássa Izrael hajlandóságát a háború folytatására például azzal, hogy üzenetekben próbálja meggyőzni az IDF katonáit arról, hogy „lépjenek ki a háborúból és menjenek haza” (10. ábra).22 Egy iráni kiberszemélyiség, amely feltehetően a Hamásznak álcázza magát, azt állította, hogy fenyegető szöveges üzeneteket küldött az izraeli katonák családjainak azzal a kiegészítéssel, hogy „Az IDF [Izraeli Védelmi Erők] katonáinak tisztában kell lenniük azzal, hogy amíg a mi családjaink nincsenek biztonságban, addig az ő családjuk sem lesz biztonságban”.23 A Hamász kiberszemélyiségét felerősítő zoknibábok olyan üzeneteket terjesztettek az X-en, amelyek szerint az IDF-nek „nincs ereje megvédeni a saját katonáit”, és a nézőknek egy sor olyan üzenetet mutattak be, amelyeket állítólag az IDF katonái küldtek a Hamásznak, és amelyekben arra kérték őket, hogy kíméljék meg a családjukat.24
Irán nemzetközi közönséget célzó befolyásolási műveletei gyakran tartalmaztak olyan üzeneteket, amelyek az Izraelnek nyújtott nemzetközi támogatás gyengítésére irányultak az Izrael által a Gázai övezet elleni támadások által okozott károk hangsúlyozásával. Egy palesztinbarát csoportnak álcázott személyiség „népirtásnak” nevezte Izrael gázai akcióit.25 Decemberben a Cotton Sandstorm több befolyásoló akciót is indított For Palestinians (A palesztinokért) és For Humanity (Az emberiségért) néven, amelyek a nemzetközi közösséget a Gázai övezet elleni izraeli támadások elítélésére szólították fel.26
Hogy elérje céljait az információs térben, Irán az elmúlt kilenc hónapban négy befolyásolási taktikára, technikára és eljárásra (TTP-re) támaszkodott erőteljesen. Ezek közé tartozik a megszemélyesítés és a célközönség aktivizálására szolgáló továbbfejlesztett képességek használata, párosulva az SMS-kampányok növekvő használatával és a befolyásolási műveleteknek az IRGC-hez kötődő média használatával történő felerősítésével.
Az iráni csoportok a megszemélyesítés régóta alkalmazott technikájára építettek azáltal, hogy egyre specifikusabb és meggyőzőbb személyiségeket fejlesztettek ki, amelyek Irán barátainak és ellenségeinek egyaránt álcázzák magukat. Korábban az iráni műveletek és személyiségek nagy része a palesztin ügy érdekében tevékenykedő aktivistának adta ki magát.27 A közelmúltban egy olyan kiberszemélyiség, amelyet értékeléseink szerint a Cotton Sandstorm irányít, még tovább ment, és a Hamász katonai szárnyának, az al-Kasszam Brigádoknak a nevét és emblémáját használva terjesztett hamis üzeneteket a Gázában fogva tartott túszokról és küldött fenyegető üzeneteket izraelieknek. Egy másik Telegram-csatorna, amely az IDF személyzetét fenyegette meg és személyes adataikat szivárogtatta ki, és amelyet megítélésünk szerint egy MOIS-csoport működtetett, szintén az al-Qassam Brigádok emblémáját használta. Nem világos, hogy Irán a Hamász beleegyezésével cselekszik-e.
Hasonlóképpen, Irán egyre meggyőzőbb megszemélyesítéseket hozott létre az izraeli politikai spektrum jobb- és baloldalán működő fiktív izraeli aktivista szervezetekről. Irán ezeken az álaktivistákon keresztül igyekszik beszivárogni az izraeli közösségekbe, hogy elnyerje bizalmukat és viszályt szítson.
Áprilisban és novemberben Irán ismételten sikerrel járt abban, hogy gyanútlan izraelieket toborzott olyan helyi tevékenységekre, amelyek a hamis műveleteit támogatták. Egy közelmúltbeli műveletben a Tears of War (A háború könnyei) nevű akcióban iráni ügynököknek állítólag sikerült meggyőzniük az izraelieket arról, hogy Tears of War feliratú márkajeles transzparenseket függesszenek ki izraeli városrészekben, amelyeken egy láthatóan Al által generált Netanjahu-kép szerepelt, és amelyeken Netanjahu hivatalból való eltávolítását követelték (lásd a 11. ábrát).28
Miközben az iráni befolyásolási műveletek továbbra is erősen támaszkodnak a közösségi médiában folytatott összehangolt, nem hiteles felerősítésre a célközönség elérése érdekében, Irán egyre inkább alkalmazza a tömeges SMS-eket és e-maileket is, hogy fokozza a kiberalapú befolyásolási műveletek pszichológiai hatásait. A közösségi médiában zoknibábok használatával történő felerősítésnek nem akkora a hatása, mint egy saját beérkezett üzeneteinkben megjelenő e-mailnek – a saját telefonon való megjelenésről már nem is beszélve. A Cotton Sandstorm a 2022-től kezdődően az ezzel a technikával elért korábbi sikerekre29 alapozva augusztus óta legalább hat művelet során küldött tömegesen SMS-eket, e-maileket vagy mindkettőt. Ennek a technikának a fokozott használata arra utal, hogy a csoport tökéletesítette ezt a képességét, és hatékonynak tartja azt. A Cotton Sandstorm október végén végrehajtott Cyber Flood nevű műveletében akár háromszor is küldhettek tömegesen SMS-eket és e-maileket izraelieknek, amelyekben állítólagos kibertámadásokat erősítettek fel, illetve hamis figyelmeztetéseket terjesztettek a Hamász által a Dimona közelében lévő izraeli nukleáris létesítmény ellen intézett támadásokról.30 Legalább egy esetben feltört fiókot használtak fel az e-mailjeik hitelességének növelésére.
Irán az IRGC-hez kötődő nyílt és fedett médiaorgánumokat használ az állítólagos kiberműveletek felerősítésére és időnként azok hatásainak eltúlzására. Szeptemberben, miután a Cyber Avengers azt állította, hogy kibertámadás érte az izraeli vasúti rendszert, az IRGC-hez kötődő média szinte azonnal elkezdte az állításaikat felerősíteni és eltúlozni. Az IRGC-hez kötődő Tasnim hírügynökség tévesen egy másik eseményről szóló izraeli híradást idézett bizonyítékként arra, hogy a kibertámadás valóban megtörtént.31 Ezt a tudósítást más, iráni és Iránhoz kötődő csatornák tovább erősítették oly módon, hogy még inkább elfedték a kibertámadást alátámasztó bizonyítékok hiányát.32
Az MTAC az Izrael–Hamász háború kitörése óta tapasztalja, hogy az iráni szereplők mesterséges intelligencia által generált képeket és videókat használnak. A Cotton Sandstorm és a Storm-1364, valamint a Hezbollahhoz és a Hamászhoz kötődő hírcsatornák az Al-t a megfélemlítés fokozására és a Netanjahut és az izraeli vezetést lejárató képek előállítására használták fel.
Az Izrael és a Hamász közötti háború első heteiben már láthattunk példákat az Iránhoz kötődő csoportok közötti együttműködésre, amely fokozta a szereplők által elérhető eredményeket. Az együttműködés révén könnyebben kivitelezhető a belépés, mivel minden csoport hozzájárulhat saját képességeivel, és nincs szükség arra, hogy egyetlen csoport fejlessze ki a teljes eszköztárat vagy szaktudást.
Értékelésünk szerint a MOIS-hoz kötődő két csoport, a Storm-0861 és a Storm-0842 egymással együttműködve hajtott végre pusztító kibertámadást október végén Izraelben, majd december végén Albániában. Valószínűleg mindkét esetben a Storm-0861 biztosította a hálózathoz való hozzáférést, mielőtt a Storm-0842 végrehajtotta volna a törlő kártevős támadást. A Storm-0842 2022 júliusában hasonlóképpen hajtott végre törlő kártevős támadást az albán kormányzati szervek ellen úgy, hogy előzőleg a Storm-0861 szerzett hozzáférést hozzájuk.
Októberben a MOIS-hoz kötődő másik csoport, a Storm-1084 szintén hozzáférhetett egy izraeli szervezet rendszeréhez, ahol a Storm-0842 telepítette a BiBi törlőprogramot, amely arról kapta a nevét, hogy a kártevő a törölt fájlokat a BiBi karakterlánccal nevezi át. Nem világos, hogy a Storm-1084 milyen szerepet játszott a pusztító támadásban, vagy hogy volt-e egyáltalán szerepe. A Storm-1084 2023 elején egy másik izraeli szervezet ellen is pusztító kibertámadásokat hajtott végre, amelyeket egy szintén a MOIS-hoz kötődő csoport, a Mango Sandstorm (más néven MuddyWater) tett lehetővé.33
A háború kitörése óta a Microsoft Veszélyforrás-intelligencia a MOIS-hoz kötődő Pink Sandstorm nevű csoport és a Hezbollah kibercsoportjai közötti együttműködést is észlelte. A Microsoft megfigyelte az infrastruktúra átfedéseit és a közös eszközhasználatot. Noha a Hezbollahhal való iráni együttműködés nem példa nélküli a kiberműveletek terén, aggodalomra ad okot, hogy a háború a nemzetek közötti határokat átlépve még közelebb hozhatja ezeket a csoportokat egymáshoz a műveletek terén.34 Mivel Irán a háború során végrehajtott kibertámadásait mindig befolyásolási műveletekkel kombinálta, az is valószínűsíthető, hogy Irán az arab anyanyelvűek felhasználásával javítja befolyásolási műveleteit és azok hatókörét, hogy növelje a hamis személyiségek hitelességét.
Az iráni kiberszereplők egyre nagyobb figyelmet fordítanak Izraelre. Irán már régóta kiemelten foglalkozik Izraellel, amelyet Teherán az Egyesült Államok mellett fő ellenfelének tekint. Ennek megfelelően a Microsoft Veszélyforrás-intelligencia adatai szerint az elmúlt években szinte mindig az izraeli és az amerikai vállalatok voltak Irán leggyakoribb célpontjai. A háborút megelőzően az iráni szereplők elsősorban Izraelre, azt követően pedig az Egyesült Arab Emírségekre és az Egyesült Államokra összpontosítottak. A háború kitörését követően az Izraelre irányuló figyelem még inkább megnőtt. A Microsoft által nyomon követett iráni nemzetállami kibertevékenységek 43 százaléka Izrael ellen irányult, ami több, mint a következő 14 célországé együttvéve.
Arra számítunk, hogy az iráni kiber- és befolyásolási műveletek által okozott veszély az Izrael és a Hamász közötti konfliktus elhúzódásával tovább fog nőni, különösen a további frontokon történő eszkaláció növekvő lehetőségei közepette. Míg a háború kezdeti időszakában az iráni csoportok sietve hajtottak végre, vagy egyszerűen csak kitaláltak állítólagos műveleteket, az utóbbi időben lelassították akcióikat, így több idejük maradt a kívánt hozzáférés megszerzésére vagy a bonyolultabb befolyásolási műveletek kidolgozására. Az ebben a jelentésben felvázolt háborús fázisok világossá teszik, hogy az iráni kiber- és befolyásolási műveletek fokozatosan fejlődtek, miközben egyre célzottabbá, együttműködőbbé és pusztítóbbá váltak.
Az iráni szereplők a célpontok tekintetében is egyre vakmerőbbé váltak: legfőbb példaként említhetünk egy kórház elleni kibertámadást, amellyel Washington türelmét is próbára tették, látszólag nem törődve a következményekkel. Az IRGC támadásai az amerikai vízgazdálkodási ellenőrző rendszerek ellen, bár opportunisták voltak, látszólag okos trükknek tűntek, amellyel próbára akarták tenni Washingtont azzal, hogy az Izraelben gyártott berendezések megtámadásának jogosságára hivatkoztak.
A 2024. novemberi amerikai választások előtt az iráni és Iránhoz köthető csoportok fokozott együttműködése komoly kihívást jelent a választások védelmét ellátó szervezetek számára. A védők már nem nyugodhatnak meg azzal, hogy néhány csoportot nyomon követnek. A hozzáférést szerezni próbáló szereplők, a befolyásolási csoportok és a kiberszereplők egyre nagyobb száma egy sokkal összetettebb és összefonódottabb fenyegetettségi környezetet eredményez.
További szakértői betekintések Irán befolyásolási műveleteiről
A Microsoft Veszélyforrás-intelligencia podcastjában szakértők beszélnek az iráni kiberalapú befolyásolási műveletekről, különös tekintettel Iránnak a 2020-as amerikai elnökválasztással és az Izrael–Hamász háborúval kapcsolatos tevékenységeire. A beszélgetésben szó lesz az iráni szereplők által alkalmazott taktikákról, például a megszemélyesítésről, a helyiek toborzásáról, valamint az e-mailek és SMS-ek felerősítéshez való felhasználásáról. Az iráni kibertevékenységek bonyolultságát, az együttműködési tevékenységeiket, a propagandafogyasztást, a kreatív taktikákat és a befolyásolási műveletek felelőseinek megállapításával kapcsolatos nehézségeket is összefüggésükben tárgyalja.