Trace Id is missing

Iran meningkatkan operasi-pengaruh cyber untuk mendukung Hamas

Unduh
Bagikan

Pendahuluan

Ketika perang Israel-Hamas pecah pada tanggal 7 Oktober 2023, Iran serta-merta meningkatkan dukungan mereka untuk Hamas dengan teknik yang kini telah terasah tajam, menggabungkan peretasan bertarget dengan operasi pengaruh yang diamplifikasi di media sosial—kami menyebutnya, operasi-pengaruh cyber.1 Awalnya, operasi Iran adalah reaksioner dan oportunis. Di penghujung bulan Oktober, hampir semua pengaruh dan pelaku cyber utama dari Iran berfokus pada Israel, dengan cara yang kian terarah, terkoordinasi, dan destruktif, menciptakan kampanye bertajuk “semua harus ikut serta/all-hands-on-deck”, yang seolah tak kenal batas dalam melawan Israel. Tidak seperti serangan cyber Iran di masa lalu, semua serangan cyber destruktif untuk melawan Israel di dalam perang ini—baik yang nyata ataupun yang mengada-ada—keduanya dilengkapi dengan operasi pengaruh online.

Penjelasan istilah-istilah utama

  • Operasi-pengaruh cyber 
    Operasi yang menggabungkan operasi jaringan komputer ofensif, olahpesan, dan amplifikasi pesan, dengan cara yang terkoordinasi dan manipulatif untuk mengubah persepsi, perilaku, atau keputusan audiens target, dalam rangka menunjang kepentingan serta tujuan suatu kelompok atau negara.
  • Persona cyber 
    Suatu kelompok atau individu yang berhadapan dengan publik, sengaja dipabrikasi dan bertanggung jawab untuk menjalankan operasi cyber, sekaligus memberikan sanggahan masuk akal demi kelompok atau bangsa yang bertanggung jawab di baliknya.
  • Identitas palsu (sockpuppet) 
    Persona online palsu yang menggunakan identitas fiktif atau curian untuk tujuan penipuan.

Operasi pengaruh semakin berkembang canggih dan inotentik, menyebarkan jaringan sockpuppet di media sosial seiring berjalannya perang. Sepanjang perang, operasi pengaruh ini berusaha untuk mengintimidasi orang-orang Israel, mereka mengkritik cara pemerintah Israel menangani sandera serta operasi militer, untuk mempolarisasi dan alhasil mendestabilisasi Israel.

Pada akhirnya, Iran menggerakkan serangan cyber dan operasi pengaruh mereka untuk melawan sekutu politik dan mitra ekonomi Israel, dalam rangka meredam dukungan terhadap operasi militer Israel.

Kami memperkirakan, ancaman yang ditimbulkan oleh operasi cyber dan pengaruh Iran akan berkembang seiring konflik berlanjut, terutama di tengah meningkatnya potensi bahwa perang akan meluas. Pelaku Iran dan pelaku yang terafiliasi dengan Iran semakin berani, ditambah lagi dengan kolaborasi yang meruak di antara kedua pelaku—ini menjadi pertanda, bahwa akan ada peningkatan ancaman menjelang pemilu AS pada bulan November.

Operasi pengaruh dan cyber Iran telah berproses melalui sejumlah fase sejak serangan teroris Hamas pada tanggal 7 Oktober. Salah satu elemen operasi mereka tetap konsisten, yakni mengombinasikan penargetan cyber oportunis, dengan operasi pengaruh yang kerap menyesatkan dalam hal akurasi atau lingkup dampak.

Laporan ini berfokus pada operasi pengaruh dan operasi-pengaruh cyber Iran, mulai dari tanggal 7 Oktober hingga penghujung 2023. Laporan juga mencakup tren dan operasi yang berawal sejak musim semi pada tahun 2023.

Bagan yang mendeskripsikan fase operasi-pengaruh cyber Iran di dalam perang Israel-Hamas

Fase 1: Reaktif dan menyesatkan

Kelompok Iran bersifat reaktif selama fase awal perang Israel-Hamas. Media negara Iran melansir detail menyesatkan mengenai klaim serangan cyber, dan kelompok Iran menggunakan kembali materi lama dari operasi di masa lampau, mengalihfungsikan akses yang mereka miliki sebelum perang, serta membesar-besarkan lingkup dan dampak keseluruhan dari serangan cyber yang mereka klaim tersebut.

Hingga nyaris empat bulan setelah perang, Microsoft masih belum melihat bukti jelas dari data kami, belum ada yang menunjukkan bahwa kelompok Iran telah mengoordinasi operasi cyber atau pengaruh mereka untuk mendukung rencana Hamas menyerang Israel pada tanggal 7 Oktober. Sebaliknya, data dan temuan kami lebih banyak menunjukkan, bahwa pelaku cyber Iran bersikap reaktif, serta-merta meningkatkan operasi cyber dan pengaruh mereka pascaserangan Hamas untuk melawan balik Israel.

Detail menyesatkan mengenai serangan yang diklaim melalui media negara: 
Pada hari pecahnya perang, Tasnim News Agency, sebuah saluran Iran yang terafiliasi dengan Korps Garda Revolusi Islam (Islamic Revolutionary Guard Corps/IRGC), secara tidak benar mengklaim, bahwa kelompok dengan julukan “Cyber ​​Avengers” menyelenggarakan serangan cyber terhadap pembangkit listrik Israel “pada saat yang bersamaan” dengan serangan Hamas. 2 Cyber ​​Avengers, persona cyber yang ditunggangi oleh IRGC, sebenarnya mengklaim telah melancarkan serangan cyber terhadap perusahaan listrik Israel pada malam sebelum penyerbuan oleh Hamas.3 Bukti mereka yaitu: media berusia mingguan yang melaporkan pemadaman listrik “dalam beberapa tahun terakhir”, dan cuplikan layar yang memuat disrupsi layanan terhadap situs web perusahaan tersebut tanpa tertera tanggal. 4
Menggunakan kembali materi lama: 
Setelah serangan Hamas terhadap Israel, Cyber ​​​​Avengers mengklaim menyelenggarakan rentetan serangan cyber untuk melawan Israel, ini bagian paling awal yang terbukti salah oleh riset kami. Pada tanggal 8 Oktober, mereka mengklaim membocorkan dokumen pembangkit listrik Israel, tetapi dokumen tersebut telah diterbitkan sebelumnya pada bulan Juni 2022 oleh persona cyber lain kelolaan IRGC, “Moses Staff.”5
Mengalihfungsikan akses: 
Persona cyber lainnya, “Malek Team,” yang menurut penilaian kami dijalankan oleh Kementerian Intelijen dan Keamanan Iran (MOIS), membocorkan data pribadi dari sebuah universitas Israel pada tanggal 8 Oktober tanpa kaitan jelas dengan penargetan konflik yang meruak di tempat itu. Ini menunjukkan, bahwa target bersifat oportunis dan mungkin dipilih berdasarkan akses yang sudah ada sebelum pecahnya perang. Malek Team tidak menyangkut-pautkan antara data yang bocor dan dukungan terhadap operasi Hamas. Tetapi, pada awalnya mereka menggunakan hashtag di X (sebelumnya Twitter) untuk mendukung Hamas, dan hanya dalam beberapa hari kemudian, mereka mengubah pesan agar selaras dengan jenis pesan yang mencoreng Perdana Menteri Israel, Benjamin Netanyahu, yang juga muncul di operasi pengaruh Iran lainnya.
Konsumsi propaganda Iran di seluruh dunia, diilustrasikan dengan garis waktu dan proporsi grafik lalu lintas
Gambar 2: Microsoft Threat Intelligence - konsumsi propaganda Iran berdasarkan negara, serangan Hamas terhadap Israel. Grafik menunjukkan aktivitas dari bulan April hingga Desember 2023.
Operasi pengaruh Iran paling efektif pada hari-hari di awal perang 
Jangkauan media yang terafiliasi dengan negara Iran melonjak setelah pecahnya Perang Israel-Hamas. Pada minggu pertama konflik, kami mengamati kenaikan 42% pada Indeks Propaganda Iran di Microsoft AI for Good Lab. Indeks ini memantau konsumsi berita dari negara Iran dan saluran yang terafiliasi dengan negara tersebut (lihat Gambar 1). Indeks ini mengukur proporsi antara lalu lintas yang mengunjungi situs tersebut dan keseluruhan lalu lintas internet. Peningkatan tersebut khususnya terlihat jelas di negara-negara berbahasa Inggris yang merupakan sekutu erat Amerika Serikat (Gambar 2), menyoroti kemampuan Iran untuk menjangkau audiens Barat lewat laporan terkait konflik Timur Tengah yang mereka buat. Sebulan setelah perang, jangkauan sumber-sumber dari Iran tersebut tetap berada di angka 28-29% lebih tinggi dibandingkan saat praperang secara global.
Pengaruh Iran yang tanpa serangan cyber menampilkan ketangkasan 
Dibandingkan operasi-pengaruh cyber gabungan yang dilakukan di kemudian hari pada masa konflik, operasi pengaruh Iran tampak lebih gesit dan efektif pada hari-hari di awal perang. Dalam beberapa hari setelah serangan Hamas terhadap Israel, pelaku yang kemungkinan besar berasal dari Iran, yang kami lacak sebagai Storm-1364, meluncurkan operasi pengaruh menggunakan persona online yang dijuluki “Tears of War,” yang menyamar sebagai aktivis Israel untuk menyebarkan pesan anti-Netanyahu kepada audiens Israel di sejumlah besar platform olahpesan dan media sosial. Kecepatan Storm-1364 dalam meluncurkan kampanye setelah serangan tanggal 7 Oktober mempertegas gesitnya kelompok ini, memperlihatkan keuntungan hasil kampanye yang semata memengaruhi, kampanye yang barangkali dapat dibuat lebih cepat karena tidak perlu menunggu aktivitas cyber hasil operasi-pengaruh cyber.

Fase 2: Semua harus ikut serta (all-hands-on-deck)

Semenjak pertengahan hingga akhir Oktober, kian banyak kelompok Iran yang mengalihkan fokus mereka ke Israel, dan operasi-pengaruh cyber Iran pun berubah, sebagian besar operasi yang tadinya bersifat reaktif, mengada-ada, atau keduanya, kini berubah melibatkan serangan destruktif dan memperluas target incaran operasi mereka. Serangan ini mencakup penghapusan data, ransomware, dan tampaknya, penyesuaian perangkat internet of things (IoT).6 Kami juga melihat adanya bukti terkait peningkatan koordinasi di antara kelompok Iran.

Pada minggu pertama perang, Microsoft Threat Intelligence melacak sembilan kelompok Iran yang secara aktif menarget Israel; jumlah tersebut bertambah menjadi 14 kelompok pada hari ke-15. Di dalam sejumlah kasus, kami memantau lebih dari satu kelompok IRGC atau MOIS yang menggunakan aktivitas cyber atau pengaruh untuk menarget organisasi atau pangkalan militer yang sama, mengindikasikan adanya koordinasi, tujuan bersama yang ditetapkan di Teheran, atau keduanya.

Operasi-pengaruh cyber juga melonjak. Kami memantau empat operasi-pengaruh cyber yang diimplementasi dengan tergesa-gesa dan ditujukan untuk Israel pada minggu pertama perang. Pada akhir bulan Oktober, jumlah operasi semacam ini meningkat hingga lebih dari dua kali lipat, ini menandai percepatan signifikan pada operasi, dengan laju tercepat yang belum pernah terjadi sebelumnya (lihat Gambar 4).

Ilustrasi: Jalinan cyber dan pengaruh Iran, menampilkan simbol, Threat Intelligence, dan Korps Garda Revolusi (Revolutionary Guard Corps)
Garis waktu operasi-pengaruh cyber Iran: Pelonjakan selama perang Kamas, 2021-2023

Pada tanggal 18 Oktober, Grup Shahid Kaveh dari IRGC, yang dilacak oleh Microsoft sebagai Storm-0784, menggunakan ransomware kustom untuk menyelenggarakan serangan cyber terhadap kamera keamanan di Israel. Mereka lantas menggunakan salah satu persona cyber mereka, “Soldiers of Solomon,” untuk menyampaikan klaim palsu bahwa mereka menuntut tebusan untuk kamera keamanan dan data di Pangkalan Angkatan Udara Nevatim. Pemeriksaan terhadap rekaman keamanan Soldiers of Solomon yang bocor mengungkapkan, bahwa rekaman itu berasal dari kota di utara Tel Aviv dengan sebuah jalan bernama Nevatim, bukan pangkalan udara dengan nama yang sama. Faktanya, analisis terhadap lokasi korban menunjukkan, bahwa tidak ada satu pun yang berada di dekat pangkalan militer (lihat Gambar 5). Meskipun kelompok Iran telah memulai serangan destruktif, operasi mereka sebagian besar masih oportunis dan terus memanfaatkan aktivitas pengaruh untuk melebih-lebihkan akurasi atau dampak serangan.

Pada tanggal 21 Oktober, persona cyber lain yang dijalankan oleh kelompok IRGC, Cotton Sandstorm (umumnya dikenal juga dengan nama Emennet Pasargad), membagikan video penyerang yang mencoret tampilan digital di sinagoge, berisikan pesan yang menyebut operasi Israel di Gaza sebagai “genosida.” 7 Ini menandai adanya metode penyematan pesan langsung di dalam serangan cyber saat menyasar target yang relatif lunak.

Selama fase ini, aktivitas pengaruh Iran menggunakan bentuk amplifikasi inotentik yang lebih ekstensif dan canggih. Dalam dua minggu pertama perang, kami mendeteksi, bahwa hanya sedikit bentuk amplifikasi inotentik yang bertingkat lanjut—lagi-lagi, ini menunjukkan bahwa operasi tersebut bersifat reaktif. Pada minggu ketiga perang, pelaku pengaruh yang paling produktif di Iran, Cotton Sandstorm, memasuki kancah dengan meluncurkan tiga operasi-pengaruh cyber pada tanggal 21 Oktober. Seperti yang kerap kita lihat dari kelompok tersebut, mereka menggunakan jaringan sockpuppet di media sosial untuk amplifikasi operasi, meskipun tampaknya, banyak yang dialihfungsikan secara tergesa-gesa tanpa penyamaran autentik ketika mereka berpura-pura menjadi orang Israel. Di dalam banyak kesempatan, Cotton Sandstorm mengirimkan pesan teks atau email dalam jumlah besar untuk mengamplifikasi atau menggadang-gadang operasi mereka, memanfaatkan akun yang disusupi untuk membuatnya semakin autentik.8

Klaim serangan cyber Iran telah terbantah: Rekaman CCTV dan ransomware palsu, operasi pengaruh yang menyesatkan telah terungkap

Fase 3: Cakupan geografis yang meluas

Dimulai pada akhir November, kelompok Iran memperluas pengaruh cyber mereka hingga ke luar Israel, termasuk ke negara yang mereka anggap membantu Israel, yang kemungkinan besar bertujuan untuk meredam dukungan politik, militer, atau ekonomi internasional terhadap operasi militer Israel. Perluasan penargetan ini selaras dengan dimulainya serangan terhadap pelayaran internasional terkait Israel oleh kelompok Houthi, sebuah kelompok militan Syiah di Yaman yang didukung oleh Iran (lihat Gambar 8).9

  • Pada tanggal 20 November, persona cyber “Homeland Justice” yang ditunggangi oleh Iran memperingatkan akan datangnya serangan besar terhadap Albania, disusul amplifikasi serangan cyber destruktif oleh kelompok MOIS pada akhir Desember terhadap Parlemen Albania, maskapai penerbangan nasional, dan penyedia telekomunikasi mereka.10
  • Pada tanggal 21 November, persona cyber yang dijalankan oleh Cotton Sandstorm, “Al-Toufan”, menarget pemerintah dan organisasi finansial Bahrain karena menormalisasi hubungan dengan Israel.
  • Pada tanggal 22 November, kelompok yang terafiliasi dengan IRGC mulai menarget kontrol logika terprogram (programmable logic controllers/PLC) buatan Israel di Amerika Serikat, dan mungkin Irlandia, termasuk meng-offline-kan satu PLC di otoritas perairan di Pennsylvania pada tanggal 25 November (Gambar 6).11 PLC adalah komputer industri yang diadaptasi untuk mengendalikan proses manufaktur, seperti jalur perakitan, mesin, dan perangkat robot.
  • Pada awal Desember, persona yang menurut penilaian MTAC disponsori oleh Iran, “Cyber ​​Toufan Al-Aksa,” mengklaim membocorkan data dari sepasang perusahaan Amerika yang mendukung Israel secara finansial dan menyediakan peralatan untuk jajaran militernya..12 Sebelumnya, mereka mengklaim serangan penghapusan data di perusahaan-perusahaan tersebut pada tanggal 16 November.13 Karena tidak tersedia bukti forensik kuat yang dapat mengaitkan kelompok tersebut dengan Iran, ada kemungkinan bahwa persona tersebut dijalankan oleh mitra Iran di luar negeri dengan melibatkan Iran.
PLC di otoritas perairan Pennsylvania yang dicorat-coret dengan logo Cyber Avengers, 25 November

Operasi-pengaruh cyber Iran juga terus berkembang kian canggih pada fase terakhir ini. Mereka menyamarkan sockpuppet dengan lebih baik, mengganti sejumlah nama dan mengubah foto profil agar terlihat lebih autentik seolah berkebangsaan Israel. Sementara itu, mereka menggunakan teknik baru yang belum pernah dilakukan oleh pelaku Iran, termasuk menggunakan AI sebagai komponen utama pada pesan. Menurut penilaian kami, Cotton Sandstorm mendisrupsi layanan televisi streaming di Uni Emirat Arab dan lokasi lain pada bulan Desember dengan menyamar sebagai persona bernama “For Humanity.” For Humanity memublikasikan video di Telegram, memperlihatkan saat kelompok tersebut meretas tiga layanan streaming online dan mendisrupsi sejumlah saluran berita dengan siaran berita palsu, menampilkan pembawa berita yang tampaknya dibuat oleh AI dan mengklaim menunjukkan gambar orang-orang Palestina yang terluka dan terbunuh akibat operasi militer Israel (Gambar 7).14 Saluran berita dan pemirsa di Uni Emirat Arab, Kanada, dan Inggris Raya melaporkan terjadinya disrupsi dalam program televisi streaming, termasuk BBC, sama seperti yang diklaim oleh For Humanity.15

HUMANITY 2023: 8 Okt, 180 terbunuh, 347 terluka. Gambar 7: Disrupsi TV streaming dengan menggunakan penyiar yang dibuat oleh AI
Iran memperluas target mereka hingga ke pendukung Israel, serangan cyber, peringatan, dan aktivitas pencoretan.

Operasi Iran bertujuan untuk mencapai empat tujuan umum: destabilisasi, pembalasan, intimidasi, dan meredam dukungan internasional terhadap Israel. Keempat tujuan ini juga berupaya untuk menggerus lingkungan informasi milik Israel dan pendukungnya, agar terjadi kebingungan dan berkurangnya kepercayaan umum.

Destabilisasi melalui polarisasi 
Penargetan Iran terhadap Israel selama perang Israel-Hamas semakin berfokus pada penyulutan konflik dalam negeri yang mempersoalkan pendekatan pemerintah Israel terhadap perang ini. Ada lebih dari satu operasi pengaruh Iran yang telah menyamar sebagai kelompok aktivis Israel untuk menyusupkan pesan menghasut yang mengkritik pendekatan pemerintah terhadap orang-orang yang diculik dan disandera pada tanggal 7 Oktober.17 Netanyahu telah menjadi target utama dari pesan tersebut, seruan untuk melengserkannya adalah tema lazim di dalam operasi pengaruh Iran.18
AVENGERS - Tanpa listrik, makanan, air, bahan bakar. Cyber Avengers memposting ulang video blokade Israel
Pembalasan 
Banyak pesan dan target yang dipilih oleh Iran menekankan watak pembalasan di dalam operasinya. Misalnya, persona bernama Cyber ​​Avengers merilis sebuah video, yang memperlihatkan Menteri Pertahanan Israel saat menyatakan bahwa Israel akan memutus aliran listrik, makanan, air, dan bahan bakar ke Kota Gaza (lihat Gambar 9), ini diikuti oleh rentetan klaim serangan Cyber ​​Avengers yang menarget infrastruktur listrik, air, dan bahan bakar Israel.19 Beberapa hari sebelumnya, klaim mereka yang terdahulu mengenai serangan terhadap sistem air nasional Israel memuat pesan “Mata ganti mata”, dan Tasnim News Agency yang terafiliasi dengan IRGC melaporkan, bahwa kelompok tersebut menyebut serangan terhadap sistem air sebagai pembalasan atas pengepungan di Gaza.20 Sebuah kelompok terkait MOIS yang kami lacak dengan sebutan Pink Sandstorm (alias Agrius), melakukan peretasan dan pembocoran terhadap sebuah rumah sakit Israel pada akhir November. Tampaknya, ini merupakan pembalasan atas pengepungan Israel selama berhari-hari terhadap Rumah Sakit al-Shifa di Gaza dua minggu sebelumnya.21
Intimidasi 
Operasi Iran juga dimaksudkan untuk memperlemah keamanan Israel serta mengintimidasi warga negara Israel dan para pendukungnya, dengan menyampaikan pesan ancaman dan meyakinkan audiens target bahwa infrastruktur dan sistem pemerintahan negara mereka tidaklah aman. Beberapa intimidasi Iran tampaknya bertujuan untuk memadamkan hasrat Israel yang ingin terus melanjutkan perang, seperti pesan yang mencoba meyakinkan tentara IDF bahwa mereka harus “meninggalkan perang dan pulang” (Gambar 10).22 Salah satu persona cyber Iran, yang mungkin menyamar sebagai Hamas, mengklaim mengirimkan pesan teks ancaman kepada keluarga tentara Israel, membubuhi “Tentara IDF [Israel Defense Forces] harus menyadari, bahwa jika keluarga kami tidak aman, keluarga mereka pun tidak akan aman.”23 Sockpuppet yang mengamplifikasi persona Hamas menyebarkan pesan di X, bahwa IDF “tidak memiliki kekuatan apa pun untuk melindungi tentaranya sendiri”, serta mengarahkan pemirsa ke serangkaian pesan, yang diduga dikirim dari tentara IDF untuk meminta Hamas agar tidak mencelakai keluarga mereka.24
Pesan ancaman yang diduga dikirim dari sockpuppet tunggangan Cotton Standstorm, menyebutkan soal akses ke data pribadi dan desakan untuk meninggalkan perang.
Meredam dukungan internasional untuk Israel 
Operasi pengaruh Iran yang menarget audiens internasional sering kali mencakup pesan yang berupaya untuk menyurutkan dukungan internasional terhadap Israel dengan menyoroti kerusakan akibat serangan Israel di Gaza. Seorang persona yang menyamar sebagai kelompok pro-Palestina menyebut tindakan Israel di Gaza sebagai “genosida.”25 Pada bulan Desember, Cotton Sandstorm menyelenggarakan berbagai operasi pengaruh—dalam nama “Untuk Palestina” dan “Untuk Kemanusiaan”—yang menyerukan agar komunitas internasional mengutuk serangan Israel di Gaza.26

Untuk mencapai tujuan mereka di ruang informasi, Iran sangat bergantung pada empat taktik, teknik, dan prosedur (TTP) pengaruh selama sembilan bulan terakhir. Ini termasuk penggunaan penyamaran dan kemampuan yang diasah untuk menggerakkan audiens target, ditambah dengan peningkatan penggunaan kampanye pesan teks dan media terkait IRGC untuk mengamplifikasi operasi pengaruh.

Menyamar sebagai kelompok aktivis Israel dan mitra Iran 
Kelompok Iran mengembangkan teknik penyamaran yang telah lama ada, dengan cara membangun persona yang lebih spesifik dan meyakinkan, berpura-pura menjadi teman sekaligus musuh Iran. Ada banyak operasi dan persona Iran di masa lalu yang mengaku sebagai aktivis pendukung perjuangan otoritas Palestina.27 Belum lama ini, operasi persona, yang menurut penilaian kami ditunggangi oleh Cotton Sandstorm, telah bergerak lebih jauh, menggunakan nama dan logo sayap militer Hamas, Brigade al-Qassam, untuk menyebarkan pesan palsu mengenai para sandera yang ditahan di Gaza dan mengirimkan pesan ancaman kepada orang-orang Israel. Saluran Telegram lain yang telah mengancam personel IDF dan membocorkan data pribadi mereka, yang menurut penilaian kami diselenggarakan oleh kelompok MOIS, juga menggunakan logo Brigade al-Qassam. Tidak jelas apakah Iran bertindak atas persetujuan Hamas.

Demikian pula, Iran telah membentuk penyamaran yang kian meyakinkan sebagai organisasi aktivis fiktif Israel, di sayap kanan dan kiri spektrum politik Israel. Melalui aktivis palsu ini, Iran berupaya untuk menginfiltrasi komunitas Israel, dalam rangka memperoleh kepercayaan mereka dan menebar perselisihan.

Menggerakkan Israel untuk bertindak 
Pada bulan April dan November, Iran berulang kali menunjukkan keberhasilan dalam merekrut warga Israel tanpa mereka sadari, untuk terlibat di dalam aktivitas lapangan yang mempromosikan operasi palsu Iran. Dalam sebuah operasi baru-baru ini, “Tears of War,” agen Iran dilaporkan berhasil meyakinkan warga Israel untuk menggantungkan spanduk bertuliskan Tears of War di lingkungan Israel, menampilkan gambar Netanyahu yang tampaknya dibuat oleh Al dan menuntut pencabutan Netanyahu dari jabatannya (lihat Gambar 11).28
Amplifikasi lewat teks dan email dengan frekuensi dan kecanggihan yang semakin tingi 
Operasi pengaruh Iran terus mengandalkan amplifikasi di media sosial yang inotentik dan terkoordinasi untuk menjangkau audiens target. Seiring hal tersebut, Iran juga kian intens memanfaatkan pesan teks dan email dalam jumlah besar, untuk memperbesar dampak psikologis hasil operasi-pengaruh cyber mereka. Amplifikasi dengan sockpuppet di media sosial tidak berdampak sama jika dibandingkan dengan pesan yang muncul di kotak masuk seseorang, apalagi di ponselnya. Cotton Sandstorm membangun teknik ini berdasarkan kesuksesan di masa lalu semenjak tahun 2022,29 mengirimkan pesan teks, email, atau keduanya, di dalam jumlah besar, dalam setidaknya enam operasi sejak bulan Agustus. Meningkatnya penggunaan teknik ini menunjukkan, bahwa kelompok tersebut telah mempertajam kemampuan, dan mereka melihat, bahwa teknik ini efektif. Operasi “Cyber Flood” oleh Cotton Sandstorm pada akhir Oktober menyertakan tiga untai pesan teks dan email massal untuk Israel, mengamplifikasi klaim serangan cyber atau mendistribusikan peringatan palsu mengenai serangan Hamas terhadap fasilitas nuklir Israel di dekat Dimona.30 Setidaknya di dalam satu kasus, mereka memanfaatkan akun yang telah disusupi untuk meningkatkan keautentikan email.
Gambar 11: Spanduk Tears of War di Israel bergambar Netanyahu buatan AI, bertuliskan ‘lakukan pendakwaan sekarang.
Memanfaatkan media negara 
Iran telah menggunakan media terbuka dan saluran media rahasia terkait IRGC untuk mengamplifikasi operasi cyber terduga, serta terkadang membesar-besarkan dampaknya. Pada bulan September, setelah Cyber ​​Avengers mengklaim serangan cyber terhadap sistem jalan kereta api Israel, media terkait IRGC hampir seketika itu juga mengamplifikasi dan membesar-besarkan klaim mereka. Tasnim News Agency yang terkait dengan IRGC, secara keliru mengutip liputan berita Israel tentang peristiwa lain sebagai bukti dari serangan cyber yang terjadi.31 Pelaporan ini diamplifikasi kian jauh oleh saluran Iran dan saluran lain yang berpihak pada Iran, dengan cara-cara yang semakin menutup erat-erat perihal tidak adanya bukti yang mendukung klaim serangan cyber tersebut.32
Adopsi AI baru untuk operasi pengaruh 
Sejak pecahnya perang Israel-Hamas, MATC memantau pelaku Iran menggunakan gambar dan video yang dibuat oleh AI. Cotton Sandstorm dan Storm-1364, serta saluran berita yang terafiliasi dengan Hezbollah dan Hamas, telah memanfaatkan Al untuk eskalasi intimidasi dan membentuk citra yang mencoreng Netanyahu dan kepemimpinan Israel.
Gambar 12: Operasi pengaruh Cotton Sandstorm pada bulan Agustus-Desember 2023, menggambarkan beragam metode dan aktivitas.
1. Kolaborasi yang meruak 
Beberapa minggu setelah perang Israel-Hamas, kami mulai melihat contoh kolaborasi di antara kelompok yang terafiliasi dengan Iran, meningkatkan hasil yang dapat dicapai oleh para pelaku. Kolaborasi akan mengurangi hambatan masuk, memungkinkan setiap kelompok untuk berkontribusi lewat kemampuan yang ada, menyingkirkan kebutuhan akan satu kelompok tunggal dalam pengembangan seluruh spektrum perkakas atau keahlian.

Kami menilai, bahwa sepasang kelompok terkait MOIS, Storm-0861 dan Storm-0842, berkolaborasi dalam serangan cyber destruktif di Israel pada akhir Oktober, dan kembali terjadi di Albania pada akhir Desember. Di dalam kedua kasus tersebut, Storm-0861 kemungkinan besar menyediakan akses ke jaringan, sebelum Storm-0842 mengeksekusi program jahat yang melakukan penghapusan menyeluruh (wiper). Demikian pula, Storm-0842 mengeksekusi program jahat penghapus (wiper) di entitas pemerintah Albania pada bulan Juli 2022 setelah Storm-0861 memperoleh akses.

Pada bulan Oktober, kelompok lain terkait MOIS, Storm-1084, kemungkinan juga telah memiliki akses ke sebuah organisasi di Israel tempat Storm-0842 menyebarkan wiper “BiBi”, julukan ini diambil karena program jahat tersebut menamai ulang file yang dihapus dengan string “BiBi.” Tidak jelas peran apa yang dimainkan oleh Storm-1084—jika memang ada—di dalam serangan destruktif tersebut. Storm-1084 menyelenggarakan serangan cyber destruktif terhadap organisasi Israel lainnya pada awal tahun 2023, digerakkan oleh grup lain terkait MOIS, yakni Mango Sandstorm (alias MuddyWater).33

Sejak pecahnya perang, Microsoft Threat Intelligence juga mendeteksi kolaborasi antara kelompok yang terhubung dengan MOIS, Pink Sandstorm, dan unit cyber Hezbollah. Microsoft telah memantau infrastruktur yang saling terkait dan perkakas yang mereka gunakan bersama. Kolaborasi Iran dengan Hezbollah dalam operasi cyber bukanlah hal yang belum pernah terjadi sebelumnya. Namun, ini menimbulkan perkembangan yang mengkhawatirkan, karena perang mungkin saja mempererat kelompok-kelompok lintas negara ini secara operasional.34 Semua serangan cyber yang Iran lakukan di dalam perang ini dikombinasikan dengan operasi pengaruh, sehingga ada kemungkinan tambahan, bahwa Iran akan meningkatkan operasi pengaruh dan jangkauan mereka dengan memanfaatkan penutur asli berbahasa Arab, untuk meningkatkan keautentikan dari persona yang inotentik.

2. Terlalu berfokus pada Israel 
Fokus pelaku cyber Iran terhadap Israel semakin tajam. Iran sudah sekian lama berfokus pada Israel, yang Teheran anggap sebagai musuh utama di samping Amerika Serikat. Oleh karena itu, berdasarkan data Microsoft Threat Intelligence, di dalam beberapa tahun terakhir, perusahaan Israel dan AS hampir selalu menjadi target paling lazim bagi Iran. Menjelang perang, pelaku Iran menaruh fokus utama mereka pada Israel, diikuti Uni Emirat Arab, dan Amerika Serikat. Setelah pecahnya perang, fokus terhadap Israel melejit. Empat puluh tiga persen aktivitas cyber negara-bangsa Iran yang dilacak di Microsoft menarget Israel, melampaui aktivitas terhadap 14 negara yang menjadi target berikutnya jika digabungkan.
Perincian persentase dari data Mogult Threat Intelligence berdasarkan negara, serta Iran yang menarget masa praperang dan 75 hari perang

Kami memperkirakan, bahwa ancaman dari operasi cyber dan pengaruh Iran akan berkembang seiring berlanjutnya konflik Israel-Hamas, terutama di tengah naiknya potensi eskalasi dengan musuh-musuh tambahan. Walaupun kelompok Iran dahulu terburu-buru, atau sekadar mengada-ada soal operasi pada masa awal perang, belum lama ini mereka telah memperlambat operasi, sehingga mereka memiliki lebih banyak waktu untuk memperoleh akses yang diinginkan atau mengembangkan operasi pengaruh yang lebih terperinci. Fase perang di dalam laporan ini menggarisbawahi, bahwa operasi cyber dan pengaruh Iran berproses secara perlahan-lahan, targetnya kian tajam, serta semakin kolaboratif dan destruktif.

Pelaku Iran juga semakin berani dalam menentukan target serangan mereka, salah satu catatan paling menarik adalah gempuran cyber terhadap rumah sakit, serta percobaan melintasi ‘garis merah’ Washington yang terlihat tak peduli akan dampaknya. Serangan IRGC terhadap sistem kendali air AS, meskipun bersifat oportunis, tampaknya merupakan manuver cerdas, dalam rangka menguji Washington dengan mengklaim legitimasi terkait penyerangan peralatan yang dibuat di Israel..

Menjelang pemilu AS pada bulan November 2024, meningkatnya kolaborasi antara Iran dan kelompok yang terafiliasi dengan Iran menjadi pertanda, bahwa akan ada tantangan lebih besar bagi orang-orang yang terlibat di dalam pertahanan pemilu. Jajaran pertahanan tidak bisa lagi menenangkan diri karena hanya perlu melacak beberapa kelompok. Sebaliknya, jumlah agen akses, kelompok pengaruh, dan pelaku cyber akan bertambah, sehingga lingkungan ancaman menjadi semakin kompleks dan berkelindan.

Wawasan ahli lainnya tentang operasi pengaruh Iran

Dengarkan selengkapnya dari para ahli mengenai operasi-pengaruh cyber Iran, yang berfokus pada tindakan Iran terkait pemilihan presiden AS tahun 2020 serta perang Israel-Hamas, di Microsoft Threat Intelligence Podcast. Diskusi mencakup taktik yang digunakan oleh pelaku Iran, seperti penyamaran, perekrutan penduduk lokal, serta pemanfaatan email dan pesan teks untuk amplifikasi. Hal ini juga akan memberikan konteks mengenai seluk-beluk aktivitas cyber Iran, upaya kolaboratif mereka, konsumsi propaganda, taktik kreatif, dan tantangan di dalam atribusi operasi pengaruh.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Operasi pengaruh cyber Negara bangsa Laporan negara bangsa Pelaku ancaman

Artikel terkait

Pelaku ancaman Rusia menyiapkan pertahanan, bersiaga untuk memanfaatkan kelelahan akibat perang 

Operasi cyber dan pengaruh Rusia tetap dilancarkan saat perang di Ukraina terus berlanjut. Microsoft Threat Intelligence merinci aktivitas pengaruh dan ancaman cyber terbaru selama enam bulan terakhir.
Pelajari selengkapnya

Iran beralih ke operasi pengaruh yang didukung cyber untuk meraih pengaruh lebih besar

Microsoft Threat Intelligence mengungkap peningkatan operasi pengaruh yang didukung cyber dari Iran. Dapatkan wawasan tentang ancaman beserta detail terkait teknik baru dan lokasi yang berpotensi menjadi ancaman masa depan.
Pelajari selengkapnya

Operasi pengaruh dan cyber pada peperangan digital di Ukraina

Inteligensi ancaman Microsoft mengkaji setahun terakhir operasi pengaruh dan cyber di Ukraina, mengungkap tren baru dalam ancaman cyber dan hal-hal yang mungkin terjadi saat perang memasuki tahun kedua.
Pelajari selengkapnya