Trace Id is missing

Irāna palielina ar kibernoziegumiem saistītu ietekmes operāciju skaitu, lai atbalstītu Hamās

Lejupielādēt
Koplietošana

Ievads

Kad 2023. gada 7. oktobrī sākās Izraēlas-Hamās karš, Irāna nekavējoties palielināja atbalstu Hamās ar savu nu jau pārbaudīto paņēmienu apvienot mērķtiecīgus uzbrukumus ar ietekmes operācijām, kas izplatītas sociālajos tīklos, ko mēs dēvējam par ar kibernoziegumiem saistītām ietekmes operācijām.1 Irānas operācijas sākotnēji bija reakcionāras un oportūnistiskas. Līdz oktobra beigām gandrīz visi Irānas ietekmes izpildītāji un galvenie kiberizpildītāji arvien mērķtiecīgāk, koordinētāk un postošāk vērsās pret Izraēlu, veidojot šķietami neierobežotu kampaņu pret Izraēlu, apvienojot visus spēkus. Atšķirībā no dažiem agrākiem Irānas kiberuzbrukumiem visi tās postošie kiberuzbrukumi Izraēlai — reāli vai viltoti — šajā karā tika papildināti ar tiešsaistes ietekmes operācijām.

Definēti galvenie termini

  • Ar kibernoziegumiem saistītas ietekmes operācijas 
    Darbības, kas apvieno aizskarošas datortīklu darbības ar ziņojumapmaiņu un izplatīšanu koordinētā un manipulatīvā veidā, lai novirzītu mērķa auditorijas uzskatus, uzvedību vai lēmumus grupas vai nācijas interešu un mērķu tālākai īstenošanai.
  • Kiberpersona 
    Izstrādāta publiska grupa vai privātpersona, kas uzņemas atbildību par kiberdarbību, vienlaikus nodrošinot ticamu noliegšanu par to atbildīgajai grupai vai valstij.
  • Viltus profils (sock puppet) 
    Viltus tiešsaistes personāžs, kas maldināšanas nolūkā izmanto fiktīvas vai zagtas identitātes.

Ietekmes operācijas kļuva arvien sarežģītākas un neautentiskākas, kara gaitā izvēršot sociālo tīklu “viltus profilu” tīklus. Visa kara laikā šīs ietekmes operācijas ir bijušas mēģinājums iebiedēt izraēliešus, vienlaikus kritizējot Izraēlas valdības rīcību saistībā ar ķīlniekiem un militārās operācijas, lai polarizētu un galu galā destabilizētu Izraēlu.

Visbeidzot Irāna kiberuzbrukumus un ietekmes operācijas vērsa pret Izraēlas politiskajiem sabiedrotajiem un ekonomiskajiem partneriem, lai mazinātu atbalstu Izraēlas militārajām operācijām.

Mēs sagaidām, ka, konfliktam turpinoties, Irānas kiberoperāciju un ietekmes operāciju radītie draudi pieaugs, jo īpaši pieaugot iespējamībai, ka karš varētu izvērsties. Pieaugošā Irānas un ar Irānu saistīto izpildītāju bezbailība apvienojumā ar aizvien biežāku to sadarbību rada lielākus draudus pirms novembrī gaidāmajām ASV vēlēšanām.

Irānas kiberoperācijas un ietekmes operācijas kopš Hamās teroristu uzbrukuma 7. oktobrī ir attīstījušās vairākās fāzēs. Viens šo darbību elements ir palicis nemainīgs: oportūnistisku kiberuzbrukumu apvienošana ar ietekmes operācijām, kas bieži vien maldina par ietekmes precizitāti vai apjomu.

Šajā pārskatā galvenā uzmanība pievērsta Irānas ietekmes un ar kibernoziegumiem saistītām ietekmes operācijām, kas īstenotas no 7. oktobra līdz 2023. gada beigām, vienlaikus aptverot arī tendences un darbības 2023. gada pavasarī.

Diagramma, kurā attēlotas Irānas ar kibernoziegumiem saistītu ietekmes operāciju fāzes Izraēlas-Hamās karā

1. fāze: Reaktīvs un maldinošs

Irānas grupas reaģēja uz Izraēlas-Hamās kara sākuma fāzi. Irānas plašsaziņas līdzekļi izplatīja maldinošas ziņas par minētajiem kiberuzbrukumiem un Irānas grupām, kas atkārtoti izmantoja datētus materiālus no vēsturiskajām operācijām, atkārtoti centās piekļūt tiem pirms kara, kā arī pārspīlēja apgalvoto kiberuzbrukumu kopējo apjomu un ietekmi.

Gandrīz četrus mēnešus pēc kara sākuma Microsoft joprojām nav ieguvis skaidrus pierādījumus, kas liecinātu, ka Irānas grupas būtu koordinējušas savas kiberoperācijas vai ietekmes operācijas ar Hamās plāniem uzbrukt Izraēlai 7. oktobrī. Mūsu dati un atklājumi pārsvarā liecina, ka Irānas kiberizpildītāji reaģēja, ātri palielinot savas kiberoperācijas un ietekmes operācijas pēc Hamās uzbrukumiem, lai pretotos Izraēlai.

Maldinoša informācija par apgalvotajiem uzbrukumiem ar valsts plašsaziņu līdzekļu starpniecību: 
Dienā, kad sākās karš, ar Islāma revolucionāro gvardu korpusu (IRGC) saistītā Irānas ziņu aģentūra Tasnim nepatiesi apgalvoja, ka grupa ar nosaukumu Cyber Avengers veikusi kiberuzbrukumus Izraēlas spēkstacijai “vienlaikus” ar Hamās uzbrukumiem. 2 IRGC kiberpersona Cyber Avengers faktiski apgalvoja, ka vakarā pirms Hamās iebrukuma ir veikusi kiberuzbrukumu Izraēlas elektrouzņēmumam.3  Viņu pierādījumi: nedēļu veci ziņojumi plašsaziņas līdzekļos par elektroenerģijas padeves pārtraukumiem “pēdējo gadu” laikā un ekrānuzņēmums ar nedatētu pakalpojuma pārtraukumu uzņēmuma tīmekļa vietnē. 4
Veca materiāla atkārtota izmantošana: 
Pēc Hamās uzbrukumiem Izraēlai Cyber Avengers apgalvoja, ka veic virkni kiberuzbrukumu Izraēlai, no kuriem pirmie, kā atklājās mūsu izmeklēšanā, bija nepatiesi. 8. oktobrī viņi apgalvoja, ka ir nopludinājuši dokumentus par kādu Izraēlas spēkstaciju, lai gan šos dokumentus 2022. gada jūnijā jau bija publicējusi cita IRGC kiberpersona “Moses Staff”.5
Atkārtota piekļuve: 
Cita kiberpersona “Malek Team”, kuru, mūsuprāt, vada Irānas Informācijas un drošības ministrija (MOIS), 8. oktobrī nopludināja personas datus no Izraēlas universitātes bez skaidras mērķtiecīgas saistības ar tur notiekošo konfliktu, kas liecina, ka mērķis bija oportūnistisks un, iespējams, izvēlēts, pamatojoties uz iepriekšēju piekļuvi pirms kara sākšanās. Tā vietā, lai meklētu saistību starp nopludinātajiem datiem un atbalstu Hamās operācijām, Malek Team sākotnēji izmantoja atsauces tagus vietnē X (bijušais Twitter), lai atbalstītu Hamās, un tikai dažas dienas vēlāk mainīja ziņojumus, lai tie atbilstu Izraēlas premjerministru Benjaminu Netanjahu (Benjamin Netanyahu) nomelnojošiem ziņojumiem, kas bija vērojami citās Irānas ietekmes operācijās.
Irānas propagandas patēriņš visā pasaulē ilustrēts ar trafika diagrammas laika skalu un attiecību
2. attēls: Microsoft draudu informācija, Irānas propagandas patēriņš pa valstīm, Hamās uzbrukumi Izraēlai. Diagramma, kurā redzama darbība no 2023. gada aprīļa līdz decembrim.
Visefektīvākās Irānas ietekmes operācijas bija kara pirmajās dienās 
Irānas plašsaziņas līdzekļu sasniedzamība pieauga pēc Izraēlas-Hamās kara sākuma. Pirmajā konflikta nedēļā novērojām Microsoft AI Good Lab Irānas propagandas indeksa, kas uzrauga Irānas valsts un ar valsti saistīto ziņu aģentūru ziņu patēriņu, pieaugumu par 42% (skatīt 1. attēlu). Indekss mēra šo vietņu apmeklējumu trafika attiecību salīdzinājumā ar vispārējo interneta trafiku. Šis pieaugums bija īpaši izteikts angļu valodā runājošās valstīs, kas ir cieši saistītas ar Amerikas Savienotajām Valstīm (2. attēls), uzsverot Irānas spēju sasniegt Rietumu auditoriju ar saviem ziņojumiem par Tuvo Austrumu konfliktiem. Mēnesi ilgajā karā šo Irānas avotu sasniedzamība pasaules mērogā saglabājās par 28–29% augstāka nekā pirms kara.
Irānas ietekme bez kiberuzbrukumiem liecina par spēju darbību 
Irānas ietekmes operācijas izrādījās spējākas un efektīvākas pirmajās kara dienās, salīdzinot ar apvienotajām kiberietekmes operācijām vēlāk konflikta gaitā. Dažu dienu laikā pēc Hamās uzbrukuma Izraēlai iespējamais Irānas izpildītājs, kuru mēs izsekojam kā Storm-1364, uzsāka ietekmes operāciju, izmantojot tiešsaistes personāžs ar nosaukumu “Tears of War”, kas uzdodas par Izraēlas aktīvistiem, lai izplatītu pret Netanjahu vērstus ziņojumus Izraēlas auditorijai vairākās sociālo tīklu un ziņojumapmaiņas platformās. Ātrums, kādā Storm-1364 uzsāka šo kampaņu pēc 7. oktobra uzbrukumiem, parāda šīs grupas veiklību un norāda uz tikai ietekmes kampaņu priekšrocībām, kas var būt ātrāk izveidojamas, jo nav jāgaida uz ar kibernoziegumiem saistītas ietekmes operācijas kiberaktivitāti.

2. fāze: Apvienoti visi spēki

Laika posmā no oktobra vidus līdz oktobra beigām arvien vairāk Irānas grupu pievērsa uzmanību Izraēlai, un Irānas ar kibernoziegumiem saistītas ietekmes operācijas pārgāja no pārsvarā reaktīviem vai viltotiem (vai abām šīm formām) uz postošiem kiberuzbrukumiem un operāciju mērķu izstrādi. Šie uzbrukumi ietvēra datu dzēšanu, izspiedējprogrammatūru un šķietamu lietiskā interneta (IoT) ierīces pielāgošanu.6 Mēs redzējām arī pierādījumus par pastiprinātu koordināciju starp Irānas grupām.

Pirmajā kara nedēļā Microsoft draudu informācija izsekoja deviņas Irānas grupas, kas aktīvi vērsās pret Izraēlu; līdz kara 15. dienai šis skaits pieauga līdz 14 grupām. Dažos gadījumos novērojām, ka vairākas IRGC vai MOIS grupas vēršas pret vienu un to pašu organizāciju vai militāro bāzi, veicot kiberdarbības vai ietekmes darbības, kas liecina par koordināciju, Teherānā izvirzītiem kopīgiem mērķiem vai abiem.

Strauji pieauga arī ar kibernoziegumiem saistītas ietekmes operācijas. Kara pirmajā nedēļā mēs novērojām četras steigā īstenotas ar kibernoziegumiem saistītas ietekmes operācijas, kas bija vērstas pret Izraēlu. Līdz oktobra beigām šādu operāciju skaits vairāk nekā divkāršojās, kas iezīmēja ievērojamu paātrinājumu un līdz šim visstraujāko šāda veida operāciju tempu (skatīt 4. attēlu).

Attēls: Irānas kibersaites un ietekmes saites, kas ietver simbolus, draudu informāciju un Revolucionāro gvardu korpusu
Irānas kiberietekmes operāciju laika skala: Pieaugums Hamās kara laikā 2021.–2023. gadā

18. oktobrī IRGC grupa Shahid Kaveh, ko Microsoft izseko kā Storm-0784, izmantoja pielāgotu izspiedējprogrammatūru, lai veiktu kiberuzbrukumus drošības kamerām Izraēlā. Pēc tam tā izmantoja vienu no savām kiberpersonām “Soldiers of Solomon”, lai maldinoši apgalvotu, ka ir izpirkusi drošības kameras un datus Nevatimas gaisa spēku bāzē. Pārbaudot Soldiers of Solomon nopludinātos drošības kameru kadrus, atklājās, ka tie ir no pilsētas uz ziemeļiem no Telavivas ar Nevatim ielu, nevis no tāda paša nosaukuma aviobāzes. Patiesībā, analizējot upuru atrašanās vietas, redzams, ka neviens no viņiem neatradās militārās bāzes tuvumā (skatīt 5. attēlu). Lai gan Irānas grupas bija sākušas postošus uzbrukumus, to operācijas joprojām bija lielā mērā oportūnistiskas un turpināja izmantot ietekmes pasākumus, lai pārspīlētu uzbrukumu precizitāti vai ietekmi.

21. oktobrī kāda cita IRGC grupas kiberpersona Cotton Sandstorm (plašāk pazīstama kā Emennet PASARGAD) koplietoja video, kurā uzbrucēji pie sinagogām deformē digitālos displejus ar vēstījumiem, kuros Izraēlas operācijas Gazā dēvētas par “genocīdu”. 7 Tas iezīmēja metodi, kā iekļaut ziņojumapmaiņu kiberuzbrukumos pret salīdzinoši maigu mērķi.

Šajā fāzē Irānas ietekmes darbībās tika izmantotas plašākas un sarežģītākas neautentiskas izplatīšanas formas. Pirmajās divās kara nedēļās konstatējām minimālas neautentiskas izplatīšanas formas, kas atkal liecina, ka operācijas bija reaktīvas. Kara trešajā nedēļā uz skatuves parādījās Irānas visproduktīvākais ietekmes izpildītājs Cotton Sandstorm, kas 21. oktobrī uzsāka trīs ar kibernoziegumiem saistītas ietekmes operācijas. Kā tas bieži gadās grupai, lai pastiprinātu operācijas, viņi izmantoja sociālo tīklu izraēliešu viltus profilus, lai gan daudzi profili, šķiet, bija izveidoti steigā bez autentiska personas tēla. Vairākas reizes Cotton Sandstorm masveidā sūtīja īsziņas vai e-pasta ziņojumus, lai pastiprinātu savas darbības vai lielītos ar tām, izmantojot apdraudētus kontus, lai uzlabotu autentiskumu.8

Irānas apgalvojumi par kiberuzbrukumiem ir atspēkoti: Viltus izspiedējprogrammatūra un videonovērošanas kadri, atklātas maldinošas ietekmes operācijas

3. fāze: Ģeogrāfiskā tvēruma paplašināšana

Sākot ar novembra beigām, Irānas grupas paplašināja savu ar kibernoziegumiem saistīto ietekmi ārpus Izraēlas, iekļaujot valstis, kuras Irāna uzskata par tādām, kas palīdz Izraēlai, ļoti iespējams, lai mazinātu starptautisku politisko, militāro vai ekonomisko atbalstu Izraēlas militārajām operācijām. Šāda mērķtiecīga uzbrukumu paplašināšana sakrita ar hutiešu, Irānas atbalstītās šiītu kaujinieku grupas Jemenā, uzbrukumiem starptautiskajiem jūras pārvadājumiem, kas saistīti ar Izraēlu (skatīt 8. attēlu).9

  • 20. novembrī Irānas kiberpersona “Homeland Justice” brīdināja par lieliem gaidāmiem uzbrukumiem Albānijai, pirms MOIS grupas decembra beigās izpildīja postošus kiberuzbrukumus Albānijas parlamentam, valsts aviokompānijai un telekomunikāciju pakalpojumu sniedzējiem.10
  • 21. novembrī Cotton Sandstorm kiberpersona “Al-Toufan” vērsās pret Bahreinas valdību un finanšu organizācijām par attiecību normalizēšanu ar Izraēlu.
  • Līdz 22. novembrim ar IRGC saistītās grupas sāka vērsties pret Izraēlā ražotiem programmējamiem loģiskajiem kontrolieriem (PLC) Amerikas Savienotajās Valstīs un, iespējams, Īrijā, tostarp 25. novembrī izslēdzot bezsaistē vienu no ūdensapgādes iestādēm Pensilvānijā (6. attēls).11 PLC ir rūpnieciskie datori, kas pielāgoti ražošanas procesu, piemēram, montāžas līniju, mašīnu un robotizētu ierīču, vadībai.
  • Decembra sākumā personāžs Cyber Toufan Al-Aksa, ko, pēc MTAC domām, sponsorē Irāna, apgalvoja, ka no dažiem amerikāņu uzņēmumiem ir noplūduši dati par finansiālu atbalstu Izraēlai un aprīkojuma piegādi tās militārajām vajadzībām.12Viņi iepriekš apgalvoja, ka 16. novembrī pret uzņēmumiem tika vērsti datu dzēšanas uzbrukumi.13Tā kā trūkst pārliecinošu izmeklēšanas liecību, kas šo grupu saistītu ar Irānu, iespējams, ka šo personu vada Irānas partneris ārpus valsts ar Irānas līdzdalību.
Pensilvānijas ūdensapgādes iestādē sabojāts PLC ar Cyber Avengers logotipu, 25. novembris

Arī šajā pēdējā fāzē Irānas ar kibernoziegumiem saistītās ietekmes operācijas turpināja attīstīties arvien sarežģītāk. Viņi labāk maskēja savus viltus profilus, dažus pārdēvējot un mainot profila fotoattēlus, lai tie vairāk izskatītos kā autentiski izraēlieši. Tajā pašā laikā viņi izmantoja jaunus paņēmienus, kādus Irānas pārstāvji līdz šim nav izmantojuši, tostarp mākslīgā intelekta izmantošanu, kas ir galvenais ziņojumu veidošanas komponents. Mēs novērtējam Cotton Sandstorm decembrī veiktos traucējumus straumēšanas televīzijas pakalpojumiem AAE un citviet, izmantojot personāžu ar nosaukumu “For Humanity”. For Humanity vietnē Telegram publicēja videoklipus, kuros redzams, kā grupa uzlauž trīs tiešsaistes straumēšanas pakalpojumus un traucē vairāku ziņu kanālu darbību ar viltus ziņu raidījumu, kurā, šķiet, mākslīgā intelekta radīts diktors rādīja Izraēlas militāro operāciju rezultātā ievainoto un nogalināto palestīniešu attēlus (7. attēls).14 Ziņu aģentūras un skatītāji AAE, Kanādā un Apvienotajā Karalistē ziņoja par televīzijas programmu, tostarp BBC, straumēšanas traucējumiem, kas atbilda For Humanity apgalvojumiem.15

HUMANITY 2023: 8. oktobris, 180 nogalināti, 347 ievainoti. 7. attēls: Traucējumi straumēšanas TV, izmantojot mākslīgā intelekta ģenerētu apraidi
Irāna vēršas pret Izraēlas atbalstītājiem, izvērš kiberuzbrukumus, brīdinājumus un bojāšanas darbības.

Irānas operācijas bija vērstas uz četriem plašiem mērķiem: destabilizāciju, atriebību, iebiedēšanu un starptautiskā atbalsta graušanu Izraēlai. Visi šie četri mērķi ir vērsti arī uz Izraēlas un tās atbalstītāju informatīvās vides graušanu, lai radītu vispārēju apjukumu un uzticības trūkumu.

Destabilizācija ar polarizācijas palīdzību 
Izraēlas-Hamās kara laikā Irāna, vēršoties pret Izraēlu, arvien vairāk koncentrējās uz iekšzemes konflikta kurināšanu saistībā ar Izraēlas valdības pieeju karam. Vairākas Irānas ietekmes operācijas ir notikušas, maskējoties par Izraēlas aktīvistu grupām, lai izplatītu provokatīvus ziņojumus, kuros kritizēta valdības attieksme pret 7. oktobrī nolaupītajiem un sagūstītajiem ķīlniekiem.17 Netanjahu ir bijis galvenais šādu ziņojumu mērķis, un Irānas ietekmes operācijās bieži izskanēja aicinājumi viņu izraidīt.18
AVENGERS: nav elektrības, pārtikas, ūdens, degvielas. Cyber Avengers pārpublicēja video Izraēlas blokāde
Atriebība 
Liela daļa Irānas ziņojumu un izvēlēto mērķu uzsver, ka tās operācijām ir atriebības raksturs. Piemēram, atbilstoši nosauktais personāžs Cyber Avengers publicēja video, kurā redzams Izraēlas aizsardzības ministrs, paziņojot, ka Izraēla atslēgs elektrību, pārtiku, ūdeni un degvielu Gazas pilsētai (skatīt 9. attēlu), kam sekoja virkne Cyber Avengers uzbrukumu, kuru mērķis bija Izraēlas elektrības, ūdens un degvielas infrastruktūras.19 Iepriekšējos apgalvojumos par uzbrukumiem Izraēlas valsts ūdens sistēmām pirms dažām dienām bija ietverts vēstījums “Aci pret aci”, un ar IRGC saistītā ziņu aģentūra Tasnim ziņoja, ka grupa paziņojusi, ka uzbrukumi ūdens sistēmām ir atriebība par Gazas aplenkumu.20 Ar MOIS saistītā grupa, kuru mēs izsekojam kā Pink Sandstorm (dēvēta arī par Agrius), novembra beigās veica uzlaušanas un informācijas noplūdes uzbrukumu pret Izraēlas slimnīcu, kas, šķiet, bija atriebība par Izraēlas vairākas dienas ilgušo al-Shifa slimnīcas aplenkumu Gazā pirms divām nedēļām.21
Iebiedēšana 
Irānas operāciju mērķis ir arī graut Izraēlas drošību un iebiedēt Izraēlas pilsoņus un tās atbalstītājus, izplatot draudošus ziņojumus un pārliecinot mērķa auditoriju, ka tās valsts infrastruktūra un valdības sistēmas nav drošas. Dažu Irānas iebiedēšanas pasākumu mērķis, šķiet, ir mazināt Izraēlas vēlmi turpināt karu, piemēram, ziņojumos mēģinot pārliecināt IDF karavīrus, ka viņiem vajadzētu “pamest karu un atgriezties mājās” (10. attēls).22 Kāda Irānas kiberpersona, kas, iespējams, maskējas par Hamās, apgalvoja, ka sūta draudu īsziņas Izraēlas karavīru ģimenēm, norādot: “IDF [Izraēlas Aizsardzības spēku] karavīriem jāapzinās, ka, kamēr mūsu ģimenes nebūs drošībā, drošībā nebūs arī viņu ģimenes.”23 Viltus profili, kas pastiprināja Hamās personāžu, vietnē X izplatīja ziņojumus, ka IDF “nav nekādu pilnvaru, lai aizsargātu savus karavīrus”, un norādīja uz vairākiem ziņojumiem, kurus it kā nosūtījuši IDF karavīri, lūdzot Hamās saudzēt viņu ģimenes.24
Draudošs ziņojums no iespējamā Cotton Sandstorm vadītā viltus profila, kurā minēta piekļuve personas datiem un mudināts pamest karu.
Starptautiskā atbalsta Izraēlai graušana 
Irānas ietekmes operācijas, kas vērstas uz starptautisko auditoriju, bieži ietvēra ziņojumus, kuru mērķis bija vājināt starptautisko atbalstu Izraēlai, uzsverot Izraēlas uzbrukumu Gazai nodarīto kaitējumu. Personāžs, kas maskējas par palestīniešus atbalstošu grupu, nosauca Izraēlas rīcību Gazā par “genocīdu”.25 Decembrī Cotton Sandstorm veica vairākas ietekmes operācijas ar nosaukumiem “For Palestinians” un “For Humanity”, kurās aicināja starptautisko sabiedrību nosodīt Izraēlas uzbrukumus Gazai.26

Lai sasniegtu savus mērķus informācijas telpā, Irāna pēdējo deviņu mēnešu laikā ir lielā mērā izmantojusi četras ietekmes taktikas, paņēmienus un procedūras (TTP). Tie ietver uzdošanos un uzlabotu iespēju izmantošanu, lai aktivizētu mērķa auditoriju, kā arī arvien plašāku īsziņu kampaņu izmantošanu un ar IRGC saistītu plašsaziņas līdzekļu izmantošanu, lai pastiprinātu ietekmes operācijas.

Izraēlas aktīvistu grupu un Irānas partneru izlikšanās par Izraēlas aktīvistiem 
Irānas grupas ir pilnveidojušas sen izmantoto uzdošanās metodi, izstrādājot konkrētākus un pārliecinošākus personāžus, kas maskējas gan par Irānas draugiem, gan par tās ienaidniekiem. Daudzas Irānas agrāk veiktās operācijas un personāži ir apgalvojuši, ka ir aktīvisti, kas atbalsta palestīniešus.27 Nesen veiktās operācijas no personāža, kuru, pēc mūsu aplēsēm, vada Cotton Sandstorm, ir gājušas vēl tālāk, izmantojot Hamās militārā spārna al-Qassam Brigades nosaukumu un logotipu, lai izplatītu nepatiesus ziņojumus par Gazā turētajiem ķīlniekiem un sūtītu izraēliešiem draudošus ziņojumus. Citā Telegram kanālā, kurā tika izteikti draudi IDF personālam un noplūdināti viņu personas dati un kuru, pēc mūsu domām, vadīja MOIS grupa, arī tika izmantots al-Qassam Brigades logotips. Nav skaidrs, vai Irāna rīkojas ar Hamās piekrišanu.

Tāpat Irāna ir radījusi aizvien pārliecinošākas fiktīvas Izraēlas aktīvistu organizācijas, kas pārstāv gan labējo, gan kreiso Izraēlas politisko spektru. Ar šo viltus aktīvistu starpniecību Irāna cenšas iefiltrēties Izraēlas kopienās, lai iegūtu to uzticību un sētu nesaskaņas.

Izraēliešu aktivizēšana rīcībai 
Aprīlī un novembrī Irāna atkārtoti demonstrēja panākumus, vervējot neapzinīgus izraēliešus iesaistīties viltus operāciju veicināšanas pasākumos uz vietas. Vienā no nesenajām operācijām “Tears of War” Irānas aģentiem, kā ziņots, izdevās pārliecināt izraēliešus Izraēlas apkaimēs izkarināt Tears of War plakātus ar šķietami mākslīgā intelekta radītu Netanjahu attēlu un aicinājumu gāzt viņu no amata (skatīt 11. attēlu).28
Biežāka un sarežģītāka informācijas izplatīšana, izmantojot īsziņas un e-pasta ziņojumus 
Lai gan Irānas ietekmes operācijas joprojām lielā mērā paļaujas uz koordinētu neautentisku sociālo tīklu izplatīšanu, lai sasniegtu mērķa auditoriju, Irāna arvien vairāk izmanto masveida īsziņu un e-pasta ziņojumu sūtīšanu, lai pastiprinātu ar kibernoziegumiem saistīto ietekmes operāciju psiholoģisko iespaidu. Izplatīšanai sociālajos tīklos, izmantojot viltus profilus, nav tādas pašas ietekmes kā ziņai, kas parādās iesūtnē, nemaz nerunājot par tālruni. Cotton Sandstorm turpināja iepriekšējos panākumus, izmantojot šo paņēmienu no 2022. gada,29 un kopš augusta veica vismaz sešas operācijas, kurās masveidā sūtīja īsziņas, e-pasta ziņojumus vai abus. Aizvien biežāka šīs metodes izmantošana liecina, ka grupa ir pilnveidojusi šīs iespējas un uzskata tās par efektīvām. Cotton Sandstorm operācija “Cyber Flood” oktobra beigās ietvēra līdz pat trīs masveida īsziņu un e-pasta ziņojumu kopas izraēliešiem, kas pastiprināja minētos kiberuzbrukumus vai izplatīja viltus brīdinājumus par Hamās uzbrukumiem Izraēlas kodoliekārtai pie Dimonas.30Vismaz vienā gadījumā viņi izmantoja apdraudētu kontu, lai uzlabotu e-pasta ziņojumu autentiskumu.
11. attēls: Tears of War reklāmkarogs Izraēlā ar mākslīgā intelekta ģenerētu Netanjahu attēlu un tekstu “Impeachment now” (impīčments tagad).
Valsts plašsaziņas līdzekļu izmantošana 
Irāna ir izmantojusi atklātus un slēptus ar IRGC saistītus plašsaziņas līdzekļus, lai izplatītu iespējamās kiberoperācijas un dažkārt pārspīlētu to ietekmi. Septembrī pēc tam, kad Cyber Avengers paziņoja par kiberuzbrukumiem Izraēlas dzelzceļa sistēmai, ar IRGC saistītie plašsaziņas līdzekļi gandrīz nekavējoties izplatīja un pārspīlēja viņu apgalvojumus. Ar RGC saistītā ziņu aģentūra Tasnim nepareizi citēja Izraēlas ziņu reportāžu par citu notikumu kā pierādījumu tam, ka kiberuzbrukums ir noticis.31 Šos ziņojumus izplatīja citi Irānas un ar Irānu saistīti plašsaziņas līdzekļi, tādējādi vēl vairāk aizēnojot pierādījumu trūkumu, kas pamatotu apgalvojumus par kiberuzbrukumiem.32
Mākslīgā intelekta ieviešanas sākums ietekmes operācijās 
MTAC novēroja, ka kopš Izraēlas-Hamās kara sākuma Irānas dalībnieki izmanto mākslīgā intelekta radītos attēlus un video. Cotton Sandstorm un Storm-1364, kā arī ar Hezbollah un Hamās saistītie ziņu mediji ir izmantojuši mākslīgo intelektu, lai pastiprinātu iebiedēšanu un veidotu Netanjahu un Izraēlas vadību nomelnojošus tēlus.
12. attēls: Cotton Sandstorm ietekmes operācijas no 2023. gada augusta līdz decembrim, attēlojot dažādas metodes un darbības.
1. Aizvien biežāka sadarbība 
Dažas nedēļas pēc Izraēlas-Hamās kara sākuma sākām novērot sadarbības piemērus starp ar Irānu saistītām grupām, tādējādi palielinot to, ko šie izpildītāji varētu sasniegt. Sadarbība samazina šķēršļus ienākšanai tirgū, ļaujot katrai grupai dot ieguldījumu esošajās iespējās un novēršot nepieciešamību vienai grupai izstrādāt pilnu rīku vai prasmju spektru.

Mēs uzskatām, ka divas ar MOIS saistītas grupas Storm-0861 un Storm-0842 sadarbojās, lai īstenotu postošu kiberuzbrukumu Izraēlā oktobra beigās un vēlreiz Albānijā decembra beigās. Abos gadījumos Storm-0861, visticamāk, nodrošināja piekļuvi tīklam, pirms Storm-0842 izpildīja tīrītāja ļaunprogrammatūru. Līdzīgi arī Storm-0842 2022. gada jūlijā pēc tam, kad piekļuvi ieguva Storm-0861, Albānijas valdības struktūrvienībās izpildīja tīrītāja ļaunprogrammatūru.

Oktobrī citam ar MOIS saistītai grupai Storm-1084, iespējams, arī bija piekļuve organizācijai Izraēlā, kur Storm-0842 izvietoja tīrītāju “BiBi”, kas nosaukts pēc ļaunprogrammatūras izdzēsto failu pārdēvēšanas ar virkni “BiBi”. Nav skaidrs, kāda bija Storm-1084 loma postošajā uzbrukumā, ja tāda vispār bija. 2023. gada sākumā Storm-1084 veica postošus kiberuzbrukumus citai Izraēlas organizācijai, ko veicināja cita ar MOIS saistīta grupa Mango Sandstorm (dēvēta arī par MuddyWater).33

Kopš kara sākuma Microsoft draudu informācija ir atklājusi arī sadarbību starp ar MOIS saistītu grupu Pink Sandstorm un Hezbollah kibervienībām. Microsoft ir novērojis infrastruktūras pārklāšanos un kopīgu rīku izmantošanu. Irānas sadarbība ar Hezbollah kiberoperācijās, lai gan šis nav bezprecedenta gadījums, rada bažas par to, ka karš operatīvā ziņā varētu vēl vairāk tuvināt šīs grupas pat pāri valsts robežām.34Tā kā visi Irānas kiberuzbrukumi šajā karā ir bijuši apvienoti ar ietekmes operācijām, pastāv iespēja, ka Irāna uzlabo savas ietekmes operācijas un to sasniedzamību, izmantojot lietotājus, kuru dzimtā valoda ir arābu, lai uzlabotu savu viltus personāžu autentiskumu.

2. Pastiprināta uzmanība Izraēlai 
Irānas kiberizpildītāji pastiprināti pievērsās Izraēlai. Irāna jau ilgu laiku ir pievērsusi uzmanību Izraēlai, kuru Teherāna uzskata par savu galveno pretinieku līdzās Amerikas Savienotajām Valstīm. Tāpēc, pamatojoties uz Microsoft draudu informācijas datiem, pēdējos gados Izraēlas un ASV uzņēmumi gandrīz vienmēr ir bijuši biežākie Irānas mērķi. Gatavojoties karam, Irānas pārstāvji lielāko uzmanību pievērsa Izraēlai, kam sekoja AAE un Amerikas Savienotās Valstis. Pēc kara sākuma Izraēlai tika pievērsta pastiprināta uzmanība. 43% no Microsoft izsekotajām Irānas valsts kiberdarbībām bija vērstas pret Izraēlu, kas ir vairāk nekā nākamajās 14 valstis kopā.
Mogult draudu informācijas datu procentuālais sadalījums pa valstīm un Irānas mērķiem pirms kara un 75 dienas pēc kara

Mēs sagaidām, ka, turpinoties Izraēlas-Hamās konfliktam, pieaugs draudi, ko rada Irānas kiberoperācijas un ietekmes operācijas, īpaši ņemot vērā pieaugošo eskalācijas potenciālu papildu frontēs. Ja kara sākumā Irānas grupas steidzās īstenot vai vienkārši viltot operācijas, tad pēdējā laikā Irānas grupas ir palēninājušas savas operācijas, dodot vēl vairāk laika, lai iegūtu vēlamo piekļuvi vai izstrādātu sarežģītākas ietekmes operācijas. Šajā pārskatā aprakstītās kara fāzes skaidri parāda, ka Irānas kiberoperācijas un ietekmes operācijas ir lēnām progresējušas, kļūstot mērķtiecīgākas, uz sadarbību orientētākas un postošākas.

Arī Irānas spēki ir kļuvuši arvien drosmīgāki savos uzbrukumos, jo īpaši kiberuzbrukumā slimnīcai un Vašingtonas sarkano līniju pārbaudē, šķietami neuztraucoties par sekām. IRGC uzbrukumi ASV ūdens vadības sistēmām, lai gan tie bija oportūnistiski, šķiet, bija atjautīgs triks, lai pārbaudītu Vašingtonu, apgalvojot, ka uzbrukumi Izraēlā ražotām iekārtām ir likumīgi.

Pirms ASV vēlēšanām 2024. gada novembrī pieaugošā sadarbība starp Irānas un ar Irānu saistītajām grupām nozīmē lielāku izaicinājumu tiem, kas iesaistās vēlēšanu aizsardzībā. Aizsargi vairs nevar samierināties ar dažu grupu izsekošanu. Drīzāk pieaugošais piekļuves aģentu, ietekmes grupu un kiberizpildītāju skaits rada sarežģītāku un savstarpēji saistītu draudu vidi.

Vairāk ekspertu ieskatu par Irānas ietekmes operācijām

Papildinformācija no ekspertiem par Irānas ar kibernoziegumiem saistītām ietekmes operācijām, koncentrējoties uz Irānas rīcību saistībā ar 2020. gada ASV prezidenta vēlēšanām un Izraēlas-Hamās karu, Microsoft draudu informācijas raidierakstā. Diskusijā aplūkoti Irānas aktīvistu izmantotie paņēmieni, piemēram, uzdošanās, vietējo iedzīvotāju vervēšana, kā arī e-pasta un īsziņu izmantošana, lai izplatītu informāciju. Tas arī sniedz kontekstu par Irānas kiberdarbību sarežģītību, tās sadarbības centieniem, propagandas patēriņu, radošajiem paņēmieniem un ietekmes operāciju attiecinājuma problēmām.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Kiberietekmes operācijas Valstu darbības Nacionāla mēroga pārskati Draudu izpildītāji

Saistītie raksti

Krievijas draudu izpildītāji kāpina jaudu un gatavojas izmantot nogurumu no kara 

Turpinoties karam Ukrainā, turpinās arī Krievijas darbības kiberpasaulē un ietekmes operācijas. Microsoft draudu informācija detalizēti izskaidro jaunākos kiberapdraudējumus un ietekmes operācijas pēdējo sešu mēnešu laikā.
Papildinformācija

Irāna pievēršas ar kibernoziegumiem saistītām ietekmes operācijām, lai panāktu lielāku efektu

Microsoft draudu informācija atklāja, ka no Irānas tiek veiktas pastiprinātas ar kibernoziegumiem saistītas ietekmes operācijas. Iegūstiet ieskatus par draudiem, sniedzot vairāk informācijas par jauniem paņēmieniem un to, kur pastāv potenciālie draudi nākotnē.
Papildinformācija

Kiberoperācijas un ietekmes operācijas Ukrainas digitālajā kaujas laukā

Microsoft draudu informācija analizē gadu ilgušās kiberoperācijas un ietekmes operācijas Ukrainā, atklāj jaunas tendences kiberapdraudējumu jomā un to, kas sagaidāms, karam turpinoties jau otro gadu.
Papildinformācija