Trace Id is missing

Iran øker cyberaktiverte påvirkningsoperasjoner til støtte for Hamas

Last ned
Del

Innledning

Idet Israel-Hamas-krigen brøt ut 7. oktober 2023, økte Iran umiddelbart støtten til Hamas med den nå perfeksjonerte teknikken som kombinerer målrettede hackinger med påvirkningsoperasjoner som forsterkes på sosiale medier, noe vi refererer til som cyberaktiverte påvirkningsoperasjoner.1 Irans operasjoner var opprinnelig reaksjonære og opportunistiske. Innen utgangen av oktober fokuserte nesten alle Irans påvirkningsaktører og store cyberaktører på Israel på en stadig mer målrettet, koordinert og destruktiv måte, og lagde en tilsynelatende grenseløs «alle-mann-på-dekk» -kampanje mot Israel. I motsetning til noen av Irans tidligere cyberangrep ble alle de destruktive cyberangrepene mot Israel i denne krigen – ekte eller fabrikerte – komplementert med nettbaserte påvirkningsoperasjoner.

Definisjon av viktige uttrykk

  • Cyberaktiverte påvirkningsoperasjoner 
    Operasjoner som kombinerer offensive datanettverksoperasjoner med meldinger og forsterkninger på en koordinert og manipulerende måte for å endre oppfatninger, atferd eller beslutninger for målgrupper for å fremme en gruppe eller en nasjons interesser og målsettinger.
  • Cyberidentitet 
    En kunstig åpen gruppe eller enkeltpersoner som tar ansvar for en cyberidentitet, mens de rettferdiggjør en løgn for den underliggende gruppen eller nasjonen som er ansvarlig.
  • Sokkedukke 
    En falsk identitet på nettet som bruker fiktive eller stjålne identiteter med mål om å avlede.

Påvirkningsoperasjoner ble stadig mer komplekse og uautentiske, og distribuerte nettverk med sosiale medie-«sokkedukker» i takt med krigens fremdrift. Gjennom hele krigen har disse påvirkningsoperasjonene prøvd å true israelerne og kritisert israelske myndigheters håndtering av gisler og militære operasjoner for å polarisere og til syvende og sist destabilisere Israel. myndigheters håndtering av gisler og militære operasjoner for å polarisere og til syvende og sist destabilisere Israel.

Etter hvert vendte Iran cyberangrepene og påvirkningsoperasjonene mot Israels politiske allierte og økonomiske partnere for å undergrave søtten til Israels militære operasjoner.

Vi forventer at trusselen som fremsettes av Irans cyber- og påvirkningsoperasjoner, vokser etter hvert som konflikten vedvarer, særlig midt i den økende muligheten for en utvidet krig. Økt frekkhet hos iranske og Iran-tilknyttede aktører kombinert med spirende samarbeid blant dem varsler om en økende trussel i forkant av det amerikanske valget i november.

Irans cyber og påvirkningsoperasjoner har utviklet seg gjennom flere faser siden Hamas-terroristangrepet 7. oktober. Ett element i operasjonene deres har vært konstant hele veien: kombinasjonen av opportunistisk cybermålretting med påvirkninsoperasjoner som ofte villedet presisjonen eller omfanget til påvirkningen.

Denne rapporten fokuserer på Irans påvirkning og cyberaktiverte påvirkningsoperasjoner fra 7. oktober til utgangen av 2023, og dekker trender og operasjoner datert tilbake til våren 2023.

Diagram som viser fasene til Irans cyber-aktiverte operasjoner i Israel-Hamas-krigen

Fase 1: Reaktiv og villedende

Iranske grupper var reaktive under den første fasen i Israel-Hamas-krigen. Iranske statlige medier sendte ut villedende informasjon om påståtte cyberangrep, og iranske grupper brukte datert materiale på nytt fra historiske operasjoner, brukte tilgangen de hadde før krigen på nytt, og overdrev det generelle omfanget og virkningen til påståtte cyberangrep.

Nesten fire måneder inn i krigen hadde Microsoft fremdeles ikke funnet tydelige bevis i dataene, som indikerte at iranske grupper hadde koordinert cyber- eller påvirkningsoperasjoner med Hamas’ planer om å angripe Israel 7. oktober. Overvekten av dataene og funnene antydet heller at iranske cyberaktører var reaktive, og økte raskt cyber- og påvirkningsoperasjonene etter Hamas’ angrep mot Israel.

Villedende detaljer om påståtte angrep gjennom statlige medier: 
Dagen krigen brøt ut, påstod nyhetsbyrået Tasnim, en iransk kanal tilknyttet Irans revolusjonsgarde (IRGC), at en gruppe kalt «Cyber Avengers» hadde gjennomført cyberangrep mot et israelsk kraftanlegg «samtidig med» angrepene til Hamas. 2 Cyber Avengers, en IRGC-drevet cyberidentitet, påstod faktisk å ha gjennomført et cyberangrep mot et israelsk energiverk kvelden før Hamas’ angrep.3 Beviset: en uke gammel presserapport om strømbrudd i «senere år» og et skjermbilde av et udatert servicebrudd på selskapets nettsted. 4
Bruke gammelt materiale på nytt: 
Etter Hamas’ angrep på Israel påstod Cyber Avengers å ha gjennomført en rekke cyberangrep mot Israel, der de tidligste av disse viste seg å være falske. 8. oktober påstod de å ha lekket dokumenter fra et israelsk kraftanlegg, selv om dokumentene hadde blitt publisert tidligere, i juni 2022, av en annen IRGC-drevet cyberidentitet kalt «Moses Staff».5
Bruke tidligere tilgang på nye måter: 
En annen cyberidentitet «Malek Team», som vi tror drives av Etterretningsministeriet i Iran (MOIS), lekket personopplysninger fra et israelsk universitet 8. oktober, uten noen klar kobling til målretting mot den spirende konflikten der, noe som tyder på at målet var opportunistisk, og kanskje valgt basert på forhåndseksisterende tilgang før krigens utbrudd. I stedet for å trekke koblinger mellom de lekkede dataene og støtte for Hamas’ operasjoner, brukte Malek Teams først emneknagger på X (tidligere Twitter) for å støtte Hamas, og endret meldingene bare noen dager senere, for å tilpasse dem til meldingene som vanæret Israels statsminister Benjamin Netanyahu, som sett i andre iranske påvirkningsoperasjoner.
Iransk propagandabruk på verdensbasis illustrert med en tidslinje og en graf for andelen trafikk
Figur 2: Microsoft trusselinformasjon – iransk propagandabruk etter land. Hamas-angrep på Israel. Graf som viser aktivitet fra april til desember 2023.
Irans påvirkningsoperasjoner var mest effektive tidlig i krigen 
Rekkevidden til iranske statstilknyttede medier økte etter utbruddet av Israel-Hamas-krigen. I den første uken av konflikten observerte vi en økning på 42 % i Microsoft AI for Good Lab’s Iranian Propaganda Index, som overvåker forbruket av nyheter fra iranske statlige og statlig tilknyttede nyhetskanaler (se figur 1). Indeksen måler andelen trafikk på disse nettstedene, sammenlignet med den totale trafikken på Internett. Denne økningen ble spesielt tydelig i engelskspråklige land tett alliert med USA (figur 2), som fremhever Irans evne til å nå vestlige målgrupper med rapporteringen av Midtøsten-konflikten. En måned inn i krigen forble rekkevidden til disse iranske kildene 28–29 % over nivåene globalt før krigen.
Irans påvirkning uten cyberangrep viser smidighet 
Irans påvirkningsoperasjoner fremstod som mer smidige og effektive i starten av krigen, sammenlignet med de kombinerte cyberpåvirkningsoperasjonene senere i konflikten. Noen dager etter Hamas’ angrep på Israel, startet en sannsynlig iransk statlig aktør som vi følger som Storm-1364, en påvirkningsoperasjon ved bruk av en nettbasert identitet kalt  «Tears of War», som etterlignet israelske aktivister, for å spre anti-Netanyahu-budskap til israelske målgrupper på tvers av flere sosiale medier og meldingsplattformer. Tempoet kampanjen til Storm-1364 ble startet i, etter angrepene 7. oktober, fremhever denne gruppens smidighet og peker på fordeler ved kampanjer som kun bruker påvirkning, som er raskere å danne fordi de ikke trenger å vente på cyberaktviteten til en cyberaktivert påvirkningsoperasjon.

Fase 2: Alle-mann-på-dekk

Fra midten til slutten av oktober endret stadig flere iranske grupper fokuset til Israel, og Irans cyberaktiverte påvirkningsoperasjoner bevegde seg fra å være svært reaktive, oppdiktet eller begge deler, til å inkludere destruktive cyberangrep og utvikle interessemål for operasjoner. Disse angrepene inkluderte datasletting, løsepengevirus og åpenbar justering av tingenes Internett (IoT)-tjeneste.6 Vi så også bevis på økt koordinering blant iranske grupper.

I den første uka i krigen fulgte Microsoft trusselinformasjon ni iranske grupper som drev aktiv målretting mot Israel. Dette tallet vokste til 14 grupper innen dag 15. I noen tilfeller har vi observert at flere IRGC- eller MOIS-grupper retter seg mot samme organisasjon eller militære base med cyber- eller påvirkningsaktivitet, hvilket tyder på koordinering, felles mål angitt i Teheran, eller begge deler.

Cyberaktiverte påvirkningsoperasjoner økte også. Vi observerte fire raskt implementerte cyber-aktiverte påvirkningsoperasjoner rettet mot Israel den første uken av krigen. Innen utgangen av oktober var antallet slike operasjoner mer enn fordoblet, noe som markerte en betydelig økning i disse operasjonene med langt på vei det raskeste tempoet hittil (se figur 4).

Illustrasjon: Irans cyber- og påvirkningsforbindelse, med symboler, trusselinformasjon og Irans revolusjonsgarde
Tidslinje for Irans cyberpåvirkningsoperasjoner: Økning under Kamas-krigen, 2021–2023

18. oktober brukte IRGCs Shahid Kaveh-gruppe, som Microsoft følger som Storm 0784, tilpassede løsepengevirus for å gjennomføre cyberangrep mot sikkerhetskameraer i Israel. Deretter brukte de én av cyberidentitetene sine «Soldiers of Solomon», til å komme med falske påstander om at de krevde løsepenger for sikkerhetskameraer og data på Nevatim Air Force Base. Undersøkelser av sikkerhetsmaterialet Soldiers of Solomon hadde lekket, avslørte at det var fra en by nord for Tel Aviv, med en gate som het Nevatim, ikke flybasen med samme navn. En analyse av ofrenes lokasjoner viste at ingen var i nærheten av den militære basen (se figur 5). Selv om iranske grupper hadde begynt destruktive angrep, forble operasjonene svært opportunistiske og fortsatte å bruke påvirkningsaktivitet for å overdrive presisjonen eller virkningen av angrepene.

21. oktober delte en annen cyberidentitet, drevet av IRGC-gruppen Cotton Sandstorm (vanligvis kjent som Emennet Pasargad), en video av angriperne som uleseliggjorde digitale visninger i synagoger med meldinger som refererte til Israels operasjoner i Gaza som «folkemord». 7 Dette markerte en metode som bygger meldinger inn direkte i cyberangrepene, mot et relativt mykt mål.

I denne fasen brukte Irans påvirkningsaktivitet mer omfattende og komplekse former for ueautentisk forsterkning. I de første to ukene av krigen oppdaget vi minimalt med avanserte former for uautentisk forsterkning – noe som igjen antyder at operasjonene var reaktive. Innen den tredje uka i krigen kom Irans mest profilerte påvirkningsaktør, Cotton Sandstorm, på banen og startet tre cyberaktiverte påvirkningsoperasjoner 21. oktober. Som vi ofte har sett fra gruppen, brukte de et nettverk med sokkedukker på sosiale medier for å forsterke operasjonene, selv om mange så ut til å ha blitt brukt på nytt noe forhastet, uten autentisk dekke for å forkle dem som israelere. Ved flere anledninger brukte Cotton Sandstorm masseutsending av tekstmeldinger eller e-post for å forsterke eller skryte av operasjonene sine, og utnyttet kompromitterte kontoer for å forbedre autentisiteten.8

Sannheten om Irans cyberangrepspåstander: Falske løsepengevirus og videoovervåkingsopptak, eksponering av villedende påvirkningsoperasjoner

Fase 3: Utvider det geografiske omfanget

Fra og med slutten av november utvidet iranske grupper den cyberaktiverte påvirkningen utover Israel, for å inkludere land som Iran oppfatter at hjelper Israel, og som med stor sannsynlighet undergraver internasjonal politisk, militær eller økonomisk støtte for Israels militære operasjoner. Denne utvidelsen i målretting var på linje med starten av angrepene på internasjonal shipping koblet til Israel av houthier, en Shi’ite militant gruppe i Jemen, støttet av Iran (se figur 8).9

  • 20. november advarte cyberidentiteten «Homeland Justice», drevet av Iran, mot store kommende angrep på Albania før forsterkende destruktive cyberangrep av MOIS-grupper i slutten av desember mot det albanske parlamentet, nasjonale flyselskap og telekommunikasjonsleverandører.10
  • 21. november rettet cyberidentiteten «Al-Toufan», drevet av Cotton Sandstorm, seg mot bahrainske myndigheter og økonomiske organisasjoner for å normalisere båndet til Israel.
  • Innen 22. november begynte IRGC-tilknyttede grupper å rette seg mot programmerbare logiske kontrollere (PLC-er) laget av Israel, i USA og muligens Irland, og koblet én fra ved et vannverk i Pennsylvania 25. november (figur 6).11 PLC-er er industrielle datamaskiner tilpasset kontrollen til produksjonsprosessene, slik som samlebånd, maskiner og robotenheter.
  • Tidlig i desember påstod identiteten «Cyber Toufan AI-Aksa», som MTAC tror er sponset av Iran, å lekke data fra et par amerikanske selskaper for økonomisk støtte av Israel og levering av utstyr til militæret.12 De har tidligere påstått dataslettingsangrep mot selskapene 16. november.13 På grunn av mangel på sterke tekniske bevis som kobler gruppen til Iran, er det mulig at identiteten drives av en iransk partner utenfor landet, med iransk deltakelse.
Uleseliggjort PLC hos hacket vannverk i Pennsylvanias, med Cyber Avengers-logo, 25. november

Irans cyberaktiverte påvirkningsoperasjoner fortsatte også å vokse i kompleksitet i denne siste fasen. De forkledde sokkedukkene bedre ved å gi dem nye navn og endre profilbildene så de så mer autentisk israelske ut. Samtidig nyttet de seg av nye teknikker vi ikke har sett fra iranske aktører tidligere, inkludert bruk av kunstig intelligens som nøkkelkomponent i budskapene. Vi tror Cotton Sandstorm avbrøt strømmingen av TV-tjenestene i De forente arabiske emirater og andre steder i desember, under dekke av identiteten kalt «For Humanity». For Humanity publiserte videoer på Telegram som viste at gruppen hacket tre nettbaserte strømmetjenester, og avbrøt flere nyhetskanaler med en falsk nyhetssending, med en nyhetsanker tilsynelatende generert av kunstig intelligens, som påstod å vise bilder av palestinere som var skadde og drept i israelske militæroperasjoner (figur 7).14 Nyhetskanaler og seere i De forente arabiske emirater, Canada og Storbritannia rapporterte avbrudd under strømming av TV-programmer, blant annet BBC, noen som stemte overens med For Humanitys påstander.15

HUMANITY 2023: 8. okt., 180 drept, 347 skadd. Figur 7: Avbrudd i TV-strømming ved bruk av en kringkaster generert av kunstig intelligens
Iran utvider målrettingen til israelske tilhengere, cyberangrep, advarsler og uleseliggjøringsaktiviteter.

Irans operasjoner arbeidet mot fire brede målsettinger: destabilisering, gjengjeldelse, trusler og undergraving av internasjonal støtte for Israel. Alle disse fire målsettingene streber etter å undergrave Israel og informasjonsmiljøene til tilhengerne for å skape generell forvirring og mangel på tillit.

Destabilisering gjennom polarisering 
Irans målretting av Israel under Israel-Hamas-krigen har hatt økt fokus på å fyre opp under den interne konflikten over israelske myndigheters tilnærming til krigen. En rekke operasjoner med iransk innflytelse utgir seg for å være israelske aktivistgrupper for å plante skadelige meldinger som kritiserer myndighetens tilnærming til de som ble kidnappet og tatt som gisler 7. oktober.17 Netanyahu har vært et primært mål for slike meldinger, og anmodning om avsettelse har vært et vanlig tema i Irans påvirkningsoperasjoner.18
HEVNERE – mangel på elektrisitet, mat, vann, drivstoff. Cyber Avengers publiserer video på nytt om Israels blokade
Gjengjeldelse 
Mange av Irans meldinger og valg av mål fremhever operasjonenes gjengjeldende karakter. Den behørig navngitte identiteten Cyber Avengers friga for eksempel en video som viste Israels forsvarsminister med melding om at Israel ville bli koblet fra elektrisitet, mat, vann og drivstoff i Gaza by (se figur 9), etterfulgt av en serie med påståtte Cyber Avengers-angrep rettet mot israelsk elektrisitets-, vann- og drivstoffinfrastruktur.19 De tidligere påstandene om angrep på Israels nasjonale vannverk noen dager i forveien omfattet meldingen “Et øye for et øye” og det IRGC-tilknyttede nyhetsbyrået Tasnim rapporterte at gruppen sa angrepene på vannverket var gjengjeldelse for beleiringen av Gaza.20 En MOIS-tilknyttet gruppe som vi følger som Pink Sandstorm (aka Agrius), gjennomførte en hack-and-leak-kampanje mot et israelsk sykehus i slutten av november, noe som så ut til å være en gjengjeldelse for Israels dagsbeleiring av al-Shifa Hospital i Gaza to uker tidligere.21
Trusler 
Irans operasjoner bidrar også til å undergrave Israels sikkerhet og truer Israels innbyggere og tilhengere ved å sende truende meldinger og overbevise målgrupper om at den statlige infrastrukturen og myndighetssystemene ikke er sikre. Noen av Irans trusler lot til å sikte på å undergrave Israels vilje til å fortsette krigen, for eksempel med meldinger som prøvde å overbevise IDF-soldater om at de burde «forlate krigen og dra hjem igjen» (figur 10).22 Én iransk cyberidentitet, som kan ha gitt seg ut for å være Hamas, påstod å ha sendt truende tekstmeldinger til familiene til israelske soldater, og å ha lagt til at «IDF-soldatene [Israelske forsvarsstyrker] måtte være oppmerksomme på at så lenge familiene deres ikke var sikre, ville heller ikke deres være det».23Sokkedukker som forsterket Hamas-identiteten, spredde meldinger på X om at IDF «ikke har makt til å beskytte sine egne soldater» og ledet seere til en rekke meldinger som angivelig ble sendt fra IDF-soldater, som ba Hamas om å skåne familiene deres.24
Truende melding fra antatt Cotton Sandstorm-drevet sokkedukke, som refererer til tilgang til personopplysninger og oppmuntring om å forlate krigen.
Undergraver internasjonal støtte for Israel 
Irans påvirkningsoperasjoner mot internasjonale målgrupper inkluderte ofte meldinger som forsøkte å svekke internasjonal støtte for Israel ved å fremheve skaden forårsaket av Israels angrep på Gaza. En identitet som utgir seg for å være en pro-palestinsk gruppe, henviste til Israels handlinger i Gaza som «folkemord».25 I desember kjørte Cotton Sandstorm flere påvirkningsoperasjoner – under navnene «For palestinerne» og «For menneskeheten» – som anmodet om at internasjonale fellesskap måtte fordømme Israels angrep på Gaza.26

For å oppnå målene i informasjonsområdet har Iran vært svært avhengig av fire påvirkningstaktikker, -teknikker og -prosedyrer (TTP-er) de siste ni månedene. Disse omfatter bruken av etterligning og forbedrede evner til å aktivere målgrupper, kombinert med økt bruk av tekstmeldingskampanjer og bruken av IRGC-tilknyttede medier for å forsterke påvirkningsoperasjonene.

Etterligning av israelske aktivistgrupper og iranske partnere 
Iranske grupper bygger på en langvarig teknikk med etterligning ved å utvikle mer spesifikke og overbevisende identiteter som utgir seg for å være både både venner og fiender av Iran. Mange av Irans tidligere operasjoner og identiteter har påstått å være aktivister for det palestinske formålet.27 Nylige operasjoner fra en identitet vi tror drives av Cotton Sandstorm, har gått litt lenger og bruker navnet og logoen til Hamas’ militære ving, al-Qassam-brigaden, for å spre falske meldinger om gisler som holdes i Gaza, og sender truende meldinger til israelerne. En annen Telegram-kanal som har truet IDF-personale og lekket personopplysninger, som vi tror ble drevet av en MOIS-gruppe, brukte også al-Qassam Brigades-logoen. Det er uklart om Iran handler med Hamas’ samtykke.

På samme måte har Iran laget overbevisende etterligninger av fiktive israelske aktivistorganisasjoner på høyre og venstre side av det israelske politiske spektrum. Gjennom disse falske aktivistene prøver Iran å infiltrere israelske fellesskap for å oppnå tillit og skape splid.

Aktiverer israelere til å handle 
I april og november demonstrerte Iran gjentatt suksess med å rekruttere uvitende israelere til å engasjere seg i aktiviteter på bakkenivå som fremmer de falske operasjonene. I en nylig operasjon kalt «Tears of War», lyktes iranske agenter angivelig med å overbevise israelere om å henge merkede Tears of War-bannere i israelske nabolag med et bilde av Netanyahu, tilsynelatende generert av kunstig intelligens, med krav om at han ble avsatt (se figur 11).28
Forsterkning gjennom tekstmelding og e-post med økt frekvens og kompleksitet 
Mens iranske påvirkningsoperasjoner fortsetter å være svært avhengige av koordinert uautentisk forsterkning på sosiale medier for å nå målgrupper, har Iran i økende grad brukt massetekstmeldinger og -e-post for å forsterke den psykologiske effekten til cyberaktiverte påvirkningsoperasjoner. Forsterkning på sosiale medier med sokkedukker har ikke samme innvirkning som en melding som dukker opp i innboksen, for ikke å snakke om på telefonen. Cotton Sandstorm bygde på tidligere suksess med denne teknikken, fra og med 2022,29 med masseutsending av tekstmeldinger, e-post, eller begge deler i minst seks operasjoner siden august. Den økte bruken av denne teknikken tyder på at gruppen har perfeksjonert funksjonen og ser på den som effektiv. Cotton Sandstorms «Cyber Flood»-operasjon i slutten av oktober inkluderte opptil tre sett med masseutsending av tekstmeldinger og e-post til israelere, som forsterket påståtte cyberangrep eller distribusjon av falske advarsler om Hamas-angrep på Israels kjernekraftanlegg i nærheten av Dimona.30 I minst ett tilfelle utnyttet de en kompromittert konto for å forsterke troverdigheten til e-postene.
Figur 11: Tears of War-banner i Israel med et bilde av Netanyahu, generert av kunstig intelligens, med teksten «tiltal han nå».
Utnytte statlige medier 
Iran har brukt åpenlyse og skjulte IRGC-tilknyttede mediekanaler for å forsterke påståtte cyberoperasjoner og tidvis overdrevet virkningen. I september, etter Cyber Avengers’ påståtte cyberangrep mot Israels jernbanenett, forsterket og overdrev IRGC-tilknyttede medier nesten umiddelbart kravene. Det IRGC-tilknyttede nyhetsbyrået Tasnim henviste feilaktig til en israelsk nyhetsdekning av en annen hendelse som bevis på at det hadde skjedd et cyberangrep.31 Denne rapporteringen ble ytterligere forsterket av andre iranske og Iran-tilpassede kanaler, på en måte som ytterligere skjulte mangelen på bevis som støttet påstandene om et cyberangrep.32
Begynnende bruk av kunstig intelligens i påvirkningsoperasjoner 
MTAC observerte at iranske aktører hadde brukt bilder og videoer generert av kunstig intelligens siden utbruddet av Israel-Hamas-krigen. Cotton Sandstorm og Storm-1364, i tillegg til Hezbollah og Hamas-tilknyttede nyhetskanaler, har brukt kunstig intelligens for å forsterke truslene og utvikle bilder som vanærer Netanyahu og Israels lederskap.
Figur 12: Cotton Sandstorm påvirkningsoperasjoner i august til desember 2023, som viser ulike metoder og aktiviteter.
1. Spirende samarbeid 
Flere uker inn i Israel-Hamas-krigen begynte vi å se eksempler på samarbeid mellom Iran-tilknyttede grupper, som forsterket det aktørene ville oppnå. Samarbeid senker barrieren for å delta, og lar hver gruppe bidra med eksisterende funksjoner og fjerner behovet for at én enkelt gruppe må utvikle et helt spekter av verktøy eller metoder.

Vi tror at et par MOIS-tilknyttede grupper, Storm-0861 og Storm-0842, samarbeidet om et destruktivt cyberangrep i Israel i slutten av oktober og igjen i Albania i slutten av desember. I begge tilfeller ga Storm-0861 sannsynligvis tilgang til nettverket før Storm-0842 kjørte wiper-programvare. På samme måte kjørte Storm-0842 wiper-programvare på albanske myndighetsinstanser i juni 2022 etter at Storm-0861 hadde fått tilgang.

I oktober kan også en annen MOIS-tilknyttet gruppe, Storm-1084, ha hatt tilgang til en organisasjon i Israel hvor Storm-0842 distribuerte «BiBi»-wiper-programvaren, som fikk navnet etter at den skadelige programvaren ga nytt navn til slettede filer med strengen «BiBi». Det er ikke klart hvilken rolle Storm-1084 spilte, om noen i det hele tatt i det destruktive angrepet. Storm-1084 gjennomførte destruktive cyberangrep mot en annen israelsk organisasjon tidlig i 2023, muliggjort av en annen MOIS-tilknyttet gruppe, Mango Sandstorm (aka MuddyWater).33

Siden krigens utbrudd har Microsoft trusselinformasjon også oppdaget samarbeid mellom en MOIS-tilknyttet gruppe, Pink Sandstorm, og Hezbollah-cyberenheter. Microsoft har observert overlappende infrastruktur og delte verktøy. Iransk samarbeid med Hezbollah om cyberoperasjoner er ikke ekstraordinært, men byr på en bekymrende utvikling om at krigen trekker disse gruppene enda tettere sammen driftsmessig over nasjonalgrensene.34 Etter hvert som Irans cyberangrep i denne krigen har blitt kombinert med påvirkningsoperasjoner, finnes det en ytterligere sannsynlighet for at Iran forbedrer påvirkningsoperasjonene og rekkevidden ved å utnytte innfødte arabisktalende personer for å forsterke autentisiteten til de uautentiske identitetene.

2. Hyperfokus på Israel 
Iranske cyberaktørers intensiverte fokus på Israel. Iran har hatt langvarig fokus på Israel, som Teheran ser på som sin hovedfiende i tillegg til USA. Følgelig, basert på Microsoft trusselinformasjondata, har israelske og amerikanske virksomheter nesten alltid vært Irans vanligste mål. I opptakten til krigen fokuserte iranske aktører mest på Israel, etterfulgt av De forente arabiske emirater og USA. Etter utbruddet av krigen økte dette fokuset på Israel kraftig. 43 prosent av iransk statlig cyberaktivitet som følges av Microsoft, rettet seg mot Israel, noe som er mer enn de neste 14 målrettede landene sammenlagt.
Prosentmessig oversikt over Mogults trusselinformasjondata etter land og iransk målretting før krigen og 75 dager inn i krigen

Vi forventer at trusselen fra Irans cyber- og påvirkningsoperasjoner vokser etter hvert som Israel-Hamas-konflikten vedvarer, særlig midt i den økende muligheten for eskalering langs flere fronter. Mens iranske grupper skyndte seg med å gjennomføre, eller simpelthen forfalske, operasjoner tidlig i krigen, senket iranske grupper farten på de siste operasjonene, slik at de fikk mer tid til å oppnå ønsket tilgang eller utvikle mer omfattende operasjoner. Det fasene i krigen, som er fremhevet i denne rapporten, tydeliggjør, er at iranske cyber- og påvirkningsoperasjoner har utviklet seg sakte, og blitt mer målrettet, samarbeidsfokusert og destruktive.

Iranske aktører har også blitt stadig mer dristige i målrettingen – noe som særlig viste seg i et cyberangrep mot et sykehus og ved testing av Washingtons røde linjer – og er tilsynelatende lite bekymret for konsekvenser. Til tross for å være noe opportunistisk var IRGCs angrep på amerikanske vannverk et tilsynelatende lurt knep for å teste Washington ved å påberope seg legitimitet ved angrep av utstyr som ble laget i Israel.

I forkant av valget i USA i november 2024 varsler det økte samarbeidet blant iranske og iransk-tilknyttede grupper en større utfordring for de som engasjerer seg i forsvaret rundt valget. Forsvarere kan ikke lenger nøye seg med å følge bare noen få grupper. For antallet tilgangsagenter, påvirkningsgrupper og cyberaktører vokser og utgjør et stadig mer komplekst og sammenflettet trusselmiljø.

Mer ekspertinnsikt om Irans påvirkningsoperasjoner

Hør mer fra eksperter på Irans cyberaktiverte påvirkningsoperasjoner, som fokuserer på Irans handlinger knyttet til det amerikanske valget i 2020, og Israel-Hamas-krigen, fra Microsoft trusselinformasjon-podcasten. Diskusjonen dekker taktikker iranske aktører bruker, for eksempel etterligning, rekruttering av lokale innbyggere, og utnyttelse av e-post- og tekstmeldinger for å forsterke. Den gir også kontekst til detaljene i iranske cyberaktiviteter, samarbeidsinnsats, propagandabruk, kreative taktikker, og utfordringer som kjennetegner påvirkningsoperasjoner.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Cyberbaserte påvirkningsoperasjoner Nasjonalstat Statlige rapporter Trusselaktører

Relaterte artikler

Russiske trusselaktører står klare til å utnytte krigstrettheten 

Russiske cyber- og påvirkningsoperasjoner vedvarer mens krigen i Ukraina fortsetter. Microsoft trusselinformasjon legger frem de siste datatrussel- og påvirkningsaktivitetene de siste seks månedene.
Mer informasjon

Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning

Microsoft trusselinformasjon avdekket en økning i cyberaktiverte påvirkningsoperasjoner fra Iran. Få trusselinnsikt med informasjon om nye teknikker og hvor fremtidige trusler kan komme fra.
Mer informasjon

Cyber- og påvirkningsoperasjonene på den digitale slagmarken til krigen i Ukraina

Microsoft trusselinformasjon undersøker et år med cyber-. og påvirkningsoperasjoner i Ukraina, avdekker nye trender innen cybertrusler, og hva vi kan forvente idet krigen går inn i sitt andre år.
Mer informasjon