Trace Id is missing

Iran gebruikt steeds meer cyberbeïnvloedingsoperaties om Hamas te steunen

Inleiding

Toen de oorlog tussen Israël en Hamas uitbrak op 7 oktober 2023, steunde Iran Hamas onmiddellijk met zijn inmiddels beproefde techniek om gerichte hacks te combineren met beïnvloedingsoperaties via sociale media, wat wij cyberbeïnvloedingsoperaties noemen.1 De operaties van Iran waren aanvankelijk reactionair en opportunistisch. Eind oktober waren bijna alle Iraanse beïnvloedingsactoren en belangrijke cyberactoren steeds gerichter, gecoördineerder en destructiever op Israël gericht, wat leidde tot een schijnbaar grenzeloze "alle hens aan dek" campagne tegen Israël. In tegenstelling tot sommige cyberaanvallen die Iran in het verleden uitvoerde, werden alle destructieve cyberaanvallen tegen Israël in deze oorlog - echt of verzonnen - aangevuld met online beïnvloedingsoperaties.

Sleuteltermen gedefinieerd

  • Cyberbeïnvloedingsoperaties 
    Activiteiten die offensieve computernetwerkoperaties combineren met berichten en versterking op een gecoördineerde en manipulatieve manier om percepties, gedrag of beslissingen van doelgroepen te veranderen om de belangen en doelen van een groep of een land te bevorderen.
  • Cyber-persona 
    Een gefabriceerde publiekelijk gerichte groep of individu die de verantwoordelijkheid neemt voor een cyberoperatie en tegelijkertijd de onderliggende groep of natie die verantwoordelijk is een plausibele ontkenning biedt.
  • Sokpop 
    Een vals online personage dat gebruik maakt van fictieve of gestolen identiteiten met misleiding als doel.

Beïnvloedingsoperaties werden steeds geavanceerder en minder authentiek, waarbij netwerken van social media "sokpoppen" werden ingezet naarmate de oorlog zich verder ontwikkelde. Tijdens de oorlog hebben deze beïnvloedingsoperaties geprobeerd Israëli's te intimideren terwijl ze kritiek hadden op de manier waarop de Israëlische regering omging met gijzelaars en militaire operaties om Israël te polariseren en uiteindelijk te destabiliseren.

Uiteindelijk richtte Iran zijn cyberaanvallen en beïnvloedingsoperaties tegen de politieke bondgenoten en economische partners van Israël om de steun voor de militaire operaties van Israël te ondermijnen.

We verwachten dat de dreiging die uitgaat van de cyber- en beïnvloedingsoperaties van Iran zal toenemen naarmate het conflict voortduurt, vooral nu de kans op een grotere oorlog toeneemt. De toegenomen brutaliteit van Iraanse en aan Iran gelieerde actoren, in combinatie met de groeiende onderlinge samenwerking, duidt op een groeiende dreiging in de aanloop naar de Amerikaanse verkiezingen in november.

De cyber- en beïnvloedingsoperaties van Iran hebben meerdere fasen doorlopen sinds de terroristische aanval van Hamas op 7 oktober. Eén element van hun operaties is altijd constant gebleven: de combinatie van opportunistische doelgerichte cyberaanvallen met beïnvloedingsoperaties die vaak de precisie of omvang van de impact misleiden.

Dit rapport richt zich op Iraanse beïnvloedings- en cyberbeïnvloedingsoperaties vanaf 7 oktober tot eind 2023, terwijl het ook ingaat op trends en operaties die teruggaan tot het voorjaar van 2023.

Grafiek met fasen van de cyberbeïnvloedingsoperaties van Iran in de oorlog tussen Israël en Hamas

Fase 1: Reactief en misleidend

Iraanse groepen waren reactief tijdens de beginfase van de oorlog tussen Israël en Hamas. Iraanse staatsmedia publiceerden misleidende details over vermeende cyberaanvallen en Iraanse groepen hergebruikten gedateerd materiaal van historische operaties, hergebruikten toegang die ze voor de oorlog hadden en overdreven de algehele omvang en impact van vermeende cyberaanvallen.

Na bijna vier maanden oorlog heeft Microsoft uit onze gegevens nog steeds geen duidelijk bewijs gezien dat Iraanse groepen hun cyber- of beïnvloedingsoperaties hadden gecoördineerd met de plannen van Hamas om Israël op 7 oktober aan te vallen. Het overwicht van onze gegevens en bevindingen wijst er eerder op dat Iraanse cyberactoren reactief waren en hun cyber- en beïnvloedingsoperaties na de Hamas-aanvallen snel opvoerden om Israël tegen te werken.

Misleidende details over geclaimde aanvallen via staatsmedia: 
Op de dag dat de oorlog uitbrak, beweerde Tasnim News Agency, een Iraanse krant die gelieerd is aan de Iraanse Revolutionaire Garde (IRG), ten onrechte dat een groep genaamd "Cyber Avengers" cyberaanvallen uitvoerde tegen een Israëlische elektriciteitscentrale "op hetzelfde moment" als de aanvallen van Hamas. 2 Cyber Avengers, een cyber-persona onder leiding van de IRG, beweerde de avond voor de inval van Hamas een cyberaanval te hebben uitgevoerd op een Israëlisch elektriciteitsbedrijf.3 Hun bewijs: wekenoude persberichten over stroomstoringen "in de afgelopen jaren" en een screenshot van een ongedateerde storing op de website van het bedrijf. 4
Oud materiaal hergebruiken: 
Na de aanvallen van Hamas op Israël, beweerde Cyber Avengers een reeks cyberaanvallen tegen Israël uit te voeren, waarvan de eerste door ons onderzoek vals bleken te zijn. Op 8 oktober beweerden ze documenten van een Israëlische energiecentrale te lekken, hoewel de documenten al eerder waren gepubliceerd in juni 2022 door een andere IRG-geleide cyberpersona "Moses Staff".5
Toegang hergebruiken: 
Een andere cyber persona "Malek Team", waarvan wij vermoeden dat het wordt geleid door het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), lekte op 8 oktober persoonlijke gegevens van een Israëlische universiteit zonder dat er een duidelijke link was tussen het doelwit en het opkomende conflict daar, wat erop wijst dat het doelwit opportunistisch was en misschien was gekozen op basis van reeds bestaande toegang voordat de oorlog uitbrak. In plaats van verbanden te leggen tussen de gelekte gegevens en steun voor de operaties van Hamas, gebruikte Malek Team in eerste instantie hashtags op X (voorheen Twitter) om Hamas te steunen en slechts enkele dagen later veranderde de berichtgeving om deze af te stemmen op het soort berichtgeving dat de Israëlische premier Benjamin Netanyahu kleineert, zoals te zien was in andere Iraanse beïnvloedingsoperaties.
Iraanse propagandaconsumptie wereldwijd geïllustreerd met een tijdlijn en verkeersaandeelgrafiek
Afbeelding 2: Microsoft Bedreigingsinformatie - Iraanse propaganda consumptie per land, Hamas aanvallen op Israël. Grafiek met activiteit van april tot december 2023.
De beïnvloedingsoperaties van Iran waren het meest effectief in de eerste dagen van de oorlog 
Het bereik van de Iraanse staatsmedia nam toe na de uitbraak van de oorlog tussen Israël en Hamas. In de eerste week van het conflict zagen we een stijging van 42% in de Iranian Propaganda Index van Microsoft AI for Good Lab, waarmee de consumptie van nieuws van de Iraanse staat en aan de staat gelieerde nieuwsbronnen wordt bijgehouden (zie figuur 1). De index vergelijkt het verkeer naar deze sites met het algehele verkeer op internet. Deze stijging was vooral duidelijk in Engelstalige landen die nauw verbonden zijn met de Verenigde Staten (figuur 2), wat het vermogen van Iran om een westers publiek te bereiken met zijn verslaggeving over conflicten in het Midden-Oosten benadrukt. Een maand na de aanvang van de oorlog lag het bereik van deze Iraanse bronnen wereldwijd nog steeds 28-29% boven het niveau van voor de oorlog.
De invloed van Iran zonder cyberaanvallen toont wendbaarheid 
De Iraanse beïnvloedingsoperaties leken in de eerste dagen van de oorlog wendbaarder en effectiever dan de gecombineerde cyber-beïnvloedingsoperaties later in het conflict. Binnen enkele dagen na de aanval van Hamas op Israël lanceerde een vermoedelijke actor van de Iraanse statelijke actor, die we volgen als Storm-1364, een beïnvloedingsoperatie met behulp van een online persona genaamd "Tears of War", die zich voordeed als Israëlische activisten om anti-Netanyahu berichten te verspreiden onder het Israëlische publiek via meerdere sociale media en berichtenplatforms. De snelheid waarmee Storm-1364 deze campagne lanceerde na de aanvallen van 7 oktober laat de wendbaarheid van deze groep zien en wijst op de voordelen van campagnes die alleen op beïnvloeding gericht zijn, die sneller gevormd kunnen worden omdat ze niet hoeven te wachten op cyberactiviteit van een cyber-enabled beïnvloedingsoperatie.

Fase 2: Alle hens aan dek

Vanaf midden tot eind oktober verlegde een groeiend aantal Iraanse groepen hun focus naar Israël, en de Iraanse cyberbeïnvloedingsoperaties veranderden van grotendeels reactief, gefabriceerd of beide, naar destructieve cyberaanvallen en het ontwikkelen van doelwitten voor operaties. Deze aanvallen bestonden uit het wissen van gegevens, ransomware en het blijkbaar aanpassen van een internet of things (IoT) apparaat.6 We zagen ook bewijs van toegenomen coördinatie tussen Iraanse groepen.

In de eerste week van de oorlog spoorde Microsoft Bedreigingsinformatie negen Iraanse groepen op die zich op Israël richtten; dat aantal groeide tot 14 groepen op dag 15. In sommige gevallen zagen we dat meerdere IRG- of MOIS-groepen dezelfde organisatie of militaire basis aanvielen met cyber- of beïnvloedingsactiviteiten, wat wijst op coördinatie, gemeenschappelijke doelen in Teheran, of beide.

Cyberbeïnvloedingsoperaties namen ook toe. In de eerste week van de oorlog zagen we vier gehaaste cyberbeïnvloedingsoperaties gericht op Israël. Eind oktober was het aantal van deze operaties meer dan verdubbeld, wat duidt op een aanzienlijke versnelling van deze operaties met verreweg het hoogste tempo tot nu toe (zie figuur 4).

Illustratie: De cyber- en beïnvloedingsnexus van Iran, met symbolen, bedreigingsinformatie en de Revolutionaire Garde
Tijdlijn van de cyberbeïnvloedingsactiviteiten van Iran: Toename tijdens de Kamas oorlog, 2021-2023

Op 18 oktober gebruikte de Shahid Kaveh Group van de IRG, die Microsoft traceert als Storm-0784, aangepaste ransomware om cyberaanvallen uit te voeren op beveiligingscamera's in Israël. Vervolgens gebruikte het een van zijn cyberpersonas, "Soldiers of Solomon", om valse beweringen te doen dat het beveiligingscamera's en gegevens op Nevatim luchmachtbasis had weten te bemachtigen. Onderzoek van de beveiligingsbeelden die Soldiers of Solomon heeft gelekt laat zien dat ze afkomstig waren uit een stad ten noorden van Tel Aviv met een Nevatim straat, niet van de gelijknamige luchtmachtbasis. Een analyse van de locaties van de slachtoffers laat zien dat geen van hen zich in de buurt van de militaire basis bevond (zie Figuur 5). Hoewel Iraanse groepen waren begonnen met destructieve aanvallen, bleven hun operaties grotendeels opportunistisch en bleven ze gebruik maken van beïnvloedingsactiviteiten om de precisie of het effect van de aanvallen te overdrijven.

Op 21 oktober deelde een andere cyberpersona bestuurd door de IRG-groep Cotton Sandstorm (beter bekend als Emennet Pasargad) een video van de aanvallers die digitale displays bij synagogen bekladden met boodschappen die verwezen naar de Israëlische operaties in Gaza als "genocide". 7 Dit markeerde een methode om berichten direct te integreren in cyberaanvallen tegen een relatief zwak doelwit.

In deze fase gebruikte de Iraanse beïnvloedingsactiviteit uitgebreidere en geavanceerdere vormen van niet-authentieke versterking. In de eerste twee weken van de oorlog ontdekten we minimale geavanceerde vormen van niet-authentieke versterking - wat opnieuw suggereert dat de operaties reactief waren. Tegen de derde week van de oorlog kwam de meest productieve beïnvloeder van Iran, Cotton Sandstorm, op het toneel en lanceerde op 21 oktober drie cyberbeïnvloedingsoperaties. Zoals we vaak zien bij de groep, gebruikten ze een netwerk van social media sokpoppen om de operaties te versterken, al leken velen overhaast te zijn herplaatst zonder authentieke covers die hen als Israëli's vermomden. Bij meerdere gelegenheden stuurde Cotton Sandstorm sms-berichten of e-mails in grote hoeveelheden om hun activiteiten te versterken of erover op te scheppen, waarbij gecompromitteerde accounts werden gebruikt om de authenticiteit te versterken.8

Beweringen Iran over cyberaanval ontkracht: Valse ransomware en camerabeelden, misleidende beïnvloedingsoperaties blootgelegd

Fase 3: Geografisch bereik uitbreiden

Vanaf eind november breidden Iraanse groepen hun invloed via cyberspace uit tot buiten Israël, tot landen waarvan Iran denkt dat ze Israël helpen, om zo de internationale politieke, militaire of economische steun voor de militaire operaties van Israël te ondermijnen. Deze uitbreiding van het aantal doelwitten viel samen met het begin van aanvallen op internationale scheepvaart die in verband worden gebracht met Israël door de Houthi's, een door Iran gesteunde sjiitische militante groep in Jemen (zie figuur 8).9

  • Op 20 november waarschuwde het door Iran beheerde cyberpersonage "Homeland Justice" voor grote aanstaande aanvallen op Albanië, voordat het eind december destructieve cyberaanvallen van MOIS-groepen tegen het Albanese parlement, de nationale luchtvaartmaatschappij en telecommunicatieproviders uitbreidde.10
  • Op 21 november richtte de door Cotton Sandstorm gerunde cyberpersona "Al-Toufan" zich op Bahreinse overheids- en financiële organisaties vanwege het normaliseren van de relaties met Israël.
  • Tegen 22 november begonnen groepen die gelieerd zijn aan de IRG zich op Israëlische programmeerbare logische controllers (PLC's) te richten in de Verenigde Staten en mogelijk ook in Ierland, waaronder het offline halen van een PLC bij een waterschap in Pennsylvania op 25 november (Afbeelding 6).11 PLC's zijn industriële computers die zijn aangepast voor de besturing van productieprocessen, zoals assemblagelijnen, machines en robotapparaten.
  • Begin december beweerde een personage dat volgens MTAC door Iran wordt gesponsord, "Cyber Toufan Al-Aksa", gegevens te lekken van een paar Amerikaanse bedrijven die Israël financieel steunen en apparatuur voor hun leger leveren.12 Eerder beweerden ze dat de bedrijven op 16 november werden aangevallen om gegevens te wissen.13 Bij gebrek aan sterk forensisch bewijs dat de groep in verband brengt met Iran, is het mogelijk dat de persona wordt geleid door een Iraanse partner buiten het land met Iraanse betrokkenheid.
Bekladde PLC bij waterbedrijf in Pennsylvania met Cyber Avengers-logo, 25 november

De cyberbeïnvloedingsoperaties van Iran werden in deze laatste fase ook steeds geavanceerder. Ze hebben hun sokpoppen beter vermomd door sommige een andere naam te geven en hun profielfoto's te veranderen zodat ze er meer authentiek Israëlisch uitzien. Ondertussen maakten ze gebruik van nieuwe technieken die we nog niet van Iraanse actoren hebben gezien, waaronder het gebruik van AI als een belangrijk onderdeel van hun berichtgeving. We beoordelen Cotton Sandstorm die in december streaming televisiediensten in de VAE en elders verstoorde onder het mom van een persona met de naam "For Humanity". For Humanity publiceerde video's op Telegram waarop te zien is hoe de groep drie online streamingdiensten hackt en verschillende nieuwskanalen verstoort met een neppe nieuwsuitzending met een schijnbaar door AI gegenereerde presentator die beweerde beelden te tonen van Palestijnen die gewond zijn geraakt en zijn gedood door Israëlische militaire operaties (Afbeelding 7).14 De nieuwsbronnen en kijkers in de VAE, Canada en het VK meldden onderbrekingen in het streamen van televisieprogramma's, waaronder BBC, die overeenkwamen met de beweringen van For Humanity.15

HUMANITY 2023: 8 oktober, 180 doden, 347 gewonden. Afbeelding 7: Verstoring van het streamen van tv met behulp van door AI gegenereerde uitzendingen
Iran breidt zijn doelwitten uit naar Israëlische supporters, cyberaanvallen, waarschuwingen en defacementactiviteiten.

De operaties van Iran waren gericht op vier brede doelstellingen: destabilisatie, vergelding, intimidatie en het ondermijnen van de internationale steun voor Israël. Alle vier van deze doelstellingen zijn er ook op gericht om de informatieomgeving van Israël en zijn aanhangers te ondermijnen om algemene verwarring en gebrek aan vertrouwen te creëren.

Destabilisatie door polarisatie 
Iran richtte zich tijdens de oorlog tussen Israël en Hamas steeds meer op het aanwakkeren van binnenlandse conflicten met betrekking tot de aanpak van de oorlog door de Israëlische regering. Meerdere beïnvloedingsoperaties van Iran hebben zich voorgedaan als Israëlische activistengroepen om aanstootgevende berichten te verspreiden over de aanpak van de regering van de ontvoerde personen die op 7 oktober in gijzeling werden genomen.17 Netanyahu is een primair doelwit geweest van dit soort berichten en oproepen tot zijn verwijdering waren een gemeenschappelijk thema in de beïnvloedingsoperaties van Iran.18
AVENGERS - Geen elektriciteit, voedsel, water, brandstof. Cyber Avengers posten video Israëlische blokkade opnieuw
Vergelding 
Veel van de berichtgeving van Iran en de keuze van doelwitten benadrukt de vergeldende aard van de operaties. Bijvoorbeeld, de persona Cyber Avengers publiceerde een video waarin de Israëlische minister van Defensie verklaarde dat Israël de elektriciteit, voedsel, water en brandstof naar Gaza zou afsluiten (zie Figuur 9), gevolgd door een reeks aanvallen die door Cyber Avengers werden geclaimd en die gericht waren op de Israëlische infrastructuur voor elektriciteit, water en brandstof.19  Hun eerdere beweringen over aanvallen op de nationale watersystemen van Israël dagen eerder bevatten de boodschap "An eye for an eye" en het aan de IRG gelieerde Tasnim News Agency meldde dat de groep verklaarde dat de aanvallen op de watersystemen een vergelding waren voor de acties tegen Gaza.20 Een aan MOIS gelinkte groep die we volgen als Pink Sandstorm (a.k.a. Agrius) heeft eind november een hack uitgevoerd en gelekt tegen een Israëlisch ziekenhuis dat een vergelding leek te zijn voor de dagenlange aanval van Israël op het al-Shifa ziekenhuis in Gaza twee weken eerder.21
Intimidatie 
De operaties van Iran dienen ook om de Israëlische veiligheid te ondermijnen en de burgers van Israël en zijn aanhangers te intimideren door dreigende berichten te verspreiden en de doelgroepen ervan te overtuigen dat de infrastructuur en overheidssystemen van hun staat onveilig zijn. Een deel van de intimidatie door Iran lijkt gericht op het ondermijnen van de bereidheid van Israël om de oorlog voort te zetten, zoals berichten die IDF-soldaten ervan proberen te overtuigen dat ze "de oorlog moeten verlaten en naar huis moeten gaan" (Afbeelding 10).22 Eén Iraanse cyberpersona, die zich mogelijk voordeed als Hamas, beweerde dreigende sms-berichten te sturen naar de families van Israëlische soldaten, en voegde eraan toe: "De IDF-soldaten [Israel Defense Forces] moeten zich ervan bewust zijn dat zolang onze families niet veilig zijn, hun families dat ook niet zullen zijn."23 Sokpopaccounts die de Hamas-persona versterken, verspreidden berichten op X dat de IDF "geen macht heeft om zijn eigen soldaten te beschermen" en wezen kijkers op een reeks berichten die zouden zijn verzonden door IDF-soldaten die Hamas vroegen om hun families te sparen.24
Dreigbericht van vermeende door Cotton Sandstorm gerunde sokpop, verwijzend naar toegang tot persoonlijke gegevens en aanmoedigend om de oorlog te beëindigen.
Internationale steun voor Israël ondermijnen 
De beïnvloedingsoperaties van Iran die gericht zijn op een internationaal publiek bevatten vaak berichten die de internationale steun voor Israël proberen te verzwakken door de schade te benadrukken die is veroorzaakt door de aanvallen van Israël op Gaza. Een persona die zich voordeed als een pro-Palestijnse groep noemde de acties van Israël in Gaza "genocide".25 In december voerde Cotton Sandstorm meerdere beïnvloedingsoperaties uit - onder de namen "For Palestinians" en "For Humanity" - die de internationale gemeenschap opriepen om Israël te veroordelen voor de aanvallen op Gaza.26

Om zijn doelen in de informatieruimte te bereiken, heeft Iran de afgelopen negen maanden zwaar ingezet op vier beïnvloedingstactieken, -technieken en -procedures (TTP's). Hieronder valt het gebruik van imitatie en verbeterde vaardigheden om doelgroepen te activeren, in combinatie met een toenemend gebruik van sms-campagnes en het gebruik van aan de IRG gelieerde media om beïnvloedingsoperaties te versterken.

Zich voordoen als Israëlische activistische groepen en Iraanse partners 
Iraanse groepen hebben voortgebouwd op een al lang bestaande techniek van imitatie door specifiekere en overtuigendere personas te ontwikkelen die zich zowel als vrienden als vijanden van Iran voordoen. Veel van de eerdere operaties en personas van Iran hebben zich voorgedaan als activisten die zich inzetten voor Palestina.27 Recente operaties van een persona die volgens ons wordt geleid door Cotton Sandstorm gingen nog verder en gebruikten de naam en het logo van de militaire vleugel van Hamas, de al-Qassam Brigades, om valse berichten te verspreiden over de gijzelaars in Gaza en om Israëliërs dreigende berichten te sturen. Een ander Telegram-kanaal dat IDF-personeel heeft bedreigd en hun persoonlijke gegevens heeft gelekt, waarvan we vermoeden dat het gerund wordt door een MOIS-groep, gebruikte ook het logo van de Al Qassam Brigades. Het is onduidelijk of Iran handelt met toestemming van Hamas.

Op vergelijkbare wijze heeft Iran steeds overtuigender imitaties gemaakt van fictieve Israëlische activistische organisaties aan de rechter- en linkerkant van het Israëlische politieke spectrum. Via deze nepactivisten probeert Iran te infiltreren in Israëlische gemeenschappen om hun vertrouwen te winnen en onenigheid te zaaien.

Israëliërs aanzetten tot actie 
In april en november toonde Iran herhaaldelijk succes bij het rekruteren van onwetende Israëli's om deel te nemen aan activiteiten ter plaatse ter bevordering van hun valse operaties. In één recente operatie, "Tears of War", slaagden Iraanse agenten er mogelijk in om Israëli's ervan te overtuigen om in Israëlische buurten spandoeken op te hangen met daarop een schijnbaar door Al gegenereerde afbeelding van Netanyahu en een oproep om hem uit zijn functie te verwijderen (zie Afbeelding 11).28
Versterking via sms en e-mail met toenemende frequentie en geavanceerdheid 
Terwijl Iraanse beïnvloedingsoperaties nog steeds sterk afhankelijk zijn van gecoördineerde niet-authentieke versterking van sociale media om doelgroepen te bereiken, maakt Iran steeds meer gebruik van massale sms-berichten en e-mails om de psychologische effecten van hun cyberbeïnvloedingsoperaties te versterken. Versterking op sociale media met behulp van sokpoppen heeft niet dezelfde impact als een bericht dat in iemands inbox verschijnt, laat staan in iemands telefoon. Cotton Sandstorm bouwde voort op eerdere successen met het gebruik van deze methode vanaf 2022,29 het massaal verzenden van sms-berichten, e-mails of beide in ten minste zes operaties sinds augustus. Het toegenomen gebruik van deze methode suggereert dat de groep het vermogen heeft aangescherpt en het als effectief beschouwt. Cotton Sandstorm's "Cyber Flood" operatie van eind oktober bestond uit wel drie reeksen massale sms-berichten en e-mails aan Israëliërs waarin beweerde cyberaanvallen werden versterkt of valse waarschuwingen werden verspreid voor Hamas-aanvallen op Israëls nucleaire installatie bij Dimona.30 In minstens één geval maakten ze gebruik van een gecompromitteerde account om de authenticiteit van hun e-mails te vergroten.
Afbeelding 11: Spandoek van Tears of War in Israël met Al-gegenereerde afbeelding van Netanyahu, met tekst 'impeachment now.
De staatsmedia inzetten 
Iran heeft zowel openlijk als in het geheim IRG-gelieerde mediakanalen gebruikt om vermeende cyberoperaties uit te vergroten en soms de effecten ervan te overdrijven. Nadat Cyber Avengers in september cyberaanvallen tegen het Israëlische spoorwegsysteem hadden geclaimd, versterkten en overdreven de aan de IRG-gelieerde media hun beweringen vrijwel onmiddellijk. Het aan de IRG-gelieerde Tasnim News Agency citeerde ten onrechte Israëlische berichtgeving over een andere gebeurtenis als bewijs dat de cyberaanval had plaatsgevonden.31 Deze berichtgeving werd verder versterkt door andere Iraanse en door Iran gesteunde kanalen op een manier die het gebrek aan bewijs voor de beweringen over de cyberaanval verder verdoezelde.32
AI in opkomst voor beïnvloedingsoperaties 
MTAC observeerde Iraanse actoren die AI-gegenereerde beelden en video's gebruiken sinds het uitbreken van de oorlog tussen Israël en Hamas. Cotton Sandstorm en Storm-1364, evenals aan Hezbollah en Hamas gelieerde nieuwsuitzendingen, hebben Al gebruikt om intimidatie te versterken en beelden te ontwikkelen die Netanyahu en het Israëlische leiderschap zwartmaken.
Afbeelding 12: De beïnvloedingsoperaties van Cotton Sandstorm aug-dec 2023, met verschillende methoden en activiteiten.
1. Opkomende samenwerking 
Weken na het begin van de oorlog tussen Israël en Hamas, begonnen we voorbeelden te zien van samenwerking tussen groepen die gelieerd waren aan Iran, waarmee de actoren meer konden bereiken. Samenwerking verlaagt de toetredingsdrempel, zodat elke groep bestaande capaciteiten kan inbrengen en er niet één groep nodig is om een volledig spectrum aan gereedschappen of vakkennis te ontwikkelen.

We hebben vastgesteld dat een paar aan MOIS-gelieerde groepen, Storm-0861 en Storm-0842, hebben samengewerkt aan een vernietigende cyberaanval in Israël eind oktober en opnieuw in Albanië eind december. In beide gevallen verschafte Storm-0861 waarschijnlijk toegang tot het netwerk voordat Storm-0842 de wiper malware uitvoerde. Op dezelfde manier voerde Storm-0842 in juli 2022 wiper-malware uit bij Albanese overheidsinstanties nadat Storm-0861 toegang had verkregen.

In oktober had een andere aan MOIS-gelieerde groep, Storm-1084, mogelijk ook toegang tot een organisatie in Israël waar Storm-0842 de "BiBi" wisser inzette, vernoemd naar de hernoeming door de malware van gewiste bestanden met de string "BiBi". Het is niet duidelijk welke rol Storm-1084 eventueel heeft gespeeld bij de vernietigende aanval. Storm-1084 voerde begin 2023 vernietigende cyberaanvallen uit op een andere Israëlische organisatie, mogelijk gemaakt door een andere aan MOIS-gelieerde groep, Mango Sandstorm (ook bekend als MuddyWater).33

Sinds het begin van de oorlog heeft Microsoft Bedreigingsinformatie ook samenwerking ontdekt tussen een aan MOIS-gelieerde groep, Pink Sandstorm, en Hezbollah cybereenheden. Microsoft heeft overlappingen in de infrastructuur en gedeelde hulpprogramma's waargenomen. De samenwerking tussen Iran en Hezbollah op het gebied van cyberoperaties is weliswaar niet ongekend, maar het is wel een zorgwekkende ontwikkeling dat de oorlog deze groepen over de landsgrenzen heen operationeel nog dichter bij elkaar kan brengen.34 Aangezien de cyberaanvallen van Iran in deze oorlog allemaal zijn gecombineerd met beïnvloedingsoperaties, is het extra waarschijnlijk dat Iran zijn beïnvloedingsoperaties en het bereik ervan verbetert door gebruik te maken van moedertaalsprekers van het Arabisch om de authenticiteit van zijn niet-authentieke personas te vergroten.

2. Hyperfocus op Israël 
Iraanse cyberactoren richten zich steeds meer op Israël. Iran richt zich al heel lang op Israël, omdat Teheran dit land naast de Verenigde Staten als zijn grootste tegenstander beschouwt. Op basis van gegevens van Microsoft Bedreigingsinformatie waren Israëlische en Amerikaanse bedrijven de afgelopen jaren dan ook bijna altijd de meest voorkomende doelwitten van Iran. In de aanloop naar de oorlog richtten Iraanse actoren zich het meest op Israël, gevolgd door de VAE en de Verenigde Staten. Na het uitbreken van de oorlog nam de aandacht voor Israël toe. Drieënveertig procent van de cyberactiviteiten van Iraanse natiestaten die door Microsoft zijn gevolgd, waren gericht op Israël, meer dan de volgende 14 landen samen.
Procentuele uitsplitsing van de gegevens van Mogult Bedreigingsinformatie naar land en Iraans doelwit vóór de oorlog en 75 dagen na de oorlog

We verwachten dat de dreiging van de cyber- en beïnvloedingsoperaties van Iran zal toenemen naarmate het conflict tussen Israël en Hamas voortduurt, vooral omdat de kans op escalatie op andere fronten toeneemt. Terwijl Iraanse groepen zich in het begin van de oorlog haastten om operaties uit te voeren of zelfs te verzinnen, hebben Iraanse groepen hun recente operaties vertraagd, waardoor ze meer tijd hebben om de gewenste toegang te krijgen of meer uitgebreide beïnvloedingsoperaties te ontwikkelen. Wat de oorlogsfases die in dit rapport worden beschreven duidelijk maken, is dat Iraanse cyber- en beïnvloedingsoperaties langzaam vorderen en steeds doelgerichter, samenwerkingsgerichter en destructiever worden.

Iraanse actoren zijn ook steeds gewaagder geworden in hun aanvallen, vooral met een cyberaanval op een ziekenhuis en het testen van de rode lijnen van Washington, schijnbaar zonder zich zorgen te maken over repercussies. De aanvallen van de IRG op Amerikaanse watercontrolesystemen waren weliswaar opportunistisch, maar ogenschijnlijk een slimme zet om Washington op de proef te stellen door aan te voeren dat het legitiem was om in Israël gemaakte apparatuur aan te vallen.

In de aanloop naar de Amerikaanse verkiezingen in november 2024 vormt de toegenomen samenwerking tussen Iraanse en aan Iran gelieerde groepen een grotere uitdaging voor de mensen die zich bezighouden met de verdediging van de verkiezingen. Verdedigers hebben niet langer genoeg aan het volgen van een paar groepen. Een groeiend aantal toegangsagenten, invloedrijke groepen en cyberactoren zorgen voor een complexere en sterker verweven bedreigingsomgeving.

Meer deskundige inzichten over de beïnvloedingsoperaties van Iran

Hoor meer van experts over de cyberbeïnvloedingsoperaties van Iran, met de nadruk op de acties van Iran met betrekking tot de Amerikaanse presidentsverkiezingen van 2020 en de oorlog tussen Israël en Hamas in de Microsoft Bedreigingsinformatie-podcast. De discussie gaat over tactieken die Iraanse actoren gebruiken, zoals imitatie, het rekruteren van lokale inwoners en het gebruik van e-mail en sms-berichten voor versterking. Het biedt ook context voor de details van Iraanse cyberactiviteiten, hun gezamenlijke inspanningen, propagandaverbruik, creatieve tactieken en uitdagingen bij het vaststellen van beïnvloedingsoperaties.

Verwante artikelen

Russische bedreigingsactoren graven zich in, bereiden zich voor op afgedwongen oorlogsmoeheid 

Russische cyber- en beïnvloedingsoperaties gaan door nu de oorlog in Oekraïne voortduurt. Microsoft Bedreigingsinformatie geeft details over de meest recente cyberbedreigings- en beïnvloedingsactiviteiten van de afgelopen zes maanden.

Iran gebruikt cyberbeïnvloedingsoperaties voor een groter effect

Microsoft Bedreigingsinformatie heeft een toenemend aantal cyberbeïnvloedingsoperaties vanuit Iran ontdekt. Ontvang bedreigingsinzichten met details van nieuwe technieken en waar het potentieel van toekomstige bedreigingen ligt.

De cyber- en beïnvloedings­operaties van de oorlog op het digitale strijdveld van Oekraïne

Microsoft Bedreigings­informatie onderzoekt een jaar van cyber- en beïnvloedings­operaties in Oekraïne, onthult nieuwe trends in cyberbedreigingen en wat je kunt verwachten nu de oorlog in het tweede jaar is.