Iranul sporește brusc operațiunile de influență cu suport cibernetic în sprijinul Hamas

Operațiunile cibernetice și de influență ale Iranului au trecut prin mai multe etape din momentul atacului terorist comis de Hamas în 7 octombrie. În cadrul operațiunilor acestora, a rămas constant un anumit element: combinarea atacurilor cibernetice țintite oportuniste cu operațiuni de influență care induc în eroare, de multe ori, precizia sau amploarea impactului.

Acest raport pune accentul pe operațiunile de influență iraniene și pe operațiunile de influență cu suport cibernetic din 7 octombrie până la sfârșitul lui 2023, cuprinzând totodată tendințele și operațiunile începând cu primăvara anului 2023.

Grupările iraniene au fost reactive în faza inițială a războiului dintre Israel și Hamas. Presa de stat iraniană a publicat detalii înșelătoare cu privire la presupusele atacuri cibernetice, iar grupările iraniene au refolosit materiale învechite din operațiuni precedente, au refolosit accesul pe care-l dețineau încă dinainte de război și au exagerat amploarea și impactul general al presupuselor atacuri cibernetice.

După aproape patru luni de la începerea războiului, Microsoft nu a găsit încă dovezi clare, pe baza datelor noastre, care să indice că grupările iraniene și-ar fi coordonat operațiunile cibernetice sau de influență cu planurile Hamas de a ataca Israelul în data de 7 octombrie. Dimpotrivă, majoritatea datelor și concluziilor noastre sugerează că actorii cibernetici iranieni au fost reactivi, intensificându-și rapid operațiunile cibernetice și de influență după atacurile Hamas pentru a contracara Israelul.

Detalii înșelătoare privind atacurile revendicate prin intermediul presei de stat: 
În ziua declanșării războiului, agenția de presă Tasnim, o publicație iraniană afiliată la Corpul Gărzilor Revoluționare Islamice (IRGC), a afirmat în mod fals că o grupare numită „Cyber Avengers” (Răzbunătorii cibernetici) a efectuat atacuri cibernetice împotriva unei centrale electrice israeliene „simultan” cu atacurile Hamas. ² Cyber Avengers, un personaj cibernetic administrat de IRGC, pretinde de fapt că a efectuat un atac cibernetic împotriva unei companii electrice israeliene în seara precedentă incursiunii grupării Hamas.³ Dovezile lor constau în reportaje vechi de câteva săptămâni privind pene de curent „din ultimii ani” și o captură de ecran a unei întreruperi de serviciu pe site-ul companiei, fără o dată specificată. ⁴

Reutilizarea de materiale vechi: 
În urma atacurilor Hamas asupra Israelului, Cyber Avengers au susținut că vor efectua o serie de atacuri cibernetice împotriva Israelului, însă primele dintre ele, conform investigațiilor noastre, s-au dovedit a fi false. Astfel, în 8 octombrie, aceștia au pretins că au divulgat documente despre o centrală electrică israeliană, deși documentele fuseseră publicate anterior, în iunie 2022, de către un alt personaj cibernetic gestionat de IRGC, „Moses Staff” (Toiagul lui Moise).⁵

Reconfigurarea accesului: 
Un alt personaj cibernetic, „Echipa Malek”, care, potrivit estimărilor noastre, este condusă de Ministerul Informațiilor și Securității din Iran (MOIS), a divulgat date personale provenind de la o universitate israeliană la 8 octombrie, fără nicio legătură clară cu conflictul emergent din Israel, ceea ce sugerează că ținta a fost una oportunistă și posibil aleasă pe baza unui acces preexistent anterior izbucnirii războiului. În loc să stabilească legături între scurgerile de date și sprijinul acordat operațiunilor Hamas, Echipa Malek a utilizat inițial hashtaguri pe X (fostul Twitter) pentru a susține Hamas și doar după câteva zile și-a adaptat mesajele pentru a corespunde mesajelor de denigrare la adresa prim-ministrului israelian, Benjamin Netanyahu, observate în cadrul altor operațiuni de influență iraniene.

La 18 octombrie, gruparea Shahid Kaveh a IRGC, pe care Microsoft o identifică sub numele de Storm-0784, a utilizat un ransomware personalizat pentru a efectua atacuri cibernetice împotriva camerelor de securitate din Israel. Apoi și-a utilizat unul dintre personajele cibernetice, „Soldații lui Solomon”, pentru a pretinde în mod fals că a răscumpărat camerele de securitate și datele de la baza aeriană Nevatim. Examinarea înregistrărilor de securitate pe care Soldații lui Solomon le-au difuzat dezvăluie că acestea provin dintr-un oraș situat la nord de Tel Aviv, unde se află o stradă cu denumirea de „Nevatim”, și nu de la baza aeriană cu același nume. În fapt, analiza locațiilor victimelor arată că niciuna nu se afla în apropierea bazei militare (consultați figura 5). Deși grupările iraniene au început să lanseze atacuri distructive, operațiunile lor au rămas în mare parte oportuniste și au continuat să utilizeze activități de influență pentru a exagera precizia sau efectul atacurilor.

În 21 octombrie, un alt personaj cibernetic condus de gruparea Cotton Sandstorm a IRGC (cunoscut sub numele de Emennet Pasargad) a distribuit un videoclip cu atacatorii distrugând afișajele digitale de la sinagogi prin intermediul unor mesaje care se refereau la operațiunile Israelului din Gaza ca fiind un „genocid”. ⁷ Aceasta a marcat o metodă de încorporare a mesajelor direct în atacurile cibernetice direcționate împotriva unei ținte relativ ușoare.

În această fază, activitatea de influență a Iranului a apelat la forme mai extinse și mai sofisticate de amplificare falsă. În primele două săptămâni de război, am depistat un număr minim de forme avansate de amplificare falsă autentică, ceea ce sugerează din nou că operațiunile au fost reactive. Începând cu a treia săptămână de război, cel mai prolific actor de influență al Iranului, Cotton Sandstorm, și-a făcut debutul, lansând trei operațiuni de influență cibernetică în 21 octombrie. După cum putem constata frecvent în cazul grupării, aceasta a utilizat o rețea de „marionete” din rețelele de socializare pentru a amplifica operațiunile, deși multe dintre ele păreau a fi reutilizate în grabă, fără identități autentice israeliene. În mai multe rânduri, Cotton Sandstorm a trimis mesaje text sau e-mailuri în masă pentru a amplifica sau a se lăuda cu operațiunile lor, utilizând conturi compromise pentru a-și spori autenticitatea.⁸

Încă de la sfârșitul lunii noiembrie, grupările iraniene și-au extins influența cibernetică dincolo de Israel, cuprinzând țări care, conform percepției Iranului, sprijină Israelul, foarte probabil pentru a submina sprijinul politic, militar sau economic internațional pentru operațiunile militare israeliene. Această extindere a țintelor a coincis cu începutul atacurilor asupra transportului maritim internațional legat de Israel de către Houthis, o grupare militantă șiită susținută de Iran în Yemen (consultați figura 8).⁹

De asemenea, operațiunile de influență cu suport cibernetic ale Iranului au continuat să devină tot mai sofisticate în această ultimă etapă. Aceștia și-au deghizat mai bine marionetele, modificând numele și fotografiile de profil ale unora dintre ele pentru a părea mai autentic israeliene. Totodată, au recurs la noi tehnici pe care nu le-am mai întâlnit la actorii iranieni, inclusiv la utilizarea inteligenței artificiale ca element-cheie al mesajelor. În decembrie, Cotton Sandstorm a perturbat serviciile de televiziune prin streaming din Emiratele Arabe Unite și din alte țări, sub forma unui personaj intitulat „For Humanity” (Pentru omenire). For Humanity a publicat videoclipuri pe Telegram care arată cum gruparea a piratat trei servicii de streaming online și a perturbat mai multe canale de știri cu o emisiune cu știri trucate, în care un prezentator aparent generat de inteligența artificială susținea că prezintă imagini cu palestinieni răniți și uciși în urma operațiunilor militare israeliene (figura 7).¹⁴ Serviciile de știri și telespectatorii din Emiratele Arabe Unite, Canada și Regatul Unit au raportat întreruperi ale programelor de televiziune prin streaming, inclusiv BBC, care corespundeau cu afirmațiile emise de For Humanity.¹⁵

Pentru a-și atinge obiectivele în spațiul informațional, Iranul s-a axat în mare măsură pe patru tactici, tehnici și proceduri (TTP) de influență în ultimele nouă luni. Acestea cuprind recurgerea la substituirea identității și capacități avansate de mobilizare a publicului țintă, la care se adaugă intensificarea campaniilor prin mesaje text și valorificarea canalelor media afiliate cu IRGC pentru a amplifica impactul operațiunilor de influență.

Substituirea identității unor grupuri de activiști israelieni și a unor parteneri iranieni 
Grupurile iraniene se bazează pe o tehnică mai veche de substituire a identității, dezvoltând personaje mai specifice și mai convingătoare, care se deghizează atât în prieteni, cât și în dușmani ai Iranului. Multe dintre operațiunile și personajele create de Iran în trecut s-au prezentat ca fiind activiști în favoarea cauzei palestiniene.²⁷ Operațiunile recente ale unui personaj, care estimăm că ar fi gestionat de Cotton Sandstorm, au îndrăznit chiar să utilizeze numele și sigla diviziei militare a Hamas, Brigăzile al-Qassam, pentru a răspândi mesaje false despre ostaticii deținuți în Gaza și pentru a le trimite israelienilor mesaje amenințătoare. Un alt canal de Telegram care a amenințat angajații IDF și a dezvăluit datele personale ale acestora, care estimăm că ar fi fost gestionat de un grup MOIS, a utilizat, la rândul său, sigla Brigăzilor al-Qassam. Nu este clar dacă Iranul acționează cu acordul Hamas.

Totodată, Iranul a creat substituiri de identitate din ce în ce mai convingătoare ale unor organizații fictive de activiști israelieni din dreapta și stânga spectrului politic israelian. Prin intermediul acestor falși activiști, Iranul încearcă să se infiltreze în comunitățile israeliene pentru a le câștiga încrederea și a crea disensiuni.

Mobilizarea israelienilor pentru a trece la acțiune 
În aprilie și noiembrie, Iranul a demonstrat în repetate rânduri că a reușit să recruteze israelieni neavizați pentru a se angaja în activități concrete de promovare a operațiunilor sale false. Într-o operațiune recentă, „Tears of War”, agenții iranieni ar fi reușit să-i convingă pe israelieni să afișeze în cartierele israeliene bannere cu marca Tears of War, cu o imagine a lui Netanyahu, aparent generată de inteligența artificială și care solicită înlăturarea acestuia din funcție (consultați figura 11).²⁸

Amplificarea prin mesaje text și e-mail cu o frecvență și o sofisticare crescute 
Deși operațiunile de influență iraniene continuă să se bazeze în mare măsură pe amplificarea coordonată și neautentică pe rețelele de socializare pentru a se adresa publicului-țintă, Iranul a recurs tot mai mult la mesaje text și e-mailuri în masă pentru a spori efectele psihologice ale operațiunilor sale de influență cu suport cibernetic. Amplificarea pe rețelele de socializare cu ajutorul unor marionete nu are același impact ca și un mesaj care ajunge în inbox, ca să nu mai vorbim de telefon. Cotton Sandstorm s-a bazat pe reușitele sale din trecut care au utilizat această tehnică încă din 2022,²⁹ trimițând mesaje text, e-mailuri sau ambele, în masă, prin cel puțin șase operațiuni începând cu luna august. Utilizarea tot mai frecventă a acestei tehnici sugerează că gruparea și-a perfecționat această capacitate și o consideră eficientă. Operațiunea „Cyber Flood” (Potop cibernetic) a Cotton Sandstorm de la sfârșitul lunii octombrie a cuprins până la trei seturi de mesaje text și e-mailuri în masă către israelieni, care amplificau presupusele atacuri cibernetice sau distribuiau avertismente false cu privire la atacurile Hamas asupra instalației nucleare israeliene din apropiere de Dimona.³⁰ În cel puțin un caz, aceștia au folosit un cont compromis pentru a-și consolida autenticitatea e-mailurilor.

Exploatarea mijloacelor de comunicare ale statului 
Iranul a utilizat mijloace de comunicare în masă transparente și clandestine afiliate la IRGC pentru a amplifica presupuse operațiuni cibernetice și, uneori, pentru a le exagera efectele. În septembrie, după ce Cyber Avengers au revendicat atacuri cibernetice împotriva sistemului feroviar israelian, presa afiliată la IRGC a amplificat și exagerat aproape imediat afirmațiile lor. Agenția de știri Tasnim, afiliată la IRGC, a citat în mod incorect știrile israeliene referitoare la un alt eveniment pentru a demonstra că atacul cibernetic a avut loc.³¹ Acest reportaj a fost amplificat și de către alte instituții iraniene și de unele aliate cu Iranul într-un mod care a estompat și mai mult lipsa de dovezi care să susțină afirmațiile privind atacul cibernetic.³²

Adoptarea incipientă a inteligenței artificiale în cadrul operațiunilor de influență 
MTAC a observat că actorii iranieni utilizează imagini și videoclipuri generate de inteligența artificială încă de la izbucnirea războiului dintre Israel și Hamas. Cotton Sandstorm și Storm-1364, precum și agențiile de știri afiliate la Hezbollah și Hamas, au profitat de avantajele inteligenței artificiale pentru a intensifica acțiunile de intimidare și pentru a crea imagini denigratoare la adresa lui Netanyahu și a conducerii israeliene.

1. O colaborare înfloritoare 
La câteva săptămâni de la începerea războiului dintre Israel și Hamas, am început să vedem cazuri de colaborare între grupările afiliate la Iran, sporind acțiunile actorilor. Colaborarea reduce bariera de intrare, permițându-i fiecărei grupări să contribuie cu capacitățile existente și elimină necesitatea ca o singură grupare să dezvolte un spectru complet de instrumente sau de tehnici comerciale.

Conform estimărilor noastre, două grupări afiliate la MOIS, Storm-0861 și Storm-0842, au colaborat pentru a lansa un atac cibernetic distructiv asupra Israelului la sfârșitul lunii octombrie și din nou în Albania la sfârșitul lunii decembrie. În ambele cazuri, este posibil ca Storm-0861 să fi permis accesul la rețea înainte ca Storm-0842 să execute malware-ul de tip „ștergător”. În mod similar, Storm-0842 a executat programe malware de tip „ștergător” asupra instituțiilor guvernamentale albaneze în iulie 2022, după ce Storm-0861 a obținut accesul.

În octombrie, este posibil ca o altă grupare afiliată la MOIS, Storm-1084, să fi accesat la rândul său o organizație din Israel, unde Storm-0842 a implementat programul de ștergere „BiBi”, denumit astfel deoarece malware-ul a redenumit fișierele șterse cu șirul de caractere „BiBi”. Rolul pe care Storm-1084 l-ar fi deținut în acel atac distructiv, dacă chiar a fost implicat, nu este clar. Storm-1084 a efectuat atacuri cibernetice distructive împotriva unei alte organizații israeliene la începutul anului 2023, cu sprijinul unei alte grupări afiliate la MOIS, Mango Sandstorm (alias MuddyWater).³³

Odată cu izbucnirea războiului, Investigarea amenințărilor Microsoft a detectat și o colaborare între o grupare afiliată la MOIS, Pink Sandstorm, și unitățile cibernetice ale Hezbollah. Microsoft a observat suprapuneri de infrastructură și instrumente comune. Colaborarea iraniană cu Hezbollah în domeniul operațiunilor cibernetice, deși nu este fără precedent, reprezintă o evoluție îngrijorătoare, sugerând că războiul ar putea apropia și mai mult aceste grupări dincolo de granițele naționale, din punct de vedere operațional.³⁴ Având în vedere că atacurile cibernetice ale Iranului în acest conflict au fost combinate întotdeauna cu operațiuni de influență, există o probabilitate suplimentară ca Iranul să-și îmbunătățească operațiunile de influență și să-și extindă raza de acțiune utilizând vorbitori nativi de arabă pentru a spori autenticitatea personajelor sale false.

2. Concentrarea excesivă asupra Israelului 
Concentrarea actorilor cibernetici iranieni asupra Israelului s-a intensificat. Iranul se concentrează de mult timp asupra Israelului, considerat de Teheran ca fiind principalul său adversar, alături de Statele Unite ale Americii. În consecință, pe baza datelor din Investigarea amenințărilor Microsoft, în ultimii ani, întreprinderile din Israel și SUA au constituit aproape de fiecare dată țintele principale ale Iranului. În perioada premergătoare războiului, actorii iranieni s-au concentrat cu precădere asupra Israelului, urmat de Emiratele Arabe Unite și de Statele Unite ale Americii. După izbucnirea războiului, concentrarea asupra Israelului a luat amploare. Patruzeci și trei la sută din activitățile cibernetice ale Iranului identificate de Microsoft au vizat Israelul, un procent mai ridicat decât cel al următoarelor 14 țări vizate la un loc.

Ne așteptăm ca amenințarea operațiunilor cibernetice și de influență ale Iranului să crească pe măsură ce persistă conflictul dintre Israel și Hamas, în special pe fondul creșterii potențialului de escaladare pe alte fronturi. În timp ce grupările iraniene s-au grăbit să desfășoare sau pur și simplu să inventeze operațiuni în primele zile ale războiului, în ultima perioadă, acestea și-au încetinit operațiunile, ceea ce le-a asigurat mai mult timp pentru a obține accesul dorit sau pentru a dezvolta operațiuni de influență mai elaborate. Fazele războiului descrise în acest raport subliniază faptul că operațiunile cibernetice și de influență iraniene au progresat treptat, devenind mai bine țintite, mai colaborative și mai distructive.

Actorii iranieni și-au intensificat îndrăzneala în selecția țintelor, remarcându-se printr-un atac cibernetic asupra unui spital și testând pragurile de toleranță ale Washingtonului, aparent indiferenți față de posibilele repercusiuni. Atacurile IRGC asupra sistemelor de control al apei din SUA, deși oportuniste, par să fi fost o stratagemă inteligentă pentru a testa Washingtonul, revendicând legitimitatea atacului asupra echipamentelor fabricate în Israel.

Înaintea alegerilor din SUA din noiembrie 2024, colaborarea sporită dintre grupările iraniene și cele afiliate la Iran reprezintă o provocare suplimentară pentru cei implicați în apărarea alegerilor. Apărătorii nu se mai pot mulțumi cu monitorizarea câtorva grupări. Dimpotrivă, un număr tot mai mare de agenți de acces, de grupări de influență și de actori cibernetici conduce la un mediu de amenințare mai complex și mai interconectat.