Iranul sporește brusc operațiunile de influență cu suport cibernetic în sprijinul Hamas
Termeni cheie definiți
- Operațiuni de influență cu suport cibernetic
Operațiuni ce înglobează manevre ofensive pe rețelele informatice, alături de transmiterea și amplificarea mesajelor într-o manieră coordonată și manipulatoare, cu scopul de a influența percepțiile, acțiunile sau alegerile publicului țintă, contribuind astfel la avansarea intereselor și obiectivelor unei grupări sau ale unui stat. - Personaj cibernetic
O grupare sau o persoană creată artificial care își asumă responsabilitatea pentru o operațiune cibernetică, asigurând totodată negarea plauzibilă a grupării sau națiunii responsabile. - Marionetă
Un personaj online fals care utilizează identități fictive sau furate cu scopul de a înșela.
Odată cu evoluția războiului, operațiunile de influență au câștigat în sofisticare și lipsă de autenticitate, recurgând la utilizarea extensivă a rețelelor de „marionete” pe rețelele de socializare. De-a lungul războiului, aceste operațiuni de influență au încercat să intimideze israelienii, criticând în același timp modul în care guvernul israelian a gestionat problema ostaticilor și operațiunile militare pentru a diviza și, în cele din urmă, a destabiliza Israelul.
În cele din urmă, Iranul și-a îndreptat atacurile cibernetice și operațiunile de influență împotriva aliaților politici și a partenerilor economici ai Israelului pentru a submina sprijinul acordat operațiunilor militare israeliene.
Ne așteptăm ca amenințarea reprezentată de operațiunile cibernetice și de influență ale Iranului să crească pe măsură ce conflictul persistă, în special pe fondul creșterii potențialului de extindere a războiului. Intensificarea înverșunării actorilor iranieni și a celor afiliați Iranului, însoțită de o colaborare tot mai intensă dintre aceștia, reprezintă o amenințare în creștere în perspectiva alegerilor din SUA din noiembrie.
Operațiunile cibernetice și de influență ale Iranului au trecut prin mai multe etape din momentul atacului terorist comis de Hamas în 7 octombrie. În cadrul operațiunilor acestora, a rămas constant un anumit element: combinarea atacurilor cibernetice țintite oportuniste cu operațiuni de influență care induc în eroare, de multe ori, precizia sau amploarea impactului.
Acest raport pune accentul pe operațiunile de influență iraniene și pe operațiunile de influență cu suport cibernetic din 7 octombrie până la sfârșitul lui 2023, cuprinzând totodată tendințele și operațiunile începând cu primăvara anului 2023.
Faza 1: Reactive și înșelătoare
Grupările iraniene au fost reactive în faza inițială a războiului dintre Israel și Hamas. Presa de stat iraniană a publicat detalii înșelătoare cu privire la presupusele atacuri cibernetice, iar grupările iraniene au refolosit materiale învechite din operațiuni precedente, au refolosit accesul pe care-l dețineau încă dinainte de război și au exagerat amploarea și impactul general al presupuselor atacuri cibernetice.
După aproape patru luni de la începerea războiului, Microsoft nu a găsit încă dovezi clare, pe baza datelor noastre, care să indice că grupările iraniene și-ar fi coordonat operațiunile cibernetice sau de influență cu planurile Hamas de a ataca Israelul în data de 7 octombrie. Dimpotrivă, majoritatea datelor și concluziilor noastre sugerează că actorii cibernetici iranieni au fost reactivi, intensificându-și rapid operațiunile cibernetice și de influență după atacurile Hamas pentru a contracara Israelul.
În ziua declanșării războiului, agenția de presă Tasnim, o publicație iraniană afiliată la Corpul Gărzilor Revoluționare Islamice (IRGC), a afirmat în mod fals că o grupare numită „Cyber Avengers” (Răzbunătorii cibernetici) a efectuat atacuri cibernetice împotriva unei centrale electrice israeliene „simultan” cu atacurile Hamas. 2 Cyber Avengers, un personaj cibernetic administrat de IRGC, pretinde de fapt că a efectuat un atac cibernetic împotriva unei companii electrice israeliene în seara precedentă incursiunii grupării Hamas.3 Dovezile lor constau în reportaje vechi de câteva săptămâni privind pene de curent „din ultimii ani” și o captură de ecran a unei întreruperi de serviciu pe site-ul companiei, fără o dată specificată. 4
În urma atacurilor Hamas asupra Israelului, Cyber Avengers au susținut că vor efectua o serie de atacuri cibernetice împotriva Israelului, însă primele dintre ele, conform investigațiilor noastre, s-au dovedit a fi false. Astfel, în 8 octombrie, aceștia au pretins că au divulgat documente despre o centrală electrică israeliană, deși documentele fuseseră publicate anterior, în iunie 2022, de către un alt personaj cibernetic gestionat de IRGC, „Moses Staff” (Toiagul lui Moise). 5
Un alt personaj cibernetic, „Echipa Malek”, care, potrivit estimărilor noastre, este condusă de Ministerul Informațiilor și Securității din Iran (MOIS), a divulgat date personale provenind de la o universitate israeliană la 8 octombrie, fără nicio legătură clară cu conflictul emergent din Israel, ceea ce sugerează că ținta a fost una oportunistă și posibil aleasă pe baza unui acces preexistent anterior izbucnirii războiului. În loc să stabilească legături între scurgerile de date și sprijinul acordat operațiunilor Hamas, Echipa Malek a utilizat inițial hashtaguri pe X (fostul Twitter) pentru a susține Hamas și doar după câteva zile și-a adaptat mesajele pentru a corespunde mesajelor de denigrare la adresa prim-ministrului israelian, Benjamin Netanyahu, observate în cadrul altor operațiuni de influență iraniene.
Amploarea presei afiliate statului iranian a înregistrat o creștere semnificativă în urma declanșării conflictului dintre Israel și Hamas. În prima săptămână a conflictului, am constatat o creștere de 42% a indicelui de propagandă iraniană al Laboratorului Microsoft de inteligență artificială pentru binele umanității, care monitorizează consumul de știri din surse de știri iraniene de stat și afiliate statului (consultați figura 1). Indicele măsoară proporția de trafic care accesează aceste site-uri în raport cu traficul total de pe internet. Creșterea a fost deosebit de pronunțată în țările anglofone aliate cu Statele Unite (Figura 2), ceea ce subliniază capacitatea Iranului de a influența publicul occidental prin reportajele sale despre conflictele din Orientul Mijlociu. La o lună de la începerea războiului, amploarea acestor surse iraniene se menținea cu 28-29% peste nivelurile de dinaintea războiului la nivel global.
Operațiunile de influență ale Iranului s-au dovedit a fi mai agile și mai eficiente în primele zile ale războiului, în comparație cu operațiunile combinate de influență cibernetică pe care le-a întreprins ulterior. La scurt timp după atacul Hamas asupra Israelului, un presupus actor de stat iranian, pe care-l monitorizăm sub numele de Storm-1364, a inițiat o operațiune de influență sub masca unui personaj online numit „Tears of War” (Lacrimi de război). Acesta și-a asumat identitatea unor activiști israelieni pentru a răspândi mesaje anti-Netanyahu în rândul israelienilor, pe o varietate de platforme de socializare și mesagerie. Viteza cu care Storm-1364 a lansat această campanie după atacurile din 7 octombrie demonstrează agilitatea acestei grupări și subliniază avantajele campaniilor de influență, care se pot forma mai rapid, deoarece nu trebuie să depindă de activitatea cibernetică a unei operațiuni de influență cu suport cibernetic.
Faza 2: Coordonată
Între mijlocul și sfârșitul lunii octombrie, un număr tot mai mare de grupări iraniene și-au redirecționat atenția asupra Israelului. Operațiunile iraniene de influență cibernetică au trecut de la a fi în mare parte reactive și artificiale, ori ambele, la lansarea de atacuri cibernetice cu efecte distructive și la stabilirea unor ținte specifice pentru operațiuni. Aceste atacuri au inclus ștergerea de date, ransomware și, aparent, ajustarea unui dispozitiv Internet of things (IoT).6 De asemenea, am constatat existența unor dovezi de coordonare sporită între grupările iraniene.
În prima săptămână a războiului, Investigarea amenințărilor Microsoft a depistat nouă grupări iraniene active care vizau Israelul; numărul acestora a crescut la 14 în ziua a cincisprezecea. În unele cazuri, am observat mai multe grupări IRGC sau MOIS care au vizat aceeași organizație sau bază militară prin activități cibernetice sau de influență, ceea ce sugerează existența unei coordonări, a unor obiective comune stabilite la Teheran sau ambele.
Operațiunile de influență cu suport cibernetic au crescut și ele. În prima săptămână de război, am remarcat patru operațiuni de influență cibernetică, implementate în grabă, îndreptate împotriva Israelului. Spre sfârșitul lunii octombrie, numărul acestor operațiuni se dublase, marcând o accelerare semnificativă a acestor operațiuni, de departe cel mai rapid ritm de până acum (consultați figura 4).
La 18 octombrie, gruparea Shahid Kaveh a IRGC, pe care Microsoft o identifică sub numele de Storm-0784, a utilizat un ransomware personalizat pentru a efectua atacuri cibernetice împotriva camerelor de securitate din Israel. Apoi și-a utilizat unul dintre personajele cibernetice, „Soldații lui Solomon”, pentru a pretinde în mod fals că a răscumpărat camerele de securitate și datele de la baza aeriană Nevatim. Examinarea înregistrărilor de securitate pe care Soldații lui Solomon le-au difuzat dezvăluie că acestea provin dintr-un oraș situat la nord de Tel Aviv, unde se află o stradă cu denumirea de „Nevatim”, și nu de la baza aeriană cu același nume. În fapt, analiza locațiilor victimelor arată că niciuna nu se afla în apropierea bazei militare (consultați figura 5). Deși grupările iraniene au început să lanseze atacuri distructive, operațiunile lor au rămas în mare parte oportuniste și au continuat să utilizeze activități de influență pentru a exagera precizia sau efectul atacurilor.
În 21 octombrie, un alt personaj cibernetic condus de gruparea Cotton Sandstorm a IRGC (cunoscut sub numele de Emennet Pasargad) a distribuit un videoclip cu atacatorii distrugând afișajele digitale de la sinagogi prin intermediul unor mesaje care se refereau la operațiunile Israelului din Gaza ca fiind un „genocid”. 7 Aceasta a marcat o metodă de încorporare a mesajelor direct în atacurile cibernetice direcționate împotriva unei ținte relativ ușoare.
În această fază, activitatea de influență a Iranului a apelat la forme mai extinse și mai sofisticate de amplificare falsă. În primele două săptămâni de război, am depistat un număr minim de forme avansate de amplificare falsă autentică, ceea ce sugerează din nou că operațiunile au fost reactive. Începând cu a treia săptămână de război, cel mai prolific actor de influență al Iranului, Cotton Sandstorm, și-a făcut debutul, lansând trei operațiuni de influență cibernetică în 21 octombrie. După cum putem constata frecvent în cazul grupării, aceasta a utilizat o rețea de „marionete” din rețelele de socializare pentru a amplifica operațiunile, deși multe dintre ele păreau a fi reutilizate în grabă, fără identități autentice israeliene. În mai multe rânduri, Cotton Sandstorm a trimis mesaje text sau e-mailuri în masă pentru a amplifica sau a se lăuda cu operațiunile lor, utilizând conturi compromise pentru a-și spori autenticitatea.8
Faza 3: Extinderea domeniului de aplicare geografic
Încă de la sfârșitul lunii noiembrie, grupările iraniene și-au extins influența cibernetică dincolo de Israel, cuprinzând țări care, conform percepției Iranului, sprijină Israelul, foarte probabil pentru a submina sprijinul politic, militar sau economic internațional pentru operațiunile militare israeliene. Această extindere a țintelor a coincis cu începutul atacurilor asupra transportului maritim internațional legat de Israel de către Houthis, o grupare militantă șiită susținută de Iran în Yemen (consultați figura 8).9
- În 20 noiembrie, personajul cibernetic „Homeland Justice” (Justiția națională), gestionat de Iran, a avertizat cu privire la viitoarele atacuri majore asupra Albaniei, înainte de a amplifica atacurile cibernetice distructive ale grupărilor MOIS de la sfârșitul lunii decembrie împotriva parlamentului albanez, a companiei aeriene naționale și a furnizorilor de telecomunicații. 10
- În 21 noiembrie, personajul cibernetic „Al-Toufan”, gestionat de Cotton Sandstorm, a atacat guvernul și organizațiile financiare din Bahrain pe motiv că ar fi normalizat legăturile cu Israelul.
- Din 22 noiembrie, grupările afiliate la IRGC au început să atace controlere logice programabile (PLC) de fabricație israeliană în Statele Unite și, posibil, în Irlanda, inclusiv prin deconectarea unuia dintre acestea din cadrul unei companii de apă din Pennsylvania la 25 noiembrie (Figura 6).11 Controlerele logice programabile (PLC) sunt computere industriale adaptate pentru controlul proceselor de producție, cum ar fi liniile de asamblare, mașinile și dispozitivele robotizate.
- La începutul lunii decembrie, un personaj pe care MTAC îl consideră ca fiind sponsorizat de Iran, „Cyber Toufan Al-Aksa”, a susținut că a divulgat datele a două companii americane pentru susținerea financiară a Israelului și furnizarea de echipamente pentru forțele sale militare.12 Înainte de aceasta, la 16 noiembrie, acesta afirmase că a atacat aceste companii prin ștergerea de date.13 Din cauza lipsei unor dovezi criminalistice solide care să lege grupul de Iran, este posibil ca personajul să fie gestionat de un partener iranian din afara țării cu participarea Iranului.
De asemenea, operațiunile de influență cu suport cibernetic ale Iranului au continuat să devină tot mai sofisticate în această ultimă etapă. Aceștia și-au deghizat mai bine marionetele, modificând numele și fotografiile de profil ale unora dintre ele pentru a părea mai autentic israeliene. Totodată, au recurs la noi tehnici pe care nu le-am mai întâlnit la actorii iranieni, inclusiv la utilizarea inteligenței artificiale ca element-cheie al mesajelor. În decembrie, Cotton Sandstorm a perturbat serviciile de televiziune prin streaming din Emiratele Arabe Unite și din alte țări, sub forma unui personaj intitulat „For Humanity” (Pentru omenire). For Humanity a publicat videoclipuri pe Telegram care arată cum gruparea a piratat trei servicii de streaming online și a perturbat mai multe canale de știri cu o emisiune cu știri trucate, în care un prezentator aparent generat de inteligența artificială susținea că prezintă imagini cu palestinieni răniți și uciși în urma operațiunilor militare israeliene (figura 7).14 Serviciile de știri și telespectatorii din Emiratele Arabe Unite, Canada și Regatul Unit au raportat întreruperi ale programelor de televiziune prin streaming, inclusiv BBC, care corespundeau cu afirmațiile emise de For Humanity.15
Operațiunile Iranului au urmărit patru obiective generale: destabilizare, represalii, intimidare și subminarea sprijinului internațional pentru Israel. De asemenea, cele patru obiective urmăresc să submineze mediile de informare ale Israelului și ale susținătorilor săi pentru a crea confuzie generală și neîncredere.
Pe parcursul conflictului Israel-Hamas, acțiunile Iranului împotriva Israelului s-au axat tot mai mult pe incitarea conflictului intern, criticând modul în care guvernul israelian gestionează războiul. Diverse operațiuni de influență ale Iranului și-au însușit identitatea unor presupuse grupuri de activiști israelieni pentru a disemina mesaje provocatoare ce critică strategia guvernului privind persoanelor răpite și luate ostatice în data de 7 octombrie.17 Netanyahu a constituit o țintă frecventă a acestor campanii, iar apelurile pentru înlăturarea sa din funcție au constituit o temă comună în cadrul operațiunilor de influență iraniene.18
În mare parte, mesajele și alegerea țintelor Iranului subliniază caracterul răzbunător al operațiunilor sale. Spre exemplu, personajul numit în mod sugestiv „Cyber Avengers” (Răzbunătorii cibernetici) a publicat un videoclip în care Ministrul Apărării din Israel declara că Israelul va întrerupe alimentarea cu energie electrică, hrană, apă și combustibil a orașului Gaza (consultați figura 9), urmat de o serie de atacuri atribuite personajului Cyber Avengers asupra infrastructurii israeliene de electricitate, apă și combustibil.19 Afirmațiile sale anterioare privind atacurile asupra rețelelor naționale de apă ale Israelului, cu câteva zile înainte, au inclus mesajul „Ochi pentru ochi”, iar agenția de știri afiliată IRGC, Tasnim News Agency, a relatat că gruparea a declarat că atacurile asupra rețelelor de apă au constituit represalii pentru asediul asupra Gazei.20 O grupare afiliată MOIS pe care o monitorizăm sub numele de Pink Sandstorm (alias Agrius) a efectuat un atac de hacking și scurgere de date împotriva unui spital israelian la sfârșitul lunii noiembrie, care ar fi reprezentat un act de răzbunare pentru asediul israelian de câteva zile asupra spitalului al-Shifa din Gaza, cu două săptămâni în urmă.21
Totodată, operațiunile Iranului au ca scop subminarea securității israeliene și intimidarea cetățenilor Israelului și a susținătorilor săi prin transmiterea de mesaje amenințătoare și prin convingerea publicului țintă că infrastructura și sistemele guvernamentale ale statului său sunt nesigure. Anumite acțiuni de intimidare ale Iranului par a fi concepute pentru a submina voința Israelului de a continua conflictul, cum ar fi mesajele care îndeamnă soldații IDF să „abandoneze războiul și să se întoarcă acasă” (figura 10).22 Un personaj cibernetic iranian, posibil deghizat în Hamas, a susținut că a trimis mesaje text amenințătoare către familiile soldaților israelieni, adăugând că „Soldații IDF trebuie să conștientizeze că până când familiile noastre nu vor fi în siguranță, nici familiile lor nu vor fi.”23 Conturile tip marionetă care amplifică personajul Hamas au propagat pe platforma X ideea că IDF „nu este capabil să-și protejeze proprii soldați”, orientând publicul către o serie de mesaje care ar fi fost trimise de soldații IDF către Hamas, implorând Hamas să le cruțe familiile.24
Operațiunile de influență ale Iranului care vizează publicul internațional includ deseori mesaje care vizează diminuarea sprijinului internațional pentru Israel, punând în evidență pagubele provocate de atacurile Israelului în Gaza. Un personaj care se pretindea a fi un grup pro-palestinian a calificat acțiunile Israelului în Gaza drept „genocid”.25 În decembrie, Cotton Sandstorm a desfășurat mai multe operațiuni de influență, sub denumirile „For Palestinians” (Pentru palestinieni) și „For Humanity” (Pentru omenire), care-i solicitau comunității internaționale să condamne atacurile Israelului asupra Gazei.26
Pentru a-și atinge obiectivele în spațiul informațional, Iranul s-a axat în mare măsură pe patru tactici, tehnici și proceduri (TTP) de influență în ultimele nouă luni. Acestea cuprind recurgerea la substituirea identității și capacități avansate de mobilizare a publicului țintă, la care se adaugă intensificarea campaniilor prin mesaje text și valorificarea canalelor media afiliate cu IRGC pentru a amplifica impactul operațiunilor de influență.
Grupurile iraniene se bazează pe o tehnică mai veche de substituire a identității, dezvoltând personaje mai specifice și mai convingătoare, care se deghizează atât în prieteni, cât și în dușmani ai Iranului. Multe dintre operațiunile și personajele create de Iran în trecut s-au prezentat ca fiind activiști în favoarea cauzei palestiniene.27 Operațiunile recente ale unui personaj, care estimăm că ar fi gestionat de Cotton Sandstorm, au îndrăznit chiar să utilizeze numele și sigla diviziei militare a Hamas, Brigăzile al-Qassam, pentru a răspândi mesaje false despre ostaticii deținuți în Gaza și pentru a le trimite israelienilor mesaje amenințătoare. Un alt canal de Telegram care a amenințat angajații IDF și a dezvăluit datele personale ale acestora, care estimăm că ar fi fost gestionat de un grup MOIS, a utilizat, la rândul său, sigla Brigăzilor al-Qassam. Nu este clar dacă Iranul acționează cu acordul Hamas.
Totodată, Iranul a creat substituiri de identitate din ce în ce mai convingătoare ale unor organizații fictive de activiști israelieni din dreapta și stânga spectrului politic israelian. Prin intermediul acestor falși activiști, Iranul încearcă să se infiltreze în comunitățile israeliene pentru a le câștiga încrederea și a crea disensiuni.
În aprilie și noiembrie, Iranul a demonstrat în repetate rânduri că a reușit să recruteze israelieni neavizați pentru a se angaja în activități concrete de promovare a operațiunilor sale false. Într-o operațiune recentă, „Tears of War”, agenții iranieni ar fi reușit să-i convingă pe israelieni să afișeze în cartierele israeliene bannere cu marca Tears of War, cu o imagine a lui Netanyahu, aparent generată de inteligența artificială și care solicită înlăturarea acestuia din funcție (consultați figura 11).28
Deși operațiunile de influență iraniene continuă să se bazeze în mare măsură pe amplificarea coordonată și neautentică pe rețelele de socializare pentru a se adresa publicului-țintă, Iranul a recurs tot mai mult la mesaje text și e-mailuri în masă pentru a spori efectele psihologice ale operațiunilor sale de influență cu suport cibernetic. Amplificarea pe rețelele de socializare cu ajutorul unor marionete nu are același impact ca și un mesaj care ajunge în inbox, ca să nu mai vorbim de telefon. Cotton Sandstorm s-a bazat pe reușitele sale din trecut care au utilizat această tehnică încă din 2022,29 trimițând mesaje text, e-mailuri sau ambele, în masă, prin cel puțin șase operațiuni începând cu luna august. Utilizarea tot mai frecventă a acestei tehnici sugerează că gruparea și-a perfecționat această capacitate și o consideră eficientă. Operațiunea „Cyber Flood” (Potop cibernetic) a Cotton Sandstorm de la sfârșitul lunii octombrie a cuprins până la trei seturi de mesaje text și e-mailuri în masă către israelieni, care amplificau presupusele atacuri cibernetice sau distribuiau avertismente false cu privire la atacurile Hamas asupra instalației nucleare israeliene din apropiere de Dimona.30 În cel puțin un caz, aceștia au folosit un cont compromis pentru a-și consolida autenticitatea e-mailurilor.
Iranul a utilizat mijloace de comunicare în masă transparente și clandestine afiliate la IRGC pentru a amplifica presupuse operațiuni cibernetice și, uneori, pentru a le exagera efectele. În septembrie, după ce Cyber Avengers au revendicat atacuri cibernetice împotriva sistemului feroviar israelian, presa afiliată la IRGC a amplificat și exagerat aproape imediat afirmațiile lor. Agenția de știri Tasnim, afiliată la IRGC, a citat în mod incorect știrile israeliene referitoare la un alt eveniment pentru a demonstra că atacul cibernetic a avut loc.31 Acest reportaj a fost amplificat și de către alte instituții iraniene și de unele aliate cu Iranul într-un mod care a estompat și mai mult lipsa de dovezi care să susțină afirmațiile privind atacul cibernetic.32
MTAC a observat că actorii iranieni utilizează imagini și videoclipuri generate de inteligența artificială încă de la izbucnirea războiului dintre Israel și Hamas. Cotton Sandstorm și Storm-1364, precum și agențiile de știri afiliate la Hezbollah și Hamas, au profitat de avantajele inteligenței artificiale pentru a intensifica acțiunile de intimidare și pentru a crea imagini denigratoare la adresa lui Netanyahu și a conducerii israeliene.
La câteva săptămâni de la începerea războiului dintre Israel și Hamas, am început să vedem cazuri de colaborare între grupările afiliate la Iran, sporind acțiunile actorilor. Colaborarea reduce bariera de intrare, permițându-i fiecărei grupări să contribuie cu capacitățile existente și elimină necesitatea ca o singură grupare să dezvolte un spectru complet de instrumente sau de tehnici comerciale.
Conform estimărilor noastre, două grupări afiliate la MOIS, Storm-0861 și Storm-0842, au colaborat pentru a lansa un atac cibernetic distructiv asupra Israelului la sfârșitul lunii octombrie și din nou în Albania la sfârșitul lunii decembrie. În ambele cazuri, este posibil ca Storm-0861 să fi permis accesul la rețea înainte ca Storm-0842 să execute malware-ul de tip „ștergător”. În mod similar, Storm-0842 a executat programe malware de tip „ștergător” asupra instituțiilor guvernamentale albaneze în iulie 2022, după ce Storm-0861 a obținut accesul.
În octombrie, este posibil ca o altă grupare afiliată la MOIS, Storm-1084, să fi accesat la rândul său o organizație din Israel, unde Storm-0842 a implementat programul de ștergere „BiBi”, denumit astfel deoarece malware-ul a redenumit fișierele șterse cu șirul de caractere „BiBi”. Rolul pe care Storm-1084 l-ar fi deținut în acel atac distructiv, dacă chiar a fost implicat, nu este clar. Storm-1084 a efectuat atacuri cibernetice distructive împotriva unei alte organizații israeliene la începutul anului 2023, cu sprijinul unei alte grupări afiliate la MOIS, Mango Sandstorm (alias MuddyWater).33
Odată cu izbucnirea războiului, Investigarea amenințărilor Microsoft a detectat și o colaborare între o grupare afiliată la MOIS, Pink Sandstorm, și unitățile cibernetice ale Hezbollah. Microsoft a observat suprapuneri de infrastructură și instrumente comune. Colaborarea iraniană cu Hezbollah în domeniul operațiunilor cibernetice, deși nu este fără precedent, reprezintă o evoluție îngrijorătoare, sugerând că războiul ar putea apropia și mai mult aceste grupări dincolo de granițele naționale, din punct de vedere operațional.34 Având în vedere că atacurile cibernetice ale Iranului în acest conflict au fost combinate întotdeauna cu operațiuni de influență, există o probabilitate suplimentară ca Iranul să-și îmbunătățească operațiunile de influență și să-și extindă raza de acțiune utilizând vorbitori nativi de arabă pentru a spori autenticitatea personajelor sale false.
Concentrarea actorilor cibernetici iranieni asupra Israelului s-a intensificat. Iranul se concentrează de mult timp asupra Israelului, considerat de Teheran ca fiind principalul său adversar, alături de Statele Unite ale Americii. În consecință, pe baza datelor din Investigarea amenințărilor Microsoft, în ultimii ani, întreprinderile din Israel și SUA au constituit aproape de fiecare dată țintele principale ale Iranului. În perioada premergătoare războiului, actorii iranieni s-au concentrat cu precădere asupra Israelului, urmat de Emiratele Arabe Unite și de Statele Unite ale Americii. După izbucnirea războiului, concentrarea asupra Israelului a luat amploare. Patruzeci și trei la sută din activitățile cibernetice ale Iranului identificate de Microsoft au vizat Israelul, un procent mai ridicat decât cel al următoarelor 14 țări vizate la un loc.
Ne așteptăm ca amenințarea operațiunilor cibernetice și de influență ale Iranului să crească pe măsură ce persistă conflictul dintre Israel și Hamas, în special pe fondul creșterii potențialului de escaladare pe alte fronturi. În timp ce grupările iraniene s-au grăbit să desfășoare sau pur și simplu să inventeze operațiuni în primele zile ale războiului, în ultima perioadă, acestea și-au încetinit operațiunile, ceea ce le-a asigurat mai mult timp pentru a obține accesul dorit sau pentru a dezvolta operațiuni de influență mai elaborate. Fazele războiului descrise în acest raport subliniază faptul că operațiunile cibernetice și de influență iraniene au progresat treptat, devenind mai bine țintite, mai colaborative și mai distructive.
Actorii iranieni și-au intensificat îndrăzneala în selecția țintelor, remarcându-se printr-un atac cibernetic asupra unui spital și testând pragurile de toleranță ale Washingtonului, aparent indiferenți față de posibilele repercusiuni. Atacurile IRGC asupra sistemelor de control al apei din SUA, deși oportuniste, par să fi fost o stratagemă inteligentă pentru a testa Washingtonul, revendicând legitimitatea atacului asupra echipamentelor fabricate în Israel.
Înaintea alegerilor din SUA din noiembrie 2024, colaborarea sporită dintre grupările iraniene și cele afiliate la Iran reprezintă o provocare suplimentară pentru cei implicați în apărarea alegerilor. Apărătorii nu se mai pot mulțumi cu monitorizarea câtorva grupări. Dimpotrivă, un număr tot mai mare de agenți de acces, de grupări de influență și de actori cibernetici conduce la un mediu de amenințare mai complex și mai interconectat.
Mai multe detalii de specialitate privind operațiunile de influență ale Iranului
Aflați mai multe detalii de la experți în ceea ce privește operațiunile de influență ale Iranului cu suport cibernetic, axate pe acțiunile Iranului referitoare la alegerile prezidențiale din 2020 din SUA și la războiul dintre Israel și Hamas, din podcastul Investigarea amenințărilor Microsoft. Discuția abordează tacticile adoptate de actorii iranieni, precum substituirea identității, recrutarea populației locale și utilizarea e-mailurilor și a mesajelor text în scopul amplificării. De asemenea, acesta pune în context complexitatea activităților cibernetice iraniene, demersurile de colaborare, consumul de propagandă, tacticile creative și provocările legate de atribuirea operațiunilor de influență.