Trace Id is missing
Prejsť na hlavný obsah
Security Insider

Irán zintenzívňuje operácie ovplyvňujúce kybernetickú bezpečnosť na podporu Hamasu

Stiahnuť
Zdieľať

Úvod

Keď 7. októbra 2023 vypukla vojna medzi Izraelom a Hamasom, Irán okamžite začal podporovať Hamas svojou osvedčenou technikou kombinovania cielených hekerských útokov s vplyvovými operáciami posilnenými na sociálnych sieťach, čo označujeme ako kybernetické vplyvové operácie.1 Iránske operácie boli spočiatku reakčné a oportunistické. Koncom októbra sa takmer všetok vplyv Iránu a hlavných kybernetických aktérov zameriaval na Izrael čoraz cielenejším, koordinovanejším a ničivejším spôsobom, čím sa vytvorila zdanlivo neobmedzená kampaň typu „všetci muži na palubu“ proti Izraelu. Na rozdiel od niektorých predchádzajúcich kybernetických útokov Iránu boli všetky jeho ničivé kybernetické útoky proti Izraelu v tejto vojne – skutočné alebo vymyslené – doplnené online vplyvovými operáciami.

Definícia kľúčových pojmov

  • Kybernetické vplyvové operácie 
    Operácie, ktoré koordinovaným a manipulatívnym spôsobom spájajú útočné operácie v počítačovej sieti so zasielaním a šírením správ s cieľom zmeniť vnímanie, správanie alebo rozhodnutia cieľového publika na podporu záujmov a cieľov skupiny alebo štátu.
  • Kybernetická identita 
    Vytvorená skupina alebo jednotlivec vystupujúci na verejnosti, ktorý preberá zodpovednosť za kybernetickú operáciu a zároveň zabezpečuje hodnoverné popretie zodpovednosti príslušnej skupiny alebo štátu.
  • Sockpuppet 
    Falošná online identita využívajúca fiktívne alebo ukradnuté identity na účely podvodu.

Vplyvové operácie sa stali čoraz sofistikovanejšími a neautentickejšími, pričom v priebehu vojny boli nasadené siete „sockpuppetov“ (ponožkových bábok) na sociálnych sieťach. Počas vojny sa tieto vplyvové operácie snažili zastrašovať Izraelčanov a zároveň kritizovali postup izraelskej vlády v prípade rukojemníkov a vojenských operácií s cieľom polarizovať a v konečnom dôsledku destabilizovať Izrael.

Nakoniec Irán zameral svoje kybernetické útoky a vplyvové operácie proti politickým spojencom a hospodárskym partnerom Izraela, aby oslabil podporu izraelských vojenských operácií.

Očakávame, že hrozba, ktorú predstavujú kybernetické a vplyvové operácie Iránu, bude s pretrvávajúcim konfliktom rásť, najmä v súvislosti s rastúcim potenciálom rozšírenia vojny. Zvýšená drzosť iránskych a s Iránom prepojených aktérov spolu s rozširujúcou sa spoluprácou medzi nimi predznamenáva rastúcu hrozbu pred novembrovými voľbami v USA.

Od teroristického útoku Hamasu 7. októbra prešli kybernetické a vplyvové operácie Iránu viacerými fázami. Jeden prvok ich operácií zostal po celý čas konštantný: kombinácia oportunistického kybernetického cielenia s vplyvovými operáciami, ktoré často zavádzajú presnosťou alebo rozsahom vplyvu.

Táto správa sa zameriava na iránske vplyvové a kybernetické operácie od 7. októbra do konca roka 2023, pričom zahŕňa trendy a operácie už od jari 2023.

Graf znázorňujúci fázy kybernetických vplyvových operácií Iránu vo vojne medzi Izraelom a Hamasom

1. fáza: Reaktívne a zavádzajúce

Iránske skupiny boli počas počiatočnej fázy vojny medzi Izraelom a Hamasom reaktívne. Iránske štátne médiá zverejnili zavádzajúce údaje o údajných kybernetických útokoch a iránske skupiny opätovne použili staršie materiály z historických operácií, opätovne využili prístup, ktorý mali pred vojnou, a zveličili celkový rozsah a vplyv kybernetických útokov, ku ktorým sa hlásili.

Po takmer štyroch mesiacoch od začiatku vojny spoločnosť Microsoft z našich údajov stále nezaznamenala jasný dôkaz o tom, že by iránske skupiny koordinovali svoje kybernetické alebo vplyvové operácie s plánmi Hamasu zaútočiť 7. októbra na Izrael. Prevažná časť našich údajov a zistení skôr naznačuje, že iránski kybernetickí aktéri boli reaktívni a po útokoch Hamasu rýchlo zvýšili svoje kybernetické a vplyvové operácie, aby čelili Izraelu.

Zavádzajúce informácie o deklarovaných útokoch prostredníctvom štátnych médií: 
V deň vypuknutia vojny iránska tlačová agentúra Tasnim, ktorá je napojená na Islamské revolučné gardy (IRGC), nepravdivo tvrdila, že skupina s názvom Cyber Avengers uskutočnila kybernetické útoky na izraelskú elektráreň „v rovnakom čase“, ako došlo k útokom Hamasu. 2 Cyber Avengers, kybernetická identita riadená IRGC, v skutočnosti tvrdila, že večer pred vpádom Hamasu uskutočnila kybernetický útok na izraelskú energetickú spoločnosť.3 ch dôkazy: týždne staré správy v tlači o výpadkoch elektriny „v posledných rokoch“ a snímka obrazovky nedatovaného prerušenia prevádzky webovej stránky spoločnosti. 4
Opätovné používanie starších materiálov: 
Po útokoch Hamasu na Izrael skupina Cyber Avengers tvrdila, že uskutočnila sériu kybernetických útokov proti Izraelu, pričom prvé z nich boli podľa nášho vyšetrovania falošné. 8. októbra skupina tvrdila, že unikli dokumenty o izraelskej elektrárni, hoci tieto dokumenty predtým v júni 2022 zverejnila iná kybernetická identita Moses Staff riadená IRGC.5
Opätovné využívanie prístupu: 
Ďalšia kybernetická identita Malek Team, ktorú podľa našich odhadov riadi iránske ministerstvo pre spravodajské služby a bezpečnosť (MOIS), 8. októbra vypustila osobné údaje z istej izraelskej univerzity bez jasnej súvislosti so vznikajúcim konfliktom, čo naznačuje, že cieľ bol oportunistický a možno vybraný na základe prístupu už existujúceho pred vypuknutím vojny. Namiesto toho, aby Malek Team vytvoril spojitosť medzi uniknutými údajmi a podporou operácií Hamasu, spočiatku používal hashtagy na X (predtým Twitter) na podporu Hamasu a až o niekoľko dní neskôr zmenil komunikáciu a prispôsobil sa typu komunikácie očierňujúcej izraelského premiéra Benjamina Netanjahua, ktorá sa objavila v iných iránskych vplyvových operáciách.
Spotreba iránskej propagandy vo svete znázornená časovou osou a grafom podielu návštevnosti
Obrázok 2: Microsoft Analýza hrozieb – spotreba iránskej propagandy podľa krajín, útoky Hamasu na Izrael. Graf zobrazujúci aktivitu od apríla do decembra 2023.
Iránske vplyvové operácie boli najúčinnejšie v prvých dňoch vojny 
Po vypuknutí vojny medzi Izraelom a Hamasom sa prudko zvýšil dosah iránskych médií napojených na štát. V prvom týždni konfliktu sme zaznamenali 42 % nárast indexu iránskej propagandy Microsoft AI for Good Lab, ktorý monitoruje spotrebu správ z iránskych štátnych a na štát napojených spravodajských kanálov (pozri obrázok 1). Týmto indexom sa meria podiel aktivity návštevníkov týchto lokalít na celkovej aktivite v rámci internetu. Tento nárast bol obzvlášť výrazný v anglicky hovoriacich krajinách, ktoré sú blízkymi spojencami Spojených štátov (obrázok 2), čo poukazuje na schopnosť Iránu osloviť západné publikum svojimi správami o konfliktoch na Blízkom východe. Mesiac od začiatku vojny bol dosah týchto iránskych zdrojov celosvetovo o 28 – 29 % vyšší ako pred vojnou.
Vplyv Iránu bez kybernetických útokov ukazuje agilitu 
Vplyvové operácie Iránu sa v prvých dňoch vojny zdali byť agilnejšie a účinnejšie v porovnaní s jeho kombinovanými kyberneticko-vplyvovými operáciami v neskoršej fáze konfliktu. V priebehu niekoľkých dní po útoku Hamasu na Izrael spustil pravdepodobný iránsky štátny aktér, ktorého sledujeme ako Storm-1364, vplyvovú operáciu s využitím online identity s názvom Tears of War, ktorá sa vydávala za izraelských aktivistov s cieľom šíriť protinetanjahuovské posolstvá medzi izraelským publikom na viacerých sociálnych médiách a komunikačných platformách. Rýchlosť, akou skupina Storm-1364 spustila túto kampaň po útokoch zo 7. októbra, poukazuje na agilitu tejto skupiny a poukazuje na výhody kampaní zameraných len na ovplyvňovanie, ktoré môžu vzniknúť rýchlejšie, pretože nemusia čakať na kybernetickú aktivitu kybernetickej vplyvovej operácie.

2. fáza: Všetci muži na palubu

Od polovice do konca októbra sa čoraz viac iránskych skupín zameralo na Izrael a vplyvové operácie Iránu s využitím kybernetického priestoru sa zmenili z prevažne reaktívnych, vymyslených alebo obidvoch spôsobov na deštruktívne kybernetické útoky a rozvoj záujmových cieľov operácií. Tieto útoky zahŕňali vymazanie údajov, ransomware a zrejme aj úpravu zariadenia internetu vecí (IoT).6 Zaznamenali sme aj dôkazy o zvýšenej koordinácii medzi iránskymi skupinami.

V prvom týždni vojny služba Microsoft Analýza hrozieb sledovala deväť iránskych skupín, ktoré aktívne útočili na Izrael; do 15. dňa sa ich počet zvýšil na 14. V niektorých prípadoch sme zaznamenali, že viaceré skupiny IRGC alebo MOIS sa kybernetickými alebo vplyvovými aktivitami zameriavali na tú istú organizáciu alebo vojenskú základňu, čo naznačuje koordináciu, spoločné ciele stanovené v Teheráne alebo oboje.

Počet kybernetických vplyvových operácií tiež prudko vzrástol. V prvom týždni vojny sme zaznamenali štyri narýchlo uskutočnené kybernetické operácie zamerané na Izrael. Do konca októbra sa počet takýchto operácií viac ako zdvojnásobil, čo znamenalo výrazné zrýchlenie týchto operácií doteraz najrýchlejším tempom (pozri obrázok 4).

Obrázok: Iránske kybernetické a vplyvové prepojenie so symbolmi, spravodajstvom pre hrozby a Zborom revolučných gárd
Časová os kybernetických vplyvových operácií Iránu: Prudký nárast počas vojny s Hamasom, 2021 – 2023

Skupina IRGC Shahid Kaveh, ktorú spoločnosť Microsoft sleduje ako Storm-0784, použila 18. októbra prispôsobený ransomware na kybernetické útoky na bezpečnostné kamery v Izraeli. Potom použila jednu zo svojich kybernetických identít „Soldiers of Solomon“ a falošne tvrdila, že zaplatila výkupné za bezpečnostné kamery a údaje na leteckej základni Nevatim. Preskúmanie bezpečnostných záberov, ktoré unikli na verejnosť, odhalilo, že pochádzajú z mesta severne od Tel Avivu s ulicou Nevatim, a nie z rovnomennej leteckej základne. Z analýzy polohy obetí vyplýva, že žiadna z nich sa nenachádzala v blízkosti vojenskej základne (pozri obrázok 5). Iránske skupiny síce začali s ničivými útokmi, ale ich operácie boli do veľkej miery oportunistické a naďalej využívali vplyvové aktivity na zveličenie presnosti alebo účinku útokov.

21. októbra iná kybernetická identita riadená skupinou IRGC Cotton Sandstorm (všeobecne známa ako Emennet Pasargad) zdieľala video, na ktorom útočníci napísali na digitálne displeje v synagógach odkazy, ktoré označovali izraelské operácie v Gaze za genocídu. 7 To znamenalo metódu zakomponovania správ priamo do kybernetických útokov proti relatívne ľahkému cieľu.

Počas tejto fázy iránska vplyvová činnosť využívala rozsiahlejšie a sofistikovanejšie formy neautentického zosilňovania. V prvých dvoch týždňoch vojny sme zistili minimálne pokročilé formy neautentického zosilnenia – čo opäť naznačuje, že operácie boli reaktívne. V treťom týždni vojny vstúpil na scénu najplodnejší iránsky vplyvový aktér Cotton Sandstorm, ktorý 21. októbra spustil tri kybernetické vplyvové operácie. Ako u tejto skupiny často vidíme, na rozšírenie operácií použili sieť sockpuppetov na sociálnych sieťach, hoci sa zdá, že mnohí z nich boli narýchlo „prezlečení“ bez autentických zásteriek, ktoré by ich maskovali za Izraelčanov. Skupina Cotton Sandstorm pri viacerých príležitostiach hromadne posielala textové správy alebo e-maily s cieľom posilniť svoje operácie alebo sa nimi pochváliť, pričom na zvýšenie autenticity využívala zneužité kontá.8

Vyvrátené tvrdenia Iránu o kybernetickom útoku: Falošný ransomware a zábery z priemyselných kamier, odhalené zavádzajúce vplyvové operácie

3. fáza: Rozšírenie geografického rozsahu

Od konca novembra iránske skupiny rozšírili svoj kybernetický vplyv aj mimo Izraela, a to na krajiny, ktoré Irán považuje za krajiny pomáhajúce Izraelu, s veľkou pravdepodobnosťou s cieľom podkopať medzinárodnú politickú, vojenskú alebo hospodársku podporu vojenských operácií Izraela. Toto rozšírenie cielenia sa zladilo so začiatkom útokov na medzinárodnú lodnú dopravu spojenú s Izraelom zo strany húsíov, šiitskej militantnej skupiny podporovanej Iránom v Jemene (pozri obrázok 8).9

  • Iránom riadená kybernetická identita „Homeland Justice“ 20. novembra varovala pred pripravovanými veľkými útokmi na Albánsko a koncom decembra zosilnila ničivé kybernetické útoky skupín MOIS proti albánskemu parlamentu, národnej leteckej spoločnosti a poskytovateľom telekomunikačných služieb.10
  • 21. novembra sa kybernetická identita „Al-Toufan“ vedená skupinou Cotton Sandstorm zamerala na bahrajnskú vládu a finančné organizácie za normalizáciu vzťahov s Izraelom.
  • Najneskôr 22. novembra sa skupiny napojené na IRGC začali zameriavať na programovateľné logické kontroléry (PLC) izraelskej výroby v Spojených štátoch a pravdepodobne aj v Írsku, vrátane odstavenia jedného z nich na vodohospodárskom úrade v Pensylvánii 25. novembra (obrázok 6).11 PLC sú priemyselné počítače prispôsobené na riadenie výrobných procesov, ako sú montážne linky, stroje a robotické zariadenia.
  • Začiatkom decembra identita „Cyber Toufan Al-Aksa“, ktorá je podľa MTAC sponzorovaná Iránom, tvrdila, že získala údaje z dvojice amerických spoločností za ich finančnú podporu Izraela a poskytovanie vybavenia pre jeho armádu.12 Predtým sa 16. novembra prihlásila k útokom na vymazanie údajov týchto spoločností.13 Vzhľadom na nedostatok silných forenzných dôkazov spájajúcich skupinu s Iránom je možné, že túto identitu riadi iránsky partner mimo krajiny s iránskou účasťou.
Poškodený PLC na vodohospodárskom úrade v Pensylvánii s logom Cyber Avengers, 25. novembra

Aj v tejto poslednej fáze kybernetické vplyvové operácie Iránu naďalej rástli na sofistikovanosti. Svojich sockpuppetov lepšie zamaskovali tým, že niektoré premenovali a zmenili ich profilové fotografie, aby autentickejšie vyzerali ako Izraelčania. Medzitým využili nové techniky, ktoré sme u iránskych aktérov doteraz nevideli, vrátane využitia umelej inteligencie ako kľúčovej zložky svojich posolstiev. Predpokladáme, že skupina Cotton Sandstorm v decembri narušila streamovacie televízne služby v Spojených arabských emirátoch a inde pod zámienkou identity s názvom „For Humanity“. Skupina For Humanity zverejnila na Telegrame videá, na ktorých je vidieť, ako sa nabúrala do troch online streamovacích služieb a narušila niekoľko spravodajských kanálov falošným spravodajstvom, v ktorom zjavne vystupoval hlásateľ vytvorený umelou inteligenciou, ktorý tvrdil, že ukazuje zábery Palestínčanov zranených a zabitých pri izraelských vojenských operáciách (obrázok 7).14 Spravodajské kanály a diváci v Spojených arabských emirátoch, Kanade a Spojenom kráľovstve hlásili narušenie streamovaného televízneho vysielania vrátane BBC, ktoré sa zhodovalo s tvrdeniami organizácie For Humanity.15

HUMANITY 2023: 8. októbra, 180 mŕtvych, 347 zranených. Obrázok 7: Narušenie streamovania televízie pomocou hlásateľa vygenerovaného umelou inteligenciou
Irán rozširuje cielenie na podporovateľov Izraela, kybernetické útoky, varovania a aktivity zmeny obsahu.

Operácie Iránu sa zameriavali na štyri všeobecné ciele: destabilizáciu, odvetu, zastrašovanie a podkopávanie medzinárodnej podpory Izraela. Všetky tieto štyri ciele sa tiež snažia podkopať informačné prostredie Izraela a jeho podporovateľov a vyvolať všeobecný zmätok a nedôveru.

Destabilizácia prostredníctvom polarizácie 
Irán sa počas vojny medzi Izraelom a Hamasom čoraz viac zameriaval na podnecovanie domáceho konfliktu v súvislosti s prístupom izraelskej vlády k vojne. Viaceré iránske vplyvové operácie sa vydávali za izraelské aktivistické skupiny, aby šírili štvavé správy, ktoré kritizujú prístup vlády k osobám uneseným a zajatým 7. októbra.17 Netanjahu bol hlavným terčom takýchto správ a výzvy na jeho odstúpenie boli bežnou témou iránskych vplyvových operácií.18
AVENGERS – Bez elektriny, jedla, vody, palív. Cyber Avengers nanovo zverejnila video o Izraelskej blokáde
Odveta 
Irán vo veľkej časti svojich správ a pri výbere cieľov zdôrazňuje odvetný charakter svojich operácií. Napríklad riadne pomenovaná identita Cyber Avengers zverejnila video, na ktorom izraelský minister obrany vyhlásil, že Izrael preruší dodávku elektriny, potravín, vody a palív do mesta Gaza (pozri obrázok 9), po ktorom nasledovala séria deklarovaných útokov skupiny Cyber Avengers zameraných na izraelskú infraštruktúru v oblasti elektriny, vody a palív.19 Ich predchádzajúce tvrdenia o útokoch na izraelské celoštátne vodovodné systémy niekoľko dní predtým obsahovali odkaz „Oko za oko“ a tlačová agentúra Tasnim napojená na IRGC informovala, že skupina uviedla, že útoky na vodovodné systémy boli odvetou za obliehanie Gazy.20 Skupina napojená na MOIS, ktorú sledujeme ako Pink Sandstorm (tzv. Agrius), uskutočnila koncom novembra hekerský útok na izraelskú nemocnicu s cieľom úniku údajov, ktorý sa zdal byť odvetou za izraelské niekoľkodňové obliehanie nemocnice al-Šifa v Gaze spred dvoch týždňov.21
Zastrašovanie 
Operácie Iránu slúžia aj na oslabenie izraelskej bezpečnosti a zastrašovanie občanov Izraela a jeho podporovateľov prostredníctvom výhražných správ a presviedčania cieľových skupín, že infraštruktúra a vládne systémy ich štátu nie sú bezpečné. Zdá sa, že niektoré zastrašovacie aktivity Iránu sú zamerané na podkopanie ochoty Izraela pokračovať vo vojne, napríklad správy, ktoré sa snažia presvedčiť vojakov IDF, že by mali „opustiť vojnu a vrátiť sa domov“ (obrázok 10).22 Jedna iránska kybernetická identita, ktorá sa môže maskovať za Hamas, tvrdila, že posiela výhražné textové správy rodinám izraelských vojakov, a dodala: „Vojaci IDF (Izraelských obranných síl) by si mali uvedomiť, že kým nebudú v bezpečí naše rodiny, nebudú v bezpečí ani ich rodiny.“23 Sockpuppeti posilňujúci identitu Hamasu šírili na X správy o tom, že IDF „nemajú žiadnu moc chrániť svojich vlastných vojakov“, a upozorňovali divákov na sériu správ, ktoré údajne poslali vojaci IDF a v ktorých žiadali Hamas, aby ušetril ich rodiny.24
Výhražná správa od údajného sockpuppeta riadeného skupinou Cotton Sandstorm, ktorá odkazuje na prístup k osobným údajom a nabáda k odchodu z vojny.
Podkopávanie medzinárodnej podpory Izraela 
Vplyvové operácie Iránu zamerané na medzinárodné publikum často zahŕňali správy, ktorých cieľom bolo oslabiť medzinárodnú podporu Izraela zdôrazňovaním škôd spôsobených izraelskými útokmi na Gazu. Identita vydávajúca sa za propalestínsku skupinu označila izraelské akcie v Gaze za „genocídu“.25 V decembri skupina Cotton Sandstorm uskutočnila viacero vplyvových operácií – pod názvami For Palestinians (Za Palestínčanov) a For Humanity (Za ľudskosť) – ktoré vyzývali medzinárodné spoločenstvo, aby odsúdilo útoky Izraela na Gazu.26

Na dosiahnutie svojich cieľov v informačnom priestore sa Irán v posledných deviatich mesiacoch vo veľkej miere spoliehal na štyri taktiky, techniky a postupy ovplyvňovania (TTP). Patrí medzi ne využívanie vydávania sa za niekoho iného a posilnených schopností aktivizovať cieľové publikum spolu s čoraz častejším využívaním kampaní prostredníctvom textových správ a využívaním médií prepojených s IRGC na posilnenie vplyvových operácií.

Vydávanie sa za izraelské aktivistické skupiny a iránskych partnerov 
Iránske skupiny nadviazali na dlhoročnú techniku vydávania sa za niekoho iného a vytvorili konkrétnejšie a presvedčivejšie identity, ktoré sa vydávajú za priateľov aj nepriateľov Iránu. Mnohé z iránskych operácií a osôb v minulosti sa vydávali za aktivistov na podporu palestínskej veci.27 Nedávne operácie identity, ktorú podľa našich odhadov riadi skupina Cotton Sandstorm, zašli ešte ďalej a na šírenie falošných správ o rukojemníkoch zadržiavaných v Gaze a zasielanie výhražných správ Izraelčanom používali názov a logo vojenského krídla Hamasu, brigád al-Kassám. Ďalší kanál Telegramu, ktorý sa vyhrážal príslušníkom IDF a zverejnil ich osobné údaje a ktorý podľa našich odhadov prevádzkovala skupina MOIS, tiež používal logo brigád al-Kassám. Nie je jasné, či Irán koná so súhlasom Hamasu.

Podobne Irán vytvára čoraz presvedčivejšie napodobeniny fiktívnych izraelských aktivistických organizácií na pravej i ľavej strane izraelského politického spektra. Prostredníctvom týchto falošných aktivistov sa Irán snaží infiltrovať do izraelských komunít, aby získal ich dôveru a zasial rozpory.

Aktivizácia Izraelčanov k činnosti 
V apríli a novembri Irán opakovane úspešne verboval nevedomých Izraelčanov, aby sa zapojili do aktivít na podporu jeho falošných operácií. V rámci jednej z nedávnych operácií „Tears of War“ sa iránskym agentom údajne podarilo presvedčiť Izraelčanov, aby v izraelských štvrtiach rozvešali transparenty Tears of War, na ktorých bol zobrazený Netanjahu zrejme vytvorený umelou inteligenciou a ktoré vyzývali na jeho odvolanie z funkcie (pozri obrázok 11).28
Zosilňovanie prostredníctvom SMS správ a e-mailov so zvýšenou frekvenciou a sofistikovanosťou 
Hoci sa iránske vplyvové operácie naďalej vo veľkej miere spoliehajú na koordinované neautentické šírenie informácií na sociálnych sieťach s cieľom zasiahnuť cieľové publiká, Irán čoraz viac využíva hromadné textové správy a e-maily na posilnenie psychologických účinkov svojich kybernetických vplyvových operácií. Zosilňovanie na sociálnych sieťach pomocou sockpuppetov nemá rovnaký účinok ako správa, ktorá sa objaví v e-mailovej schránke, nieto ešte v telefóne. Skupina Cotton Sandstorm nadviazala na predchádzajúce úspechy pri používaní tejto techniky od roku 202229, pričom od augusta uskutočnila najmenej šesť operácií, pri ktorých hromadne odoslala textové správy, e-maily alebo oboje. Častejšie používanie tejto techniky naznačuje, že skupina si túto schopnosť zdokonalila a považuje ju za účinnú. Operácia „Cyber Flood“ skupiny Cotton Sandstorm koncom októbra zahŕňala až tri súbory hromadných textových správ a e-mailov Izraelčanom, ktoré zosilňovali údajné kybernetické útoky alebo šírili falošné varovania pred útokmi Hamasu na izraelské jadrové zariadenie pri Dimone.30 Najmenej v jednom prípade využila zneužité konto na zvýšenie autenticity svojich e-mailov.
Obrázok 11: Transparent Tears of War v Izraeli s obrázkom Netanjahua vytvoreným umelou inteligenciou a textom "impeachment now“.
Využívanie štátnych médií 
Irán využíva otvorené a skryté médiá napojené na IRGC, aby posilnil údajné kybernetické operácie a niekedy zveličil ich účinky. V septembri, keď sa skupina Cyber Avengers prihlásila ku kybernetickým útokom na izraelský železničný systém, médiá napojené na IRGC jej tvrdenia takmer okamžite rozšírili a zveličili. Tlačová agentúra Tasnim napojená na IRGC nesprávne citovala izraelské spravodajstvo o inej udalosti ako dôkaz, že došlo ku kybernetickému útoku.31 Toto spravodajstvo ďalej rozšírili ďalšie iránske a s Iránom spojené médiá spôsobom, ktorý ešte viac zahmlil nedostatok dôkazov podporujúcich tvrdenia o kybernetickom útoku.32
Rodiace sa zavádzanie umelej inteligencie na ovplyvňovanie operácií 
Centrum MTAC pozorovalo iránskych aktérov, ktorí od vypuknutia vojny medzi Izraelom a Hamasom používajú obrázky a videá vytvorené umelou inteligenciou. Skupiny Cotton Sandstorm a Storm-1364, ako aj spravodajské kanály napojené na Hizballáh a Hamas, využívali umelú inteligenciu na posilnenie zastrašovania a vytváranie obrázkov očierňujúcich Netanjahua a izraelské vedenie.
Obrázok 12: Vplyvové operácie skupiny Cotton Sandstorm august – december 2023, zobrazujúce rôzne metódy a aktivity.
1. Rozvíjajúca sa spolupráca 
Po niekoľkých týždňoch vojny medzi Izraelom a Hamasom sme začali pozorovať príklady spolupráce medzi skupinami napojenými na Irán, čo zvýšilo možnosti aktérov. Spolupráca znižuje vstupnú bariéru, pretože umožňuje každej skupine prispieť existujúcimi schopnosťami a odstraňuje potrebu jednej skupiny vyvinúť celé spektrum nástrojov alebo technológií.

Podľa našich odhadov dvojica skupín napojených na MOIS, Storm-0861 a Storm-0842, spolupracovala na ničivom kybernetickom útoku v Izraeli koncom októbra a v Albánsku koncom decembra. V oboch prípadoch skupina Storm-0861 pravdepodobne poskytla prístup do siete predtým, ako skupina Storm-0842 spustila malvér wiper. Podobne skupina Storm-0842 spustila v júli 2022 po získaní prístupu skupinou Storm-0861 malvér wiper v albánskych vládnych subjektoch.

V októbri ďalšia skupina napojená na MOIS, Storm-1084, možno tiež získala prístup do organizácie v Izraeli, v ktorej skupina Storm-0842 nasadila wiper BiBi, pomenovaný podľa toho, že tento malvér premenúval vymazané súbory reťazcom „BiBi“. Nie je jasné, či a akú úlohu pri tomto ničivom útoku zohrala skupina Storm-1084. Skupina Storm-1084 uskutočnila začiatkom roku 2023 ničivé kybernetické útoky na inú izraelskú organizáciu, ktoré umožnila ďalšia skupina napojená na MOIS Mango Sandstorm (tzv. MuddyWater).33

Od vypuknutia vojny služba Microsoft Analýza hrozieb zistila aj spoluprácu medzi skupinou Pink Sandstorm napojenou na MOIS a kybernetickými jednotkami Hizballáhu. Spoločnosť Microsoft zaznamenala prekrývanie infraštruktúry a zdieľanie nástrojov. Spolupráca Iránu s Hizballáhom v oblasti kybernetických operácií síce nie je bezprecedentná, ale predstavuje znepokojujúci vývoj, pretože vojna môže tieto skupiny, ktoré sú rozdelené na viacero štátov, ešte viac operačne zblížiť.34 Keďže všetky kybernetické útoky Iránu v tejto vojne boli kombinované s vplyvovými operáciami, existuje ďalšia pravdepodobnosť, že Irán zlepšuje svoje vplyvové operácie a ich dosah tým, že využíva ľudí s rodnou Arabčinou na zvýšenie autenticity svojich neautentických identít.

2. Mimoriadne zameranie na Izrael 
Zameranie iránskych kybernetických aktérov na Izrael sa zintenzívnilo. Irán sa dlhodobo zameriava na Izrael, ktorý Teherán považuje popri Spojených štátoch za svojho hlavného protivníka. V súlade s tým boli podľa údajov služby Microsoft Analýza hrozieb v posledných rokoch najčastejšími cieľmi Iránu takmer vždy izraelské a americké podniky. Pred vojnou sa iránski aktéri najviac zameriavali na Izrael, po ktorom nasledovali Spojené arabské emiráty a Spojené štáty. Po vypuknutí vojny zameranie na Izrael výrazne vzrástlo. Štyridsaťtri percent kybernetických aktivít iránskeho štátu sledovaných spoločnosťou Microsoft bolo zameraných na Izrael, čo je viac ako ďalších 14 cieľových krajín dohromady.
Percentuálne rozdelenie údajov služby Mogul Threat Intelligence podľa krajín a zameranie na Irán pred vojnou a 75 dní po vypuknutí vojny

Očakávame, že hrozba, ktorú predstavujú kybernetické a vplyvové operácie Iránu, bude s pretrvávajúcim konfliktom medzi Izraelom a Hamasom rásť, najmä v súvislosti s rastúcim potenciálom eskalácie na ďalších frontoch. Zatiaľ čo v prvých dňoch vojny sa iránske skupiny ponáhľali vykonávať, alebo jednoducho vymýšľať, operácie, v poslednom období iránske skupiny svoje operácie spomalili, čo im poskytlo viac času na získanie požadovaného prístupu alebo na vypracovanie dômyselnejších vplyvových operácií. Fázy vojny uvedené v tejto správe jasne ukazujú, že iránske kybernetické a vplyvové operácie pomaly napredujú a stávajú sa cielenejšími, kolaboratívnejšími a ničivejšími.

Iránski aktéri sa tiež čoraz odvážnejšie zameriavajú na svoje ciele, najmä pri kybernetickom útoku na nemocnicu, a testujú červené čiary Washingtonu zdanlivo bez obáv z následkov. Útoky IRGC na americké vodovodné systémy boli síce oportunistické, ale zrejme išlo o šikovný trik, ako otestovať Washington tvrdením, že útoky na zariadenia vyrobené v Izraeli sú legitímne.

Pred voľbami v USA v novembri 2024 je zvýšená spolupráca medzi iránskymi a s Iránom spojenými skupinami väčšou výzvou pre tých, ktorí sa podieľajú na ochrane volieb. Obrancovia sa už nemôžu uspokojiť sledovaním niekoľkých skupín. Rastúci počet agentov prístupu, vplyvových skupín a kybernetických aktérov vytvára zložitejšie a prepojenejšie prostredie hrozieb.

Ďalšie poznatky expertov o vplyvových operáciách Iránu

Vypočujte si viac informácií od expertov na kybernetické operácie Iránu so zameraním na jeho aktivity súvisiace s prezidentskými voľbami v USA v roku 2020 a vojnou medzi Izraelom a Hamásom v podcaste služby Microsoft Analýza hrozieb. Diskusia sa zaoberá taktikami, ktoré iránski aktéri používajú, ako sú vydávanie sa za iné osoby, nábor miestnych obyvateľov a využívanie e-mailových a textových správ na šírenie informácií. Prináša tiež kontext zložitých iránskych kybernetických aktivít, ich spoločného úsilia, propagandistickej spotreby, kreatívnych taktík a výziev v oblasti atribúcie vplyvových operácií.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Operácie ovplyvňujúce kybernetickú bezpečnosť Útoky na národnej úrovni Správy týkajúce národných štátov Aktéri hrozieb

Súvisiace články

Ruskí aktéri hrozieb neustupujú a pripravujú sa na využitie únavy z vojny 

Ruské kybernetické a vplyvové operácie s pokračujúcou vojnou na Ukrajine pretrvávajú. Platforma Microsoft Analýza hrozieb opisuje podrobnosti najnovších kybernetických hrozieb a vplyvových aktivít za posledných šesť mesiacov.
Ďalšie informácie

Irán začína používať mienkotvorné operácie s podporou kybernetického šírenia s cieľom širšieho dosahu

Platforma Microsoft Analýza hrozieb odkryla nárast mienkotvorných operácií s podporou kybernetického šírenia z Iránu. Získajte podrobné informácie o hrozbách, ktoré prinášajú nové metódy a zistite, aké hrozby môže priniesť budúcnosť.
Ďalšie informácie

Kybernetické a vplyvové operácie na digitálnom bojisku vojny na Ukrajine

Microsoft Analýza hrozieb skúma rok kybernetických a vplyvových operácií na Ukrajine, odhaľuje nové trendy v oblasti kybernetických hrozieb a očakávania spojené s druhým rokom vojny.
Ďalšie informácie