Trace Id is missing

Iran krepi kibernetsko omogočene postopke vplivanja v podporo Hamasu

Prenos
Skupna raba

Uvod

Ko je 7. oktobra 2023 izbruhnila vojna med Izraelom in Hamasom, je Iran nemudoma podprl Hamas s svojo zdaj dobro izpopolnjeno tehniko združevanja usmerjenih vdorov in operacij vplivanja, okrepljenih na družbenih omrežjih, kar imenujemo kibernetsko podpri postopki vplivanja.1Iranske operacije so bile sprva reakcijske in oportunistične. Konec oktobra so se skoraj vsi iranski vplivi in glavni kibernetski akterji vse bolj usmerjeno, usklajeno in destruktivno osredotočili na Izrael, tako da je bila kampanja proti Izraelu navidezno brezmejna in poenotena. Za razliko od nekaterih preteklih kibernetskih napadov Irana so bili vsi njegovi uničujoči kibernetski napadi na Izrael v tej vojni, resnični ali izmišljeni, dopolnjeni s postopki spletnega vplivanja.

Opredelitev ključnih pojmov

  • Kibernetsko podprti postopki vplivanja 
    Postopki, ki združujejo ofenzivne dejavnosti v računalniškem omrežju s sporočili in njihovim razširjanjem na usklajen in manipulativen način za spreminjanje dojemanja, vedenja ali odločitev ciljnega občinstva z namenom spodbujanja interesov in ciljev skupine ali države.
  • Kibernetska oseba 
    Izdelana skupina ali posameznik, ki nastopa v javnosti in prevzame odgovornost za kibernetski dejavnost, hkrati pa zagotavlja verodostojno zanikanje odgovorne skupine ali države.
  • Lutka 
    Lažna spletna oseba, ki uporablja izmišljene ali ukradene identitete z namenom zavajanja.

Postopki vplivanja so postajali vse bolj izpopolnjeni in nepristni, z napredovanjem vojne pa so napadalci začeli uporabljati mrežo »lutk« v družbenih omrežjih. Ves čas vojne so napadalci s temi postopki vplivanja skušali ustrahovati Izraelce in hkrati kritizirati ravnanje izraelske vlade s talci in vojaške operacije za polarizacijo in končno destabilizacijo Izraela, ravnanje izraelske vlade s talci in vojaške operacije za polarizacijo in končno destabilizacijo Izraela.

Sčasoma je Iran svoje kibernetske napade in postopke vplivanja usmeril proti izraelskim političnim zaveznikom in gospodarskim partnerjem, da bi oslabil podporo izraelskim vojaškim operacijam.

Pričakujemo, da se bo grožnja, ki jo predstavljajo iranske kibernetske operacije in postopki vplivanja, z nadaljevanjem konflikta še povečala, zlasti ob naraščajoči možnosti širitve vojne. Večja drznost iranskih in z Iranom povezanih akterjev ter vse večje sodelovanje med njimi pomeni vse večjo grožnjo pred novembrskimi volitvami v ZDA.

Od terorističnega napada Hamasa 7. oktobra so iranske kibernetske in vplivne operacije napredovale v več fazah. Eden od elementov njihovih operacij je ostal nespremenjen: kombinacija oportunističnega kibernetskega ciljanja s postopki vplivanja, ki pogosto zavajajo glede natančnosti ali obsega učinka.

To poročilo se osredotoča na iranski vpliv in kibernetsko podprte postopke vplivanja od 7. oktobra do konca leta 2023, hkrati pa zajema trende in operacije od pomladi leta 2023.

Graf, ki prikazuje faze iranskih kibernetskih postopkov vplivanja v vojni med Izraelom in Hamasom

1. faza: Reaktivno in zavajajoče

Iranske skupine so se odzvale v začetni fazi vojne med Izraelom in Hamasom. Iranski državni mediji so objavljali zavajajoče podrobnosti o domnevnih kibernetskih napadih, iranske skupine pa so ponovno uporabile zastarelo gradivo iz preteklih operacij, ponovno uporabile dostop, ki so ga imele pred vojno, ter pretiravale glede splošnega obsega in vpliva domnevnih kibernetskih napadov.

Po skoraj štirih mesecih vojne Microsoft iz naših podatkov še vedno ni pridobil jasnih dokazov, ki bi kazali, da so iranske skupine usklajevale svoje kibernetske ali vplivne operacije z načrti Hamasa za napad na Izrael 7. oktobra. Večina naših podatkov in ugotovitev kaže, da so se iranski kibernetski akterji odzvali in po napadih Hamasa hitro okrepili svoje kibernetske napade in postopke vplivanja, da bi se zoperstavili Izraelu.

Zavajajoče podrobnosti o prijavljenih napadih v državnih medijih: 
Na dan začetka vojne je iranska tiskovna agencija Tasnim, ki je povezana z Islamsko revolucionarno gardo (IRGC), lažno trdila, da je skupina, imenovana »Cyber Avengers«, izvedla kibernetski napad na izraelsko elektrarno »sočasno« z napadi Hamasa. 2Cyber Avengers, kibernetska organizacija, ki jo vodi IRGC, je dejansko trdila, da je večer pred Hamasovim vdorom izvedla kibernetski napad na izraelsko električno podjetje.3Njihovi dokazi: več tednov staro poročanje tiska o izpadih električne energije »v zadnjih letih« in posnetek zaslona nedatirane motnje v delovanju spletne strani podjetja. 4
Ponovna uporaba starega gradiva: 
Po napadih Hamasa na Izrael je organizacija Cyber Avengers trdila, da je izvedla vrsto kibernetskih napadov na Izrael, pri čemer je naša preiskava pokazala, da so bili prvi izmed njih lažni. 8. oktobra so trdili, da so razkrili dokumente o izraelski elektrarni, čeprav jih je junija 2022 že objavila druga kibernetska oseba »Moses Staff«, ki jo vodi IRGC.5
Ponovna uporaba dostopa: 
Druga kibernetska oseba »Malek Team«, ki jo po naši oceni vodi iransko ministrstvo za obveščevalne in varnostne zadeve (MOIS), je 8. oktobra izpustila osebne podatke z izraelske univerze brez jasne povezave med ciljem in razvijajočim se konfliktom, kar kaže, da je bila tarča oportunistična in morda izbrana na podlagi že obstoječega dostopa pred izbruhom vojne. Namesto da bi vzpostavila povezavo med razkritimi podatki in podporo operacijam Hamasa, je skupina Malek Team sprva uporabljala ključnike v omrežju X (nekdanji Twitter) v podporo Hamasu, le nekaj dni pozneje pa je sporočila spremenila in jih uskladila s sporočili, ki blatijo izraelskega ministrskega predsednika Benjamina Netanjahuja in so bila uporabljena v drugih iranskih postopkih vplivanja.
Poraba iranske propagande po vsem svetu, ponazorjena s časovnico in grafom deleža prometa
Slika 2: Obveščanje o grožnjah Microsoft – količina iranske propagande po državah, napadi Hamasa na Izrael. Graf, ki prikazuje dejavnost od aprila do decembra 2023.
Iranski postopki vplivanja so bili najučinkovitejši v prvih dneh vojne 
Po izbruhu vojne med Izraelom in Hamasom se je doseg iranskih medijev, povezanih z državo, povečal. V prvem tednu konflikta smo opazili 42-odstotno povečanje indeksa iranske propagande laboratorija Microsoft AI for Good Lab, ki spremlja razširjenost novic iz iranskih državnih in z državo povezanih medijev (glejte sliko 1). Indeks meri delež prometa, ki obišče ta spletna mesta, v celotnem prometu na internetu. Ta porast je bil še posebej izrazit v angleško govorečih državah, ki so tesno povezane z Združenimi državami (slika 2), kar kaže na sposobnost Irana, da s svojim poročanjem o konfliktih na Bližnjem vzhodu doseže zahodno občinstvo. Mesec dni po začetku vojne je bil doseg teh iranskih virov na svetovni ravni še vedno za 28–29 % višji od ravni pred vojno.
Vpliv Irana brez kibernetskih napadov kaže spretnost 
Iranski postopki vplivanja so bili v prvih dneh vojne bolj agilni in učinkoviti v primerjavi s kombiniranimi postopki kibernetskega vplivanja pozneje v konfliktu. V nekaj dneh po napadu Hamasa na Izrael je verjetno iranski državni akter, ki ga spremljamo pod imenom Storm-1364, začel postopek vplivanja z uporabo spletne osebe z imenom »Tears of War«, ki se je izdajala za izraelske aktiviste, da bi med izraelskim občinstvom širila sporočila proti Netanjahuju prek več družabnih omrežij in platform za sporočanje. Hitrost, s katero je skupina Storm-1364 začela kampanjo po napadih 7. oktobra, kaže na agilnost te skupine in opozarja na prednosti kampanj vplivanja, ki se lahko oblikujejo hitreje, saj jim ni treba čakati na kibernetske dejavnosti postopka vplivanja s kibernetsko podporo.

2. faza: Poenotenje

Od sredine do konca oktobra se je vse več iranskih skupin osredotočilo na Izrael, iranski kibernetski postopki vplivanja pa so postali večinoma reaktivni, izmišljeni ali oboje, vključevali so tudi uničujoče kibernetske napade in razvijali zanimive cilje za postopke. Ti napadi so vključevali brisanje podatkov, izsiljevalsko programsko opremo in očitno prilagajanje naprave interneta stvari (IoT).6Videli smo tudi dokaze o povečanem usklajevanju med iranskimi skupinami.

V prvem tednu vojne je ekipa storitve Obveščanje o grožnjah Microsoft zasledila devet iranskih skupin, ki so aktivno napadale Izrael, do 15. dne pa se je to število povečalo na 14 skupin. V nekaterih primerih smo opazili več skupin IRGC ali MOIS, ki so s kibernetskimi dejavnostmi ali dejavnostmi vplivanja ciljale na isto organizacijo ali vojaško bazo, kar kaže na usklajevanje, skupne cilje, določene v Teheranu, ali oboje.

Povečalo se je tudi število kibernetsko podprtih postopkov vplivanja. V prvem tednu vojne smo opazili štiri v naglici izvedene kibernetske postopke vplivanja na Izrael. Do konca oktobra se je število takšnih postopkov več kot podvojilo, kar je pomenilo pospešitev z daleč najhitrejšim tempom do zdaj (glejte sliko 4).

Ilustracija: Iranska kibernetska mreža in mreža vplivanja, s simboli, obveščevalno službo za grožnje in revolucionarno gardo
Časovni okvir postopkov kibernetskega vplivanja Irana: Porast med vojno v Kamasu, 2021–2023

Skupina IRGC Shahid Kaveh Group, ki jo Microsoft spremlja pod imenom Storm-0784, je 18. oktobra s prilagojeno izsiljevalsko programsko opremo izvedla kibernetske napade na varnostne kamere v Izraelu. Skupina je nato uporabila eno od svojih kibernetskih osebnosti »Soldiers of Solomon« in lažno trdila, da je zavzela varnostne kamere in podatke v letalski bazi Nevatim. Pregled varnostnih posnetkov, ki so jih objavili Solomonovi vojaki, je pokazal, da so bili posnetki iz mesta severno od Tel Aviva z ulico Nevatim in ne iz letalskega oporišča z istim imenom. Analiza lokacij žrtev je pokazala, da nobena ni bila v bližini vojaškega oporišča (glejte sliko 5). Čeprav so iranske skupine začele z uničujočimi napadi, so bile njihove operacije večinoma oportunistične in so še naprej izkoriščale dejavnosti vplivanja za poveličevanje natančnosti ali učinka napadov.

21. oktobra je druga kibernetska oseba, ki jo vodi skupina IRGC Cotton Sandstorm (splošno znana kot Emennet Pasargad), delila videoposnetek napadalcev, ki so poškodovali digitalne zaslone v sinagogah s sporočili, v katerih so izraelske operacije v Gazi označili za »genocid«. 7To je bila metoda neposredne vdelave sporočil v kibernetske napade na relativno lahko tarčo.

V tej fazi so iranske dejavnosti vplivanja uporabljale obsežnejše in bolj izpopolnjene oblike lažnega poveličevanja. V prvih dveh tednih vojne smo zaznali le minimalne napredne oblike lažnega poveličevanja – kar ponovno kaže na to, da so bile operacije reaktivne narave. V tretjem tednu vojne je na prizorišče stopil aktiven iranski akter vplivanja Cotton Sandstorm, ki je 21. oktobra sprožil tri postopke vplivanja s kibernetskimi sredstvi. Kot se pri skupini pogosto dogaja, so za poveličevanje teh operacij uporabljali mrežo lutk v družabnih omrežjih, čeprav se je zdelo, da so bili mnoge od njih v naglici ponovno uporabljene brez pristnih krink. Skupina Cotton Sandstorm je večkrat množično pošiljala besedilna sporočila ali e-pošto, da bi se pohvalila s svojim delovanjem, pri čemer je za večjo verodostojnost uporabljala kompromitirane račune.8

Trditve Irana o kibernetskem napadu ovržene: Lažna izsiljevalska programska oprema in posnetki varnostnih kamer, razkrite zavajajoče operacije vplivanja

3. faza: Razširitev geografskega obsega

Od konca novembra so iranske skupine svoj kibernetski vpliv razširile onkraj Izraela na države, za katere Iran meni, da pomagajo Izraelu, s čimer so zelo verjetno spodkopale mednarodno politično, vojaško ali gospodarsko podporo izraelskim vojaškim operacijam. Ta širitev ciljnih napadov se je ujemala z začetkom napadov hutijev, šiitske militantne skupine v Jemnu, ki jo podpira Iran, na mednarodni ladijski promet, povezan z Izraelom (glej sliko 8).9

  • 20. novembra je kibernetska oseba »Homeland Justice«, ki jo vodi Iran, opozorila na prihajajoče velike napade na Albanijo, nato pa konec decembra okrepila uničujoče kibernetske napade skupin MOIS na albanski parlament, nacionalno letalsko družbo in ponudnike telekomunikacijskih storitev.10
  • 21. novembra je kibernetska oseba »Al-Toufan«, ki jo je vodila skupina Cotton Sandstorm, napadla bahrajnske vladne in finančne organizacije zaradi normalizacije vezi z Izraelom.
  • Do 22. novembra so skupine, povezane z IRGC, začele napadati programirljive logične krmilnike (PLC) izraelske izdelave v Združenih državah in morda na Irskem, med drugim so 25. novembra izklopile enega od njih pri vodnem organu v Pensilvaniji (slika 6).11PLC so industrijski računalniki, prilagojeni za nadzor proizvodnih procesov, kot so montažne linije, stroji in robotske naprave.
  • V začetku decembra je oseba »Cyber Toufan Al-Aksa«, za katero MTAC ocenjuje, da jo sponzorira Iran, trdila, da je pustila podatke iz para ameriških podjetij, ki finančno podpirajo Izrael in zagotavljajo opremo za njegovo vojsko.12Pred tem je 16. novembra trdila, da je napadla ti podjetji z izbrisom podatkov.13Zaradi pomanjkanja trdnih forenzičnih dokazov, ki bi skupino povezovali z Iranom, je mogoče, da to osebo vodi iranski partner zunaj države z iransko udeležbo.
Okrnjen PLC pri organu za upravljanje voda v Pensilvaniji z logotipom Cyber Avengers, 25. november

Tudi v tej zadnji fazi so iranski postopki vplivanja s kibernetskimi sredstvi postali še bolj izpopolnjeni. Svoje lutke so bolje prikrili tako, da so nekatere preimenovali in jim spremenili fotografije profilov, da so bile videti bolj pristno izraelske. Pri tem so uporabili nove tehnike, ki jih pri iranskih akterjih še nismo videli, vključno z uporabo umetne inteligence kot ključnega elementa svojih sporočil. Ocenjujemo, da je skupina Cotton Sandstorm decembra v Združenih arabskih emiratih in drugod pod krinko osebe z imenom »For Humanity« prekinila pretočne televizijske storitve. Skupina For Humanity je v omrežju Telegram objavila videoposnetke in zmotila pretakanje vsebine več novičarskih agencij, na katerih je prikazala, kako je vdrla v tri spletne pretočne storitve in z lažnimi novicami, v katerih je nastopal voditelj, ki ga je očitno ustvarila umetna inteligenca in je prikazoval slike Palestincev, ranjenih in ubitih v izraelskih vojaških operacijah (slika 7).14Novičarski servisi in gledalci v ZAE, Kanadi in Združenem kraljestvu so poročali o motnjah v pretakanju televizijskih programov, vključno z BBC, ki so se ujemale s trditvami organizacije For Humanity.15

HUMANITY 2023: 8. oktober, 180 mrtvih in 347 ranjenih. Slika 7: Motnja pretakanja televizijskega programa z voditeljem, ustvarjenim z umetno inteligenco
Iran razširja napade na izraelske podpornike, kibernetske napade, opozorila in vdore.

Iran je s svojimi postopki sledil štirim splošnim ciljem: destabilizaciji, povračilnim ukrepom, ustrahovanju in spodkopavanju mednarodne podpore Izraelu. Vsi ti štirje cilji si prizadevajo tudi oslabiti informacijsko okolje Izraela in njegovih podpornikov ter ustvariti splošno zmedo in nezaupanje.

Destabilizacija s polarizacijo 
Iran je med vojno med Izraelom in Hamasom vse bolj usmerjal svoje napade na Izrael v podpihovanje notranjih sporov glede pristopa izraelske vlade k vojni. Številni iranski akterji postopkov vplivanja so se izdajali za izraelske aktivistične skupine, da bi podtaknili sporočila, ki kritizirajo vladni pristop k ugrabljenim in talcem, ki so bili zajeti 7. oktobra.17Netanjahu je bil glavna tarča takšnih sporočil, pozivi k njegovi odstranitvi pa so bili pogosta tema iranskih postopkov vplivanja.18
AVENGERS – Brez elektrike, hrane, vode in goriva. Cyber Avengers ponovno objavili videoposnetek izraelske blokade
Povračilni ukrepi 
Iran v svojih sporočilih in pri izbiri tarč v veliki meri poudarja povračilno naravo svojih operacij. Na primer, oseba Cyber Avengers je objavila videoposnetek, v katerem izraelski obrambni minister izjavlja, da bo Izrael prekinil dobavo elektrike, hrane, vode in goriva mestu Gaza (glejte sliko 9), čemur je sledila vrsta napadov skupine Cyber Avengers na izraelsko infrastrukturo za elektriko, vodo in gorivo.19Njihove prejšnje trditve o napadih na izraelske državne vodovodne sisteme pred dnevi so vključevale sporočilo »Oko za oko«, z IRGC povezana tiskovna agencija Tasnim pa je poročala, da je skupina dejala, da so bili napadi na vodovodne sisteme maščevanje za obleganje Gaze.20Skupina, povezana z MOIS, ki jo spremljamo pod imenom Pink Sandstorm (znana tudi kot Agrius) je konec novembra izvedla hekerski napad na izraelsko bolnišnico, za katerega se je zdelo, da je maščevanje za večdnevno obleganje bolnišnice al Šifa v Gazi, ki ga je Izrael izvedel dva tedna prej.21
Zastraševanje 
Namen iranskih operacij je tudi ogroziti izraelsko varnost ter ustrahovati izraelske državljane in njihove podpornike z grožnjami in prepričevanjem ciljnega občinstva, da sta državna infrastruktura in vladni sistemi nezanesljivi. Videti je, da je namen nekaterih iranskih ustrahovanj spodkopati izraelsko pripravljenost za nadaljevanje vojne, na primer sporočila, s katerimi je Iran poskušal prepričati vojake IDF, naj »pustijo vojno in se vrnejo domov« (slika 10).22 Ena od iranskih kibernetskih oseb, ki se morda izdaja za Hamas, je trdila, da je družinam izraelskih vojakov pošiljala grozeča besedilna sporočila in dodala: »Vojaki IDF [Izraelskih obrambnih sil] se morajo zavedati, da dokler naše družine ne bodo varne, tudi njihove družine ne bodo.«23 Lutke, ki so okrepile osebo Hamas, so na omrežju X širile sporočila, da IDF »nima nobene moči, da bi zaščitila svoje vojake«, in gledalce opozorile na vrsto sporočil, ki naj bi jih pošiljali vojaki IDF in prosili Hamas, naj zaščiti njihove družine.24
Grozeče sporočilo domnevne lutke, ki jo vodi skupina Cotton Sandstorm, ki se sklicuje na dostop do osebnih podatkov in spodbuja k odhodu iz vojne.
Spodkopavanje mednarodne podpore Izraelu
Iranski postopki vplivanja, namenjeni mednarodnemu občinstvu, so pogosto vključevali sporočila, s katerimi so akterji želeli oslabiti mednarodno podporo Izraelu s poudarjanjem škode, ki so jo povzročili izraelski napadi na Gazo. Oseba, ki se je izdajala za propalestinsko skupino, je izraelske ukrepe v Gazi označila za »genocid«.25 Decembra je skupina Cotton Sandstorm izvedla več dejanj vplivanja, pod imenoma »Za Palestince« in »Za človečnost«, ki so mednarodno skupnost pozivale k obsodbi izraelskih napadov na Gazo.26

Da bi dosegel svoje cilje v informacijskem prostoru, se je Iran v zadnjih devetih mesecih močno oprl na štiri taktike, tehnike in postopke vplivanja (TTP). Ti vključujejo uporabo pretvarjanja in izboljšanih zmožnosti za aktiviranje ciljnega občinstva, skupaj z vse pogostejšo uporabo kampanj z besedilnimi sporočili in uporabo medijev, povezanih z IRGC, za okrepitev postopkov vplivanja.

Izdajanje za izraelske aktivistične skupine in iranske partnerje 
Iranske skupine so nadgradile dolgoletno tehniko pretvarjanja in razvile bolj specifične in prepričljive osebe, ki se izdajajo tako za iranske prijatelje kot sovražnike. Številne iranske operacije in osebe so se v preteklosti izdajale za aktiviste, ki podpirajo palestinsko stvar.27 Nedavne operacije osebe, ki jo po naši oceni vodi skupina Cotton Sandstorm, so šle še dlje, saj je oseba uporabila ime in logotip Hamasovega vojaškega krila, brigad al-Kasam, za širjenje lažnih sporočil o talcih v Gazi in pošiljanje grozilnih sporočil Izraelcem. Drugi kanal mreže Telegram, ki je grozil osebju IDF in razkril njihove osebne podatke ter ga je po naši oceni vodila skupina MOIS, je prav tako uporabljal logotip brigad al-Kasam. Ni jasno, ali Iran deluje s soglasjem Hamasa.

Podobno je Iran ustvaril vse bolj prepričljive imitacije izmišljenih izraelskih aktivističnih organizacij na desnem in levem delu izraelskega političnega spektra. S temi lažnimi aktivisti se Iran skuša infiltrirati v izraelske skupnosti, da bi pridobil njihovo zaupanje in sejal razdor.

Spodbujanje Izraelcev k ukrepanju 
Aprila in novembra je Iran večkrat dokazal uspeh pri novačenju nevednih Izraelcev za sodelovanje pri dejavnostih na terenu, s katerimi je spodbujal svoje lažne operacije. V eni od nedavnih operacij »Solze vojne« naj bi iranskim agentom uspelo prepričati Izraelce, da so v izraelskih soseskah razobesili transparente z blagovno znamko »Solze vojne«, na katerih je bila na videz podoba Netanjahuja, ki jo je ustvarila UI, in pozivali k njegovi odstavitvi (glejte sliko 11).28
Pogostejše in bolj prefinjeno razširjanje prek besedila in e-pošte 
Medtem ko se iranski postopki vplivanja še vedno v veliki meri zanašajo na usklajeno lažno razširjanje prek družabnih omrežij, da bi dosegli ciljno občinstvo, Iran vse bolj uporablja množično pošiljanje besedilnih sporočil in elektronske pošte za povečanje psiholoških učinkov svojih kibernetsko podprtih postopkov vplivanja. Poveličevanje v družabnih omrežjih z lutkami nima enakega učinka kot sporočilo, ki se pojavi v poštnem predalu, kaj šele na telefonu. Skupina Cotton Sandstorm je nadgradila pretekle uspehe z uporabo te tehnike, ki se je začela leta 2022,29 in od avgusta dalje v vsaj šestih operacijah množično pošiljala besedilna sporočila, e-pošto ali oboje. Pogostejša uporaba te tehnike kaže, da je skupina to sposobnost izpopolnila in jo ocenjuje kot učinkovito. Operacija skupine Cotton Sandstorm »Cyber Flood« konec oktobra je vključevala do tri sklope množičnih besedilnih sporočil in elektronskih sporočil Izraelcem, ki so krepila domnevne kibernetske napade ali širila lažna opozorila o napadih Hamasa na izraelski jedrski objekt v bližini Dimone.30Vsaj v enem primeru so uporabili kompromitiran račun, da bi povečali verodostojnost svojih elektronskih sporočil.
Slika 11: Transparent Tears of War v Izraelu s podobo Netanjahuja, ki jo je ustvarila UI, in besedilom »impeachment now«.
Izkoriščanje državnih medijev 
Iran uporablja odkrite in prikrite medije, povezane z IRGC, da bi okrepil domnevne kibernetske operacije in poveličeval njihove učinke. Septembra, ko so kibernetski maščevalci prijavili kibernetske napade na izraelski železniški sistem, so mediji, povezani z IRGC, skoraj takoj razširili in pretiravali njihove trditve. Tiskovna agencija Tasnim, ki je povezana z IRGC, je kot dokaz, da je prišlo do kibernetskega napada, napačno navedla izraelsko poročanje o drugem dogodku.31 To poročanje so še dodatno razširili drugi iranski in z Iranom povezani mediji na način, ki je še dodatno prikril pomanjkanje dokazov, ki bi podpirali trditve o kibernetskem napadu.32
Uporaba umetne inteligence pri vplivanju 
MTAC je od začetka vojne med Izraelom in Hamasom opazil, da iranski akterji uporabljajo slike in videoposnetke, ki jih ustvarja umetna inteligenca. Cotton Sandstorm in Storm-1364 ter s Hezbolahom in Hamasom povezane novičarske postaje so Ul izkoristili za krepitev ustrahovanja in ustvarjanje podob, ki blatijo Netanjahuja in izraelsko vodstvo.
Slika 12: Postopki vplivanja skupine Cotton Sandstorm avgust–december 2023, ki prikazujejo različne metode in dejavnosti.
1. Razvijajoče se sodelovanje 
Nekaj tednov po začetku vojne med Izraelom in Hamasom smo začeli opažati primere sodelovanja med skupinami, povezanimi z Iranom, kar je povečalo možnosti, ki so jih akterji lahko dosegli. Sodelovanje zmanjšuje vstopne ovire, saj vsaki skupini omogoča, da prispeva obstoječe zmogljivosti, in odpravlja potrebo po tem, da bi ena sama skupina razvila celoten spekter orodij ali veščin.

Ocenjujemo, da je par skupin, povezanih z MOIS, Storm-0861 in Storm-0842, sodelovalo pri uničujočem kibernetskem napadu v Izraelu konec oktobra in v Albaniji konec decembra. V obeh primerih je skupina Storm-0861 verjetno omogočila dostop do omrežja, preden je Storm-0842 zagnal zlonamerno programsko opremo wiper. Podobno je skupina Storm-0842 julija 2022, potem ko je Storm-0861 pridobil dostop, zagnala zlonamerno programsko opremo wiper v albanskih vladnih ustanovah.

Oktobra je imela druga skupina, povezana z MOIS, Storm-1084, morda tudi dostop do organizacije v Izraelu, kjer je Storm-0842 namestil programsko opremo »BiBi«. Ime je dobila po tem, da izbrisane datoteke poimenuje »BiBi«. Ni jasno, kakšno vlogo je imela skupina Storm-1084 pri tem uničujočem napadu, če jo je sploh imela. Skupina Storm-1084 je v začetku leta 2023 izvedla uničujoče kibernetske napade na drugo izraelsko organizacijo, ki jih je omogočila druga z MOIS povezana skupina Mango Sandstorm (znana tudi kot MuddyWater).33

Po izbruhu vojne je ekipa Obveščanje o grožnjah Microsoft zaznala tudi sodelovanje med skupino Pink Sandstorm, povezano z MOIS, in kibernetskimi enotami Hezbolaha. Microsoft je opazil prekrivanje infrastrukture in skupna orodja. Sodelovanje Irana s Hezbolahom pri kibernetskih operacijah je zaskrbljujoče, saj bi lahko vojna te skupine, ki se razlikujejo med državami, operativno še bolj zbližala.34 Ker so bili vsi iranski kibernetski napadi v tej vojni združeni z operacijami vplivanja, obstaja dodatna verjetnost, da Iran izboljšuje svoje postopke vplivanja in njihov doseg z izkoriščanjem rojenih arabskih govorcev za povečanje verodostojnosti svojih lažnih oseb.

2. Velik poudarek na Izraelu 
Iranski kibernetski akterji so se vse bolj osredotočali na Izrael. Iran se že dlje časa osredotoča na Izrael, ki ga ima poleg ZDA za glavnega nasprotnika. Po podatkih ekipe Obveščanje o grožnjah Microsoft so bila v zadnjih nekaj letih izraelska in ameriška podjetja skoraj vedno najpogostejše tarče Irana. Pred vojno so iranski akterji največ pozornosti namenili Izraelu, nato pa Združenim arabskim emiratom in Združenim državam Amerike. Po izbruhu vojne se je osredotočenost na Izrael še povečala. Triinštirideset odstotkov kibernetskih dejavnosti iranske nacionalne države, ki jih je spremljal Microsoft, je bilo usmerjenih proti Izraelu, kar je več kot v naslednjih 14 ciljanih državah skupaj.
Odstotna razčlenitev podatkov ekipe Obveščanje o grožnjah Microsoft po državah in iranskih ciljih pred vojno in 75 dni po vojni

Pričakujemo, da se bo grožnja iranskih kibernetskih in vplivnih operacij z nadaljevanjem spora med Izraelom in Hamasom še povečala, zlasti zaradi vse večje možnosti zaostrovanja na dodatnih frontah. Medtem ko so iranske skupine na začetku vojne hitele z izvajanjem operacij ali jih preprosto izmišljale, so iranske skupine v zadnjem času upočasnile svoje operacije, kar jim je omogočilo več časa za pridobitev želenega dostopa ali pripravo bolj zapletenih postopkov vplivanja. Faze vojne, opisane v tem poročilu, jasno kažejo, da iranske kibernetske operacije in postopki vplivanja počasi napredujejo ter postajajo bolj ciljno usmerjeni, sodelovalni in uničujoči.

Iranski akterji so postali tudi vse bolj drzni pri svojih ciljih, zlasti pri kibernetskem napadu na bolnišnico, in preizkušajo meje Washingtona, pri čemer se zdi, da jih ne skrbijo posledice. Napadi IRGC na ameriške sisteme za nadzor vode so bili sicer oportunistični, vendar je šlo za spretno potezo, s katero so želeli preizkusiti Washington in se sklicevati na legitimnost napadov na opremo, izdelano v Izraelu.

Pred ameriškimi volitvami novembra 2024 bo okrepljeno sodelovanje med iranskimi in z Iranom povezanimi skupinami pomenilo večji izziv za tiste, ki se ukvarjajo z obrambo volitev. Zaščitniki se ne morejo več zadovoljiti s sledenjem nekaj skupin. Zaradi vse večjega števila dostopnih agentov, vplivnih skupin in kibernetskih akterjev je okolje groženj bolj zapleteno in prepleteno.

Več strokovnih vpogledov v iranske postopke vplivanja

V poddaji ekipe Obveščanje o grožnjah Microsoft lahko prisluhnete več strokovnjakom, ko govorijo o iranskih kibernetskih postopkih vplivanja s poudarkom na ukrepih Irana, povezanih s predsedniškimi volitvami v ZDA leta 2020 in vojno med Izraelom in Hamasom. Razprava zajema taktike, ki jih uporabljajo iranski akterji, kot so pretvarjanje, novačenje lokalnih prebivalcev ter uporaba elektronske pošte in besedilnih sporočil za napihovanje vpliva. Prav tako pojasnjuje zapletene iranske kibernetske dejavnosti, njihovo sodelovanje, uporabo propagande, ustvarjalne taktike in izzive pri pripisovanju vplivnih operacij.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Postopki kibernetskega vpliva Državna raven Poročila na državni ravni Napadalci

Sorodni članki

Ruski napadalci se utrjujejo in želijo izkoristiti utrujenost od vojne 

Vojna v Ukrajini se nadaljuje, nadaljujejo pa se tudi ruski kibernetski napadi in vplivanja . Obveščanje o grožnjah Microsoft podrobno opisuje najnovejše kibernetske grožnje in vplive v zadnjih šestih mesecih.
Več informacij

Iran vse pogosteje uporablja kibernetsko omogočene postopke vpliva za večji učinek

Obveščanje o grožnjah Microsoft je zaznalo povečane kibernetsko omogočene postopke vpliva v Iranu. Zagotovite si vpoglede v grožnje s podrobnostmi o novih tehnikah in kje leži morebitne grožnje v prihodnosti.
Več informacij

Kibernetske operacije in njihov vpliv v vojni v Ukrajini na digitalnem bojnem polju

Microsoftova skupnost za obveščanje o grožnjah leto dni preučuje kibernetske operacije in njihov vpliv v Ukrajini, odkriva nove trende na področju kibernetskih groženj in kaj lahko pričakujemo ob začetku drugega leta vojne.
Več informacij