Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

อิหร่านเพิ่มการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์เพื่อสนับสนุนกลุ่มฮามาส

ดาวน์โหลด
แชร์

บทนำ

ในขณะที่สงครามระหว่างอิสราเอล-กลุ่มฮามาสปะทุขึ้นในวันที่ 7 ตุลาคม 2023 อิหร่านได้เพิ่มการสนับสนุนกลุ่มฮามาสในทันทีด้วยเทคนิคที่มีความเชี่ยวชาญเป็นอย่างดีในการรวมการแฮ็กแบบกำหนดเป้าหมายเข้ากับการดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่มีการต่อยอดเรื่องราวบนโซเชียลมีเดีย ซึ่งเราเรียกสิ่งนี้ว่าการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์1การดำเนินการของอิหร่านในขั้นต้นเป็นปฏิกิริยาโต้ตอบและมุ่งเน้นการฉวยโอกาส ภายในช่วงปลายเดือนตุลาคม การแทรกแซงด้านข้อมูลข่าวสารและผู้ดำเนินการทางไซเบอร์รายสำคัญเกือบทั้งหมดของอิหร่านมุ่งเป้าโจมตีไปยังอิสราเอลในลักษณะที่มีการกำหนดเป้าหมาย การประสานงาน และการทำลายล้างมากขึ้น ทำให้เกิดแคมเปญต่อต้านอิสราเอลแบบ “ทุกฝ่ายร่วมมือกัน” ที่ดูเหมือนไร้ขอบเขต การโจมตีทางไซเบอร์แบบทำลายล้างต่ออิสราเอลในสงครามครั้งนี้ไม่ว่าจะเกิดขึ้นจริงหรือเป็นเรื่องที่สร้างขึ้นก็ตาม ล้วนได้รับการเติมเต็มให้สมบูรณ์ด้วยการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางออนไลน์ ซึ่งแตกต่างจากการโจมตีทางไซเบอร์บางส่วนในอดีตของอิหร่าน

คำจำกัดความของคำสำคัญ

  • การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ 
    การดำเนินการที่รวมการดำเนินการบนเครือข่ายคอมพิวเตอร์ที่ไม่เหมาะสมเข้ากับการส่งสารและการต่อยอดเรื่องราวในรูปแบบที่มีการประสานงานและบิดเบือน เพื่อเปลี่ยนการรับรู้ พฤติกรรม หรือการตัดสินใจตามกลุ่มเป้าหมาย เพื่อส่งเสริมผลประโยชน์และวัตถุประสงค์ของกลุ่มหรือประเทศ
  • ตัวแทนทางไซเบอร์ 
    กลุ่มหรือบุคคลที่ติดต่อสาธารณะที่สร้างขึ้นเพื่อแสดงความรับผิดชอบต่อการดำเนินการทางไซเบอร์ พร้อมทั้งปฏิเสธความรับผิดชอบได้อย่างมีเหตุผลแทนกลุ่มหรือประเทศที่เป็นผู้ดำเนินการอยู่เบื้องหลัง
  • หุ่นเชิด 
    ตัวแทนออนไลน์ที่ปลอมขึ้นซึ่งใช้ข้อมูลระบุตัวตนที่ปลอมแปลงหรือถูกขโมยมาเพื่อจุดประสงค์ในการหลอกลวง

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารมีความซับซ้อนและไม่น่าเชื่อถือมากขึ้น โดยมีการปรับใช้ “หุ่นเชิด” บนโซเชียลมีเดียในขณะที่สงครามยังคงดำเนินต่อไป ตลอดช่วงสงคราม การดำเนินการแทรกแซงด้านข้อมูลข่าวสารเหล่านี้พยายามข่มขู่ชาวอิสราเอล พร้อมทั้งวิพากษ์วิจารณ์การจัดการตัวประกันและการดำเนินการทางการทหารของรัฐบาลอิสราเอล เพื่อแบ่งขั้วและสร้างความไร้เสถียรภาพต่ออิสราเอลในท้ายที่สุด การจัดการตัวประกันและการดำเนินการทางการทหารของรัฐบาลอิสราเอล เพื่อแบ่งขั้วและสร้างความไร้เสถียรภาพต่ออิสราเอลในท้ายที่สุด

ในที่สุด อิหร่านจึงหันกลับมาดำเนินการโจมตีทางไซเบอร์และแทรกแซงด้านข้อมูลข่าวสารต่อพันธมิตรทางการเมืองและคู่ค้าทางเศรษฐกิจของอิสราเอล เพื่อบ่อนทำลายการสนับสนุนการดำเนินการทางทหารของอิสราเอล

เราคาดว่าภัยคุกคามที่เกิดขึ้นจากการดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านจะเพิ่มขึ้นในขณะที่ความขัดแย้งยังคงมีอยู่ โดยเฉพาะอย่างยิ่งท่ามกลางความเป็นไปได้ที่เพิ่มขึ้นสำหรับสงครามที่อาจขยายวงกว้าง ความไร้ยางอายที่เพิ่มขึ้นของผู้ดำเนินการจากอิหร่านและกำกับดูแลโดยอิหร่าน ควบคู่ไปกับการทำงานร่วมกันที่เพิ่มขึ้นอย่างต่อเนื่องในกลุ่มบุคคลเหล่านี้ อาจบ่งบอกถึงภัยคุกคามที่เพิ่มมากขึ้นก่อนการเลือกตั้งของสหรัฐอเมริกาในเดือนพฤศจิกายน

การดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านมีความคืบหน้าในระยะต่างๆ นับตั้งแต่การโจมตีของกลุ่มก่อการร้ายฮามาสเมื่อวันที่ 7 ตุลาคม องค์ประกอบหนึ่งของการดำเนินงานของอิหร่านที่ยังคงไม่เปลี่ยนแปลง ได้แก่ การผสมผสานของการมุ่งเป้าโจมตีทางไซเบอร์แบบฉวยโอกาสเข้ากับการดำเนินการแทรกแซงด้านข้อมูลข่าวสารซึ่งมักจะสร้างความเข้าใจผิดเกี่ยวกับความแม่นยำและขอบเขตของผลกระทบ

รายงานนี้มุ่งเน้นไปที่การดำเนินการแทรกแซงด้านข้อมูลข่าวสารและทางไซเบอร์ตั้งแต่วันที่ 7 ตุลาคมจนถึงช่วงสิ้นปี 2023 พร้อมทั้งกล่าวถึงแนวโน้มและการดำเนินการย้อนหลังกลับไปจนถึงช่วงฤดูใบไม้ผลิปี 2023

แผนภูมิที่แสดงระยะต่างๆ ของการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ของอิหร่านในสงครามระหว่างอิสราเอล-กลุ่มฮามาส

ระยะที่ 1: การดำเนินการโต้ตอบและสร้างความเข้าใจผิด

กลุ่มเคลื่อนไหวของอิหร่านมีการดำเนินการโต้ตอบในช่วงระยะเริ่มต้นของสงครามระหว่างอิสราเอล-กลุ่มฮามาส สื่อของรัฐบาลอิหร่านระบุรายละเอียดที่สร้างความเข้าใจผิดเกี่ยวกับการโจมตีทางไซเบอร์ที่กล่าวอ้าง และกลุ่มเคลื่อนไหวของอิหร่านนำเนื้อหาเก่าจากการดำเนินการในอดีตกลับมาใช้อีกครั้ง ปรับใช้การเข้าถึงที่เคยมีก่อนช่วงสงครามในรูปแบบใหม่ และกล่าวถึงขอบเขตและผลกระทบโดยรวมของการโจมตีทางไซเบอร์ที่กล่าวอ้างอย่างเกินจริง

เกือบสี่เดือนหลังสงครามปะทุขึ้น Microsoft ยังไม่พบหลักฐานที่ชัดเจนจากข้อมูลของเราที่ระบุว่ากลุ่มเคลื่อนไหวของอิหร่านได้ประสานการดำเนินการทางไซเบอร์หรือการแทรกแซงด้านข้อมูลข่าวสารร่วมกับแผนของกลุ่มฮามาสเพื่อโจมตีอิสราเอลในวันที่ 7 ตุลาคม แต่ข้อมูลและการค้นพบที่มีน้ำหนักมากกว่าของเราชี้ให้เห็นว่าผู้ดำเนินการทางไซเบอร์ของอิหร่านพร้อมดำเนินการโต้ตอบ โดยเพิ่มจำนวนการดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารอย่างรวดเร็วหลังการโจมตีของกลุ่มฮามาสเพื่อตอบโต้อิสราเอล

รายละเอียดที่สร้างความเข้าใจผิดเกี่ยวกับการโจมตีที่กล่าวอ้างผ่านสื่อของรัฐบาล: 
วันที่สงครามปะทุขึ้น Tasnim News Agency ซึ่งเป็นหน่วยงานสื่อของอิหร่านที่กำกับดูแลโดยกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) กล่าวอ้างข้อมูลที่เป็นเท็จว่ากลุ่มที่เรียกว่า “Cyber Avengers” ได้ก่อเหตุโจมตีทางไซเบอร์ต่อโรงไฟฟ้าแห่งหนึ่งของอิสราเอล “ในเวลาเดียวกัน” กับการโจมตีของกลุ่มฮามาส 2 Cyber Avengers ซึ่งเป็นตัวแทนทางไซเบอร์ที่ดำเนินการโดย IRGC กล่าวอ้างว่าได้ก่อเหตุโจมตีทางไซเบอร์ต่อบริษัทไฟฟ้าของอิสราเอลในช่วงเย็นก่อนที่กลุ่มฮามาสจะบุกจู่โจม3 หลักฐานของพวกเขาคือรายงานข่าวเมื่อหลายสัปดาห์ก่อนเกี่ยวกับเหตุการณ์ไฟฟ้าดับ “ในช่วงไม่กี่ปีที่ผ่านมา” และสกรีนช็อตของการหยุดชะงักของบริการบนเว็บไซต์ของบริษัทที่ไม่ระบุวันที่ 4
การนำเนื้อหาเก่ากลับมาใช้อีกครั้ง: 
หลังจากการโจมตีอิสราเอลของกลุ่มฮามาส Cyber Avengers กล่าวอ้างว่าได้ก่อเหตุโจมตีทางไซเบอร์ต่ออิสราเอลหลายครั้ง ซึ่งการตรวจสอบของเราพบว่าไม่เป็นความจริงสำหรับการโจมตีในระยะแรก เมื่อวันที่ 8 ตุลาคม พวกเขากล่าวอ้างว่าได้ปล่อยเอกสารลับเกี่ยวกับโรงไฟฟ้าของอิสราเอล แม้ว่าจะมีการเผยแพร่เอกสารดังกล่าวก่อนหน้านี้ในเดือนมิถุนายน 2022 โดยตัวแทนทางไซเบอร์ที่ดำเนินการโดย IRGC อีกรายหนึ่งอย่าง “Moses Staff”5
การปรับใช้การเข้าถึงในรูปแบบใหม่: 
ตัวแทนทางไซเบอร์อีกรายอย่าง “Malek Team” ซึ่งเราประเมินว่าดำเนินการโดยกระทรวงข่าวกรองและความมั่นคง (MOIS) ของอิหร่าน ได้ปล่อยข้อมูลส่วนบุคคลจากมหาวิทยาลัยของอิสราเอลเมื่อวันที่ 8 ตุลาคม โดยไม่มีการเชื่อมโยงที่ชัดเจนในการมุ่งเป้าโจมตีไปยังความขัดแย้งที่เพิ่มขึ้นอย่างต่อเนื่องที่นั่น ซึ่งชี้ให้เห็นว่าเป้าหมายดังกล่าวมุ่งเน้นฉวยโอกาสและอาจเลือกจากการเข้าถึงที่มีอยู่เดิมก่อนเกิดสงคราม แทนที่จะแสดงความเชื่อมโยงระหว่างข้อมูลที่รั่วไหลและการสนับสนุนการดำเนินการของกลุ่มฮามาส Malek Team ใช้แฮชแท็กบน X (เดิมคือ Twitter) เพื่อสนับสนุนกลุ่มฮามาส และเพียงไม่กี่วันต่อมาได้เปลี่ยนข้อความเพื่อให้สอดคล้องกับประเภทของการส่งสารที่ใส่ร้าย Benjamin Netanyahu นายกรัฐมนตรีของอิสราเอลอย่างที่พบเห็นได้ในการดำเนินการแทรกแซงด้านข้อมูลข่าวสารอื่นๆ ของอิหร่าน
การบริโภคโฆษณาชวนเชื่อจากอิหร่านทั่วโลกที่แสดงข้อมูลด้วยไทม์ไลน์และสัดส่วนของกราฟการเข้าชม
รูปภาพที่ 2: Microsoft Threat Intelligence - การบริโภคโฆษณาชวนเชื่อจากอิหร่านตามประเทศ, กลุ่มฮามาสโจมตีอิสราเอล กราฟแสดงกิจกรรมตั้งแต่เดือนเมษายนถึงธันวาคม 2023
การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านมีประสิทธิภาพมากที่สุดในช่วงเริ่มต้นของสงคราม 
การเข้าถึงของสื่อที่กำกับดูแลโดยรัฐบาลอิหร่านเพิ่มขึ้นอย่างรวดเร็วหลังจากสงครามระหว่างอิสราเอล-กลุ่มฮามาสปะทุขึ้น ในช่วงสัปดาห์แรกของความขัดแย้ง เราสังเกตพบว่าดัชนีการโฆษณาชวนเชื่อจากอิหร่านของ Microsoft AI for Good Lab ซึ่งติดตามการบริโภคข่าวสารจากรัฐบาลอิหร่านและสำนักข่าวที่กำกับดูแลโดยรัฐบาลอิหร่านเพิ่มสูงขึ้นถึง 42% (ดูรูปภาพที่ 1) ดัชนีดังกล่าวจะวัดสัดส่วนของการเข้าชมเว็บไซต์เหล่านี้ต่อการเข้าชมโดยรวมบนอินเทอร์เน็ต โดยสามารถพบเห็นการเพิ่มขึ้นอย่างรวดเร็วดังกล่าวได้อย่างชัดเจนในประเทศที่พูดภาษาอังกฤษและเป็นพันธมิตรใกล้ชิดกับสหรัฐอเมริกา (รูปภาพที่ 2) ซึ่งเน้นย้ำถึงความสามารถของอิหร่านในการเข้าถึงผู้ชมชาวตะวันตกด้วยการรายงานเกี่ยวกับความขัดแย้งในตะวันออกกลาง เพียงหนึ่งเดือนหลังเกิดสงคราม การเข้าถึงแหล่งข้อมูลจากอิหร่านเหล่านี้ยังคงสูงกว่าระดับก่อนช่วงเวลาสงครามทั่วโลกถึง 28-29%
การแทรกแซงด้านข้อมูลข่าวสารของอิหร่านที่ปราศจากการโจมตีทางไซเบอร์แสดงให้เห็นถึงความคล่องตัว 
การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านมีความคล่องตัวและประสิทธิภาพมากขึ้นในช่วงเริ่มต้นของสงคราม เมื่อเปรียบเทียบกับการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ร่วมกันในระยะหลังของความขัดแย้ง ภายในไม่กี่วันหลังการโจมตีอิสราเอลของกลุ่มฮามาส ผู้ดำเนินการของรัฐบาลอิหร่านที่เราติดตามในชื่อ Storm-1364 ได้เริ่มการดำเนินการแทรกแซงด้านข้อมูลข่าวสารโดยใช้ตัวแทนออนไลน์ที่มีชื่อว่า “Tears of War” ซึ่งแอบอ้างเป็นนักเคลื่อนไหวจากอิสราเอลเพื่อเผยแพร่ข้อความต่อต้าน Netanyahu ไปยังผู้ชมชาวอิสราเอลผ่านโซเชียลมีเดียและแพลตฟอร์มการส่งข้อความที่หลากหลาย ความเร็วที่ Storm-1364 เริ่มดำเนินการในแคมเปญนี้หลังการโจมตีเมื่อวันที่ 7 ตุลาคม เน้นย้ำถึงความคล่องตัวของกลุ่มนี้ และชี้ให้เห็นถึงข้อได้เปรียบของแคมเปญที่มีเพียงการแทรกแซงด้านข้อมูลเท่านั้น ซึ่งอาจเกิดขึ้นได้เร็วกว่าเนื่องจากไม่ต้องรอกิจกรรมทางไซเบอร์ของการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์

ระยะที่ 2: การร่วมมือกัน

ตั้งแต่ช่วงกลางถึงปลายเดือนตุลาคม กลุ่มเคลื่อนไหวของอิหร่านจำนวนมากขึ้นได้มุ่งเป้าโจมตีไปยังอิสราเอลแทน และการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ของอิหร่านได้เปลี่ยนจากการดำเนินการโต้ตอบและสร้างขึ้นโดยส่วนใหญ่หรือทั้งคู่ ไปสู่การโจมตีทางไซเบอร์แบบทำลายล้างและการพัฒนาเป้าหมายที่มุ่งให้ความสนใจสำหรับการดำเนินการ การโจมตีเหล่านี้รวมถึงการลบข้อมูล แรนซัมแวร์ และการปรับเปลี่ยนอุปกรณ์ Internet of Things (IoT) อย่างชัดเจน6 เรายังพบหลักฐานของการประสานงานที่เพิ่มขึ้นระหว่างกลุ่มเคลื่อนไหวของอิหร่านอีกด้วย

ในสัปดาห์แรกของสงคราม Microsoft Threat Intelligence ติดตามกลุ่มเคลื่อนไหวของอิหร่านเก้ากลุ่มที่ปฏิบัติการโดยมุ่งเป้าโจมตีอิสราเอลเป็นหลัก โดยจำนวนดังกล่าวเพิ่มขึ้นเป็น 14 กลุ่มในวันที่ 15 ในบางกรณี เราสังเกตพบว่ากลุ่ม IRGC หรือ MOIS หลายกลุ่มมุ่งเป้าโจมตีองค์กรหรือฐานทัพเดียวกันด้วยกิจกรรมทางไซเบอร์หรือการแทรกแซงด้านข้อมูลข่าวสาร ซึ่งชี้ให้เห็นว่ามีการประสานงานและวัตถุประสงค์ร่วมกันที่กำหนดขึ้นโดยรัฐบาลอิหร่านหรือทั้งคู่

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ก็เพิ่มขึ้นอย่างรวดเร็วด้วยเช่นกัน เราสังเกตพบการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ถึงสี่ครั้งที่มีการดำเนินการอย่างเร่งรีบ โดยมุ่งเป้าโจมตีอิสราเอลในช่วงสัปดาห์แรกของสงคราม ภายในช่วงสิ้นเดือนตุลาคม จำนวนการดำเนินการดังกล่าวเพิ่มขึ้นกว่าสองเท่า ซึ่งถือเป็นการเร่งการดำเนินการเหล่านี้ที่มีนัยสำคัญด้วยความเร็วที่เร็วที่สุดจนถึงปัจจุบัน (ดูรูปภาพที่ 4)

ภาพประกอบ: ความเชื่อมโยงทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของอิหร่าน ซึ่งประกอบไปด้วยสัญลักษณ์ เครือข่ายข่าวกรองเกี่ยวกับภัยคุกคาม และกองกำลังพิทักษ์การปฏิวัติ
ไทม์ไลน์การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ของอิหร่าน: การเพิ่มขึ้นอย่างรวดเร็วในช่วงสงครามกับกลุ่มฮามาส, ปี 2021-2023

เมื่อวันที่ 18 ตุลาคม Shahid Kaveh Group ของ IRGC ซึ่ง Microsoft ติดตามในชื่อ Storm-0784 ได้ใช้แรนซัมแวร์ที่ปรับแต่งเองเพื่อก่อเหตุโจมตีทางไซเบอร์ต่อระบบกล้องรักษาความปลอดภัยในอิสราเอล จากนั้นกลุ่มดังกล่าวได้ใช้หนึ่งในตัวแทนทางไซเบอร์อย่าง “Soldiers of Solomon” เพื่อกล่าวอ้างข้อมูลที่เป็นเท็จว่าได้เรียกค่าไถ่สำหรับกล้องวงจรปิดและข้อมูลจากฐานทัพอากาศที่เนวาติม จากการตรวจสอบวิดีโอจากกล้องวงจรปิดที่ Soldiers of Solomon ปล่อยออกมา พบว่ามาจากเมืองทางตอนเหนือของเทลอาวีฟซึ่งมีถนนเนวาติม ไม่ใช่ฐานทัพอากาศในชื่อเดียวกัน อันที่จริงแล้ว จากการวิเคราะห์ตำแหน่งที่ตั้งของเหยื่อพบว่าไม่มีบุคคลใดอยู่ใกล้ฐานทัพเลย (ดูรูปภาพที่ 5) ในขณะที่กลุ่มเคลื่อนไหวของอิหร่านเริ่มโจมตีแบบทำลายล้าง แต่การดำเนินการของพวกเขายังคงเป็นการฉวยโอกาสเป็นส่วนใหญ่ และยังคงใช้ประโยชน์จากกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารเพื่อกล่าวถึงความแม่นยำและผลกระทบของการโจมตีอย่างเกินจริง

เมื่อวันที่ 21 ตุลาคม ตัวแทนทางไซเบอร์อีกรายที่ดำเนินการโดยกลุ่ม IRGC ที่มีชื่อว่า Cotton Sandstorm (หรือที่รู้จักกันทั่วไปในชื่อ Emennet Pasargad) ได้แชร์วิดีโอของผู้โจมตีเจาะระบบเพื่อเปลี่ยนแปลงการแสดงผลดิจิทัลในโบสถ์ศาสนายิวด้วยข้อความที่กล่าวถึงการดำเนินการของอิสราเอลในฉนวนกาซาว่าเป็น “การฆ่าล้างเผ่าพันธุ์” 7 ซึ่งถือเป็นวิธีการฝังข้อความโดยตรงในการโจมตีทางไซเบอร์ต่อเป้าหมายที่เป็นพลเรือน

ในระยะนี้ กิจกรรมการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านใช้รูปแบบการต่อยอดเรื่องราวที่ไม่น่าเชื่อถือซึ่งครอบคลุมและซับซ้อนมากขึ้น ในช่วงสองสัปดาห์แรกของสงคราม เราตรวจพบรูปแบบขั้นสูงของการต่อยอดเรื่องราวที่ไม่น่าเชื่อถือเพียงเล็กน้อย ซึ่งชี้ให้เห็นอีกครั้งว่าการดำเนินการดังกล่าวเป็นการดำเนินการโต้ตอบ ภายในสัปดาห์ที่สามของสงคราม Cotton Sandstorm ซึ่งเป็นผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่มีผลงานมากที่สุดของอิหร่าน ได้เข้ามาร่วมวงด้วยการเริ่มการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ถึงสามครั้งในวันที่ 21 ตุลาคม ดังที่เรามักพบเห็นได้จากกลุ่มนี้ พวกเขาใช้เครือข่ายหุ่นเชิดบนโซเชียลมีเดียเพื่อต่อยอดเรื่องราวของการดำเนินการ แม้ว่าดูเหมือนจะมีการปรับใช้หุ่นเชิดหลายรายในรูปแบบใหม่อย่างเร่งรีบโดยไม่ได้อำพรางหุ่นเชิดเหล่านั้นเป็นชาวอิสราเอลอย่างน่าเชื่อถือเลยก็ตาม โดยมีหลายครั้งที่ Cotton Sandstorm ส่งข้อความหรืออีเมลจำนวนมากเพื่อต่อยอดเรื่องราวหรือโอ้อวดเกี่ยวกับการดำเนินการของตน โดยใช้ประโยชน์จากบัญชีที่มีช่องโหว่เพื่อยกระดับความถูกต้อง8

ลบล้างความเชื่อผิดๆ เกี่ยวกับคำกล่าวอ้างด้านการโจมตีทางไซเบอร์ของอิหร่าน: แรนซัมแวร์และวิดีโอจาก CCTV ปลอมเปิดโปงการดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่สร้างความเข้าใจผิด

ระยะที่ 3: การขยายขอบเขตทางภูมิศาสตร์

ตั้งแต่ปลายเดือนพฤศจิกายน กลุ่มเคลื่อนไหวของอิหร่านได้ขยายการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ออกไปยังนอกเหนือจากอิสราเอล เพื่อให้ครอบคลุมประเทศต่างๆ ที่อิหร่านรับทราบว่าให้ความช่วยเหลือแก่อิสราเอล ซึ่งมีแนวโน้มที่จะบ่อนทำลายการสนับสนุนทางการเมือง การทหาร หรือเศรษฐกิจระหว่างประเทศสำหรับการดำเนินการทางการทหารของอิสราเอล การขยายการมุ่งเป้าโจมตีนี้สอดคล้องกับการโจมตีการขนส่งระหว่างประเทศที่เชื่อมโยงกับอิสราเอลโดยกลุ่มกบฏฮูตี ซึ่งเป็นกลุ่มติดอาวุธชีอะห์ในเยเมนที่ได้รับการสนับสนุนจากอิหร่าน (ดูรูปภาพที่ 8)9

  • เมื่อวันที่ 20 พฤศจิกายน ตัวตนทางไซเบอร์ที่ดำเนินการโดยอิหร่านอย่าง “Homeland Justice” เตือนถึงการโจมตีครั้งใหญ่ที่กำลังจะเกิดขึ้นในแอลเบเนีย ก่อนที่จะต่อยอดการโจมตีทางไซเบอร์เชิงทำลายล้างโดยกลุ่ม MOIS ในช่วงปลายเดือนธันวาคมต่อรัฐสภา สายการบินแห่งชาติ และผู้ให้บริการโทรคมนาคมของแอลเบเนีย10
  • เมื่อวันที่ 21 พฤศจิกายน ตัวแทนทางไซเบอร์ที่ดำเนินการโดย Cotton Sandstorm อย่าง “Al-Toufan” มุ่งเป้าโจมตีรัฐบาลและองค์กรทางการเงินของบาห์เรนจากการกระชับความสัมพันธ์กับอิสราเอลให้เป็นปกติ
  • ภายในวันที่ 22 พฤศจิกายน กลุ่มเคลื่อนไหวที่กำกับดูแลโดย IRGC เริ่มมุ่งเป้าโจมตีระบบควบคุมเชิงตรรกะที่สามารถโปรแกรมได้ (PLC) ที่ผลิตโดยอิสราเอลในสหรัฐอเมริกาและอาจรวมถึงไอร์แลนด์ด้วย รวมถึงการออกคำสั่งปิดระบบออฟไลน์หนึ่งเครื่องที่การประปาในรัฐเพนซิลวาเนียเมื่อวันที่ 25 พฤศจิกายน (รูปภาพที่ 6)11 PLC คือคอมพิวเตอร์เชิงอุตสาหกรรมที่ได้รับการดัดแปลงสำหรับการควบคุมกระบวนการผลิตต่างๆ เช่น สายการประกอบ เครื่องจักร และอุปกรณ์ที่เป็นหุ่นยนต์
  • ในช่วงต้นเดือนธันวาคม ตัวแทนที่ MTAC ประเมินอย่าง “Cyber Toufan Al-Aksa” ที่ได้รับการสนับสนุนจากอิหร่าน กล่าวอ้างว่าได้ปล่อยข้อมูลจากบริษัทอเมริกันสองแห่งที่ให้การสนับสนุนทางการเงินแก่อิสราเอลและจัดหาอุปกรณ์ให้กับกองทัพ12 ก่อนหน้านี้พวกเขากล่าวอ้างว่าได้ดำเนินการโจมตีเพื่อลบข้อมูลกับบริษัทเมื่อวันที่ 16 พฤศจิกายน13 เนื่องจากขาดหลักฐานการพิสูจน์ที่เชื่อมโยงกลุ่มดังกล่าวกับอิหร่าน จึงเป็นไปได้ที่ตัวแทนดังกล่าวจะได้รับการดำเนินการโดยพันธมิตรของอิหร่านภายนอกประเทศโดยอิหร่านมีความเกี่ยวข้องด้วย
PLC ที่การประปารัฐเพนซิลเวเนียถูกเจาะระบบเพื่อเปลี่ยนแปลงการแสดงผลด้วยโลโก้ Cyber Avengers เมื่อวันที่ 25 พฤศจิกายน

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ของอิหร่านยังคงมีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่องในระยะล่าสุดนี้ พวกเขาอำพรางหุ่นเชิดได้อย่างแนบเนียน โดยเปลี่ยนชื่อหุ่นเชิดบางส่วนและเปลี่ยนแปลงรูปโปรไฟล์เพื่อให้ดูเหมือนชาวอิสราเอลตัวจริงมากขึ้น ในขณะเดียวกัน พวกเขาใช้เทคนิคใหม่ๆ ที่เราไม่ได้พบเห็นจากผู้ดำเนินการของอิหร่าน รวมถึงการใช้ AI เป็นองค์ประกอบสำคัญในการส่งสาร เราประเมินว่า Cotton Sandstorm ขัดขวางบริการแพร่ภาพผ่านโทรทัศน์แบบสตรีมมิงในสหรัฐอาหรับเอมิเรตส์และที่อื่นๆ ในเดือนธันวาคม ภายใต้หน้ากากของตัวแทนที่มีชื่อว่า “For Humanity” For Humanity เผยแพร่วิดีโอบน Telegram ซึ่งแสดงให้เห็นว่ากลุ่มเคลื่อนไหวแฮ็กเข้าสู่บริการสตรีมมิงออนไลน์สามแห่ง และขัดขวางช่องข่าวหลายช่องด้วยการออกอากาศข่าวปลอมที่มีผู้ประกาศข่าวที่สร้างขึ้นโดย AI ซึ่งกล่าวอ้างโดยการแสดงรูปภาพของชาวปาเลสไตน์ที่ได้รับบาดเจ็บและเสียชีวิตจากการดำเนินการทางการทหารของอิสราเอล (รูปภาพที่ 7)14 สำนักข่าวและผู้ชมในสหรัฐอาหรับเอมิเรตส์ แคนาดา และสหราชอาณาจักรรายงานว่ามีการหยุดชะงักของการแพร่ภาพรายการโทรทัศน์แบบสตรีมมิง รวมถึง BBC ซึ่งตรงกับคำกล่าวอ้างของ For Humanity15

HUMANITY 2023: 8 ต.ค. พบผู้เสียชีวิต 180 ราย บาดเจ็บ 347 ราย รูปภาพที่ 7: การหยุดชะงักของการแพร่ภาพผ่านโทรทัศน์แบบสตรีมมิงโดยใช้ผู้ประกาศข่าวที่สร้างขึ้นโดย AI
อิหร่านขยายการมุ่งเป้าโจมตีไปยังผู้สนับสนุน การโจมตีทางไซเบอร์ คำเตือน และกิจกรรมการเจาะระบบเพื่อเปลี่ยนแปลงหน้าเว็บไซต์ของอิสราเอล

การดำเนินการของอิหร่านดำเนินไปตามวัตถุประสงค์แบบกว้างๆ ทั้งสี่ประการ ได้แก่ การสร้างความไร้เสถียรภาพ การตอบโต้ การข่มขู่ และการบ่อนทำลายการสนับสนุนจากนานาชาติสำหรับอิสราเอล วัตถุประสงค์ทั้งสี่ประการนี้ยังมุ่งบ่อนทำลายสภาพแวดล้อมด้านข้อมูลของทั้งอิสราเอลและผู้สนับสนุน เพื่อสร้างความสับสนต่อสาธารณชนและทำลายความไว้วางใจ

การสร้างความไร้เสถียรภาพด้วยการแบ่งขั้ว 
การมุ่งเป้าโจมตีอิสราเอลของอิหร่านในช่วงสงครามระหว่างอิสราเอล-กลุ่มฮามาสได้มุ่งเน้นไปยังการจุดชนวนความขัดแย้งภายในประเทศเกี่ยวกับแนวทางการทำสงครามของรัฐบาลอิสราเอลมากขึ้น การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านหลายครั้งพรางตัวเป็นกลุ่มนักเคลื่อนไหวของอิสราเอลเพื่อเผยแพร่ข้อความยั่วยุที่วิพากษ์วิจารณ์แนวทางของรัฐบาลต่อบุคคลที่ถูกลักพาตัวและจับเป็นตัวประกันเมื่อวันที่ 7 ตุลาคม17 Netanyahu ตกเป็นเป้าหมายหลักของการส่งสารดังกล่าว และการเรียกร้องให้ถอดถอนเขาถือเป็นหัวข้อหลักในการดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่าน18
AVENGERS - การตัดไฟ อาหาร น้ำ และเชื้อเพลิง Cyber Avengers รีโพสต์วิดีโอเกี่ยวกับการปิดล้อมของอิสราเอล
การตอบโต้ 
การส่งสารและการเลือกเป้าหมายของอิหร่านส่วนใหญ่เน้นย้ำถึงลักษณะการตอบโต้ในการดำเนินการของตน ตัวอย่างเช่น ตัวแทนที่มีชื่อเข้ากันอย่าง Cyber Avengers ได้เผยแพร่วิดีโอที่แสดงภาพของรัฐมนตรีกลาโหมของอิสราเอลซึ่งระบุว่าอิสราเอลจะตัดไฟฟ้า อาหาร น้ำ และเชื้อเพลิงในฉนวนกาซา (ดูรูปภาพที่ 9) ตามด้วยการโจมตีอย่างต่อเนื่องของ Cyber Avengers ที่กล่าวอ้างโดยมุ่งเป้าโจมตีโครงสร้างพื้นฐานด้านไฟฟ้า น้ำ และเชื้อเพลิงของอิสราเอล19 คำกล่าวอ้างก่อนหน้านี้เกี่ยวกับการโจมตีระบบน้ำประปาแห่งชาติของอิสราเอลเมื่อไม่กี่วันก่อนหน้านี้มีข้อความว่า “ตาต่อตา” และ Tasnim News Agency ที่กำกับดูแลโดย IRGC รายงานว่ากลุ่มดังกล่าวระบุว่าการโจมตีระบบน้ำประปาเป็นการตอบโต้การบุกยึดฉนวนกาซา20 กลุ่มที่เชื่อมโยงกับ MOIS ที่เราติดตามในชื่อว่า Pink Sandstorm (หรือที่รู้จักกันในชื่อ Agrius) ดำเนินการแฮ็กและปล่อยข้อมูลรั่วไหลจากโรงพยาบาลแห่งหนึ่งของอิสราเอลเมื่อปลายเดือนพฤศจิกายน ซึ่งดูเหมือนจะเป็นการตอบโต้ต่อการที่อิสราเอลบุกยึดโรงพยาบาลอัชชิฟาอ์ในฉนวนกาซาเมื่อสองสัปดาห์ก่อนหน้านั้น21
การข่มขู่ 
การดำเนินการของอิหร่านยังทำหน้าที่บ่อนทำลายความมั่นคงของอิสราเอลและข่มขู่พลเมืองอิสราเอลและผู้สนับสนุนด้วยการส่งข้อความคุกคามและโน้มน้าวกลุ่มเป้าหมายว่าโครงสร้างพื้นฐานของรัฐและระบบของรัฐบาลไม่ปลอดภัย การข่มขู่ของอิหร่านบางส่วนดูเหมือนมีจุดมุ่งหมายเพื่อบ่อนทำลายความตั้งใจของอิสราเอลในการทำสงครามต่อไป เช่น การส่งสารเพื่อพยายามโน้มน้าวกำลังพล IDF ว่าพวกเขาควร “ถอนตัวจากสงครามและกลับบ้าน” (รูปภาพที่ 10)22 ตัวแทนทางไซเบอร์ของอิหร่านรายหนึ่งซึ่งอาจพรางตัวเป็นกลุ่มฮามาส กล่าวอ้างว่าได้ส่งข้อความข่มขู่ไปยังครอบครัวของทหารอิสราเอล โดยเสริมว่า “กำลังพล IDF (กองกำลังป้องกันอิสราเอล) ควรตระหนักว่าหากครอบครัวของเราไม่ปลอดภัย ครอบครัวของพวกคุณเองก็จะไม่ปลอดภัยเช่นกัน”23 หุ่นเชิดจะต่อยอดเรื่องราวที่ตัวแทนของกลุ่มฮามาสได้เผยแพร่ข้อความบน X ว่า IDF “ไม่มีประสิทธิภาพในการปกป้องกำลังพลของตนเอง” และชี้ให้ผู้ชมเห็นชุดข้อความที่มีการกล่าวหาว่าส่งมาจากกำลังพล IDF เพื่อขอให้กลุ่มฮามาสไว้ชีวิตครอบครัวของตน24
ข้อความคุกคามจากหุ่นเชิดที่มีการกล่าวหาว่าดำเนินการโดย Cotton Sandstorm โดยอ้างอิงถึงการเข้าถึงข้อมูลส่วนบุคคลและสนับสนุนให้ถอนตัวจากสงคราม
การบ่อนทำลายการสนับสนุนจากนานาชาติสำหรับอิสราเอล 
การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านซึ่งมุ่งเป้าโจมตีผู้ชมจากต่างประเทศมักรวมถึงการส่งสารที่พยายามลดการสนับสนุนระหว่างประเทศสำหรับอิสราเอลด้วยการเน้นย้ำถึงความเสียหายที่เกิดขึ้นจากการโจมตีฉนวนกาซาของอิสราเอล การพรางตัวตัวแทนเป็นกลุ่มสนับสนุนปาเลสไตน์กล่าวถึงการกดำเนินการของอิสราเอลในฉนวนกาซาว่าเป็น “การฆ่าล้างเผ่าพันธุ์”25 ในเดือนธันวาคม Cotton Sandstorm เริ่มการดำเนินการแทรกแซงด้านข้อมูลข่าวสารหลายครั้งภายใต้ชื่อ “For Palestinians” และ “For Humanity” ซึ่งเรียกร้องให้ประชาคมระหว่างประเทศประณามการโจมตีฉนวนกาซาของอิสราเอล26

เพื่อให้บรรลุเป้าหมายของตนในแวดวงข้อมูลข่าวสาร อิหร่านได้พึ่งพากลยุทธ์ เทคนิค และกระบวนการ (TTP) แทรกแซงด้านข้อมูลข่าวสารทั้งสี่ประการเป็นอย่างมากในช่วงเก้าเดือนที่ผ่านมา ซึ่งรวมถึงการใช้การแอบอ้างเป็นบุคคลอื่นและความสามารถที่เพิ่มขึ้นเพื่อกระตุ้นกลุ่มเป้าหมาย ควบคู่ไปกับการใช้แคมเปญข้อความที่เพิ่มขึ้น และการใช้สื่อที่เชื่อมโยงกับ IRGC เพื่อต่อยอดเรื่องราวการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร

การแอบอ้างเป็นกลุ่มนักเคลื่อนไหวจากอิสราเอลและพันธมิตรของอิหร่าน 
กลุ่มเคลื่อนไหวของอิหร่านได้ต่อยอดเทคนิคการแอบอ้างเป็นบุคคลอื่นที่มีมาอย่างยาวนานโดยการพัฒนาตัวแทนที่มีลักษณะเฉพาะเจาะจงและน่าเชื่อถือยิ่งขึ้น ซึ่งพรางตัวเป็นทั้งฝ่ายมิตรและศัตรูของอิหร่าน การดำเนินการและตัวแทนในอดีตของอิหร่านหลายส่วนอ้างว่าเป็นนักเคลื่อนไหวเพื่อสนับสนุนจุดมุ่งหมายของชาวปาเลสไตน์27 การดำเนินการครั้งล่าสุดจากบุคคลที่เราประเมินว่าดำเนินการโดย Cotton Sandstorm มีการต่อยอดขึ้นไปอีกระดับ โดยใช้ชื่อและโลโก้ของฝ่ายทหารของกลุ่มฮามาส นั่นคือ al-Qassam Brigades เพื่อเผยแพร่ข้อความอันเป็นเท็จเกี่ยวกับตัวประกันที่ถูกควบคุมตัวไว้ในฉนวนกาซา และส่งข้อความข่มขู่ชาวอิสราเอล ช่อง Telegram อีกหนึ่งช่องที่ข่มขู่บุคลากร IDF และปล่อยข้อมูลส่วนบุคคลรั่วไหล ซึ่งเราประเมินว่าดำเนินการโดยกลุ่ม MOIS ก็ใช้โลโก้ของ al-Qassam Brigades เช่นกัน ยังไม่มีความชัดเจนว่าอิหร่านดำเนินการโดยได้รับความยินยอมจากกลุ่มฮามาสหรือไม่

ในทำนองเดียวกัน อิหร่านได้สร้างการแอบอ้างเป็นองค์กรนักเคลื่อนไหวของอิสราเอลที่ไม่มีตัวตนทั้งในฝ่ายขวาและฝ่ายซ้ายของแวดวงการเมืองของอิสราเอลที่น่าเชื่อถือมากขึ้น อิหร่านพยายามแทรกซึมชุมชนอิสราเอลด้วยนักเคลื่อนไหวปลอมเหล่านี้เพื่อให้ได้รับความไว้วางใจและบ่มเพาะความไม่ลงรอยกัน

การกระตุ้นให้ชาวอิสราเอลดำเนินการ 
ในเดือนเมษายนและพฤศจิกายน อิหร่านแสดงให้เห็นถึงความสำเร็จอย่างต่อเนื่องในการสรรหาบุคคลชาวอิสราเอลที่ไม่รู้ตัวเพื่อเข้าร่วมกิจกรรมในพื้นที่ที่ส่งเสริมการดำเนินการอันเป็นเท็จ ในการดำเนินการครั้งหนึ่งเมื่อไม่นานนี้โดย “Tears of War” มีรายงานว่าเจ้าหน้าที่ปฏิบัติการของอิหร่านประสบความสำเร็จในการโน้มน้าวใจชาวอิสราเอลให้แขวนป้ายของ Tears of War ในละแวกบ้านของอิสราเอล ซึ่งมีรูปภาพของ Netanyahu ที่ดูเหมือนว่าสร้างขึ้นโดย AI และเรียกร้องให้ถอดถอนเขาออกจากตำแหน่ง (ดูรูปภาพที่ 11)28
การต่อยอดเรื่องราวด้วยข้อความและอีเมลด้วยความถี่และความซับซ้อนที่เพิ่มขึ้น 
ในขณะที่การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านยังคงพึ่งพาการต่อยอดเรื่องราวบนเครือข่ายโซเชียลมีเดียที่ไม่น่าเชื่อถือเป็นอย่างมากเพื่อเข้าถึงกลุ่มเป้าหมาย อิหร่านได้ใช้ประโยชน์จากการส่งข้อความและอีเมลจำนวนมากขึ้นเพื่อยกระดับผลกระทบทางจิตวิทยาจากการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ การต่อยอดเรื่องราวบนโซเชียลมีเดียโดยใช้หุ่นเชิดอาจไม่มีผลกระทบในระดับกับข้อความที่ปรากฏในกล่องจดหมาย หรือแม้แต่บนโทรศัพท์ของบุคคลต่างๆ Cotton Sandstorm ต่อยอดจากความสำเร็จในอดีตโดยใช้เทคนิคนี้ซึ่งเริ่มต้นในปี 202229 โดยส่งข้อความ อีเมล หรือทั้งคู่ในจำนวนมากในการดำเนินการอย่างน้อยหกครั้งตั้งแต่เดือนสิงหาคม การใช้เทคนิคนี้เพิ่มมากขึ้นชี้ให้เห็นว่ากลุ่มได้เพิ่มพูนความสามารถดังกล่าวจนเชี่ยวชาญและมองว่ามีประสิทธิภาพ การดำเนินการ “ฟลัดข้อความทางไซเบอร์” ของ Cotton Sandstorm เมื่อปลายเดือนตุลาคมรวมถึงการส่งข้อความและอีเมลจำนวนมากถึงสามชุดไปยังชาวอิสราเอลเพื่อต่อยอดเรื่องราวการโจมตีทางไซเบอร์ที่มีการกล่าวอ้าง หรือเผยแพร่คำเตือนที่เป็นเท็จเกี่ยวกับการโจมตีของกลุ่มฮามาสในโรงงานนิวเคลียร์ของอิสราเอลใกล้กับดิโมนา30 ในอย่างน้อยหนึ่งกรณีที่เกิดขึ้น พวกเขาใช้ประโยชน์จากบัญชีที่มีช่องโหว่เพื่อยกระดับความถูกต้องของอีเมล
รูปภาพที่ 11: ป้ายของ Tears of War ในอิสราเอลที่มีรูปภาพของ Netanyahu ที่สร้างขึ้นโดย AI พร้อมข้อความว่า “ถอดถอนเลย”
การใช้ประโยชน์จากสื่อของรัฐบาล 
อิหร่านใช้หน่วยงานสื่อที่เชื่อมโยงกับ IRGC ทั้งแบบเปิดเผยและซ่อนเร้น เพื่อต่อยอดเรื่องราวด้านการดำเนินการทางไซเบอร์ที่มีการกล่าวหา และกล่าวถึงผลกระทบที่เกิดขึ้นอย่างเกินจริงในบางครั้ง ในเดือนกันยายน หลังจากที่ Cyber Avengers กล่าวอ้างว่าได้ก่อเหตุโจมตีทางไซเบอร์ต่อระบบรถไฟของอิสราเอล สื่อที่เชื่อมโยงกับ IRGC ก็เริ่มต่อยอดเรื่องราวและกล่าวถึงการกล่าวอ้างอย่างเกินจริงแทบจะในทันที Tasnim News Agency ที่เชื่อมโยงกับ IRGC อ้างถึงการรายงานข่าวของอิสราเอลเกี่ยวกับเหตุการณ์อื่นอย่างไม่ถูกต้องเพื่อเป็นข้อพิสูจน์ว่ามีการโจมตีทางไซเบอร์เกิดขึ้น31 การรายงานนี้ได้รับการต่อยอดเรื่องราวโดยหน่วยงานสื่ออื่นๆ ของอิหร่านและที่สนับสนุนอิหร่านในลักษณะที่ปกปิดการขาดหลักฐานที่สนับสนุนคำกล่าวอ้างเกี่ยวกับการโจมตีทางไซเบอร์ดังกล่าว32
การเริ่มนำ AI ที่เพิ่งเกิดขึ้นเมื่อไม่นานไปใช้เป็นครั้งแรกสำหรับการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร 
MTAC สังเกตพบผู้ดำเนินการจากอิหร่านที่ใช้รูปภาพและวิดีโอที่สร้างขึ้นโดย AI นับตั้งแต่สงครามระหว่างอิสราเอล-กลุ่มฮามาสปะทุขึ้น Cotton Sandstorm และ Storm-1364 รวมถึงสำนักข่าวที่กำกับดูแลโดยพรรคฮิซบอลเลาะห์และกลุ่มฮามาส ได้ใช้ประโยชน์จาก AI เพื่อยกระดับการข่มขู่และพัฒนารูปภาพที่เป็นการใส่ร้าย Netanyahu และกลุ่มผู้นำของอิสราเอล
รูปภาพที่ 12: การดำเนินการแทรกแซงด้านข้อมูลข่าวสารของ Cotton Sandstorm ในเดือน ส.ค. - ธ.ค. 2023 ซึ่งบรรยายถึงวิธีการและกิจกรรมต่างๆ
1. การทำงานร่วมกันที่เพิ่มขึ้นอย่างต่อเนื่อง 
เมื่อเวลาผ่านไปหลายสัปดาห์ในสงครามระหว่างอิสราเอล-กลุ่มฮามาส เราเริ่มพบเห็นตัวอย่างการทำงานร่วมกันระหว่างกลุ่เคลื่อนไหวต่างๆ ที่กำกับดูแลโดยอิหร่าน ซึ่งช่วยยกระดับการบรรลุผลสำเร็จของผู้ดำเนินการ การทำงานร่วมกันลดอุปสรรคในการเข้าร่วม โดยช่วยให้แต่ละกลุ่มมีส่วนร่วมด้วยความสามารถที่มีอยู่เดิม และขจัดความจำเป็นในการพึ่งพาเพียงกลุ่มเดียวเพื่อพัฒนาเครื่องมือหรือทักษะการหลบเลี่ยงอย่างเต็มรูปแบบ

เราประเมินว่าทั้งสองกลุ่มที่เชื่อมโยงกับ MOIS ได้แก่ Storm-0861 และ Storm-0842 ทำงานร่วมกันในการโจมตีทางไซเบอร์แบบทำลายล้างในอิสราเอลในช่วงปลายเดือนตุลาคม และอีกครั้งในแอลเบเนียในช่วงปลายเดือนธันวาคม ในทั้งสองกรณี Storm-0861 น่าจะเป็นฝ่ายเข้าถึงเครือข่ายก่อนที่ Storm-0842 จะเรียกใช้งานมัลแวร์กวาดล้าง ในทำนองเดียวกัน Storm-0842 เรียกใช้งานมัลแวร์กวาดล้างในหน่วยงานรัฐบาลของแอลเบเนียในเดือนกรกฎาคม 2022 หลังจากที่ Storm-0861 เข้าถึงเครือข่ายได้ก่อน

ในเดือนตุลาคม กลุ่มที่เชื่อมโยงกับ MOIS อีกกลุ่มหนึ่ง ได้แก่ Storm-1084 อาจสามารถเข้าถึงองค์กรในอิสราเอลได้ก่อนที่ Storm-0842 จะปรับใช้มัลแวร์กวาดล้าง “BiBi” ซึ่งตั้งชื่อตามการเปลี่ยนชื่อไฟล์ที่ถูกกวาดล้างของมัลแวร์ด้วยสตริง “BiBi” ยังไม่มีความชัดเจนว่า Storm-1084 มีบทบาทใดในการโจมตีแบบทำลายล้างดังกล่าว Storm-1084 ก่อเหตุโจมตีทางไซเบอร์แบบทำลายล้างต่อองค์กรอีกแห่งหนึ่งของอิสราเอลในช่วงต้นปี 2023 ซึ่งได้รับการสนับสนุนจากกลุ่มอื่นที่เชื่อมโยงกับ MOIS ที่มีชื่อว่า Mango Sandstorm (หรือที่รู้จักกันในชื่อ MuddyWater)33

นับตั้งแต่สงครามปะทุขึ้น Microsoft Threat Intelligence ยังได้ตรวจพบการทำงานร่วมกันระหว่างกลุ่มที่เชื่อมโยงกับ MOIS, Pink Sandstorm และหน่วยงานทางไซเบอร์ของพรรคฮิซบอลเลาะห์อีกด้วย Microsoft ได้สังเกตพบโครงสร้างพื้นฐานที่ทับซ้อนกันและการใช้เครื่องมือร่วมกัน การทำงานร่วมกันของอิหร่านกับพรรคฮิซบอลเลาะห์ในการดำเนินการทางไซเบอร์ แม้ว่าจะไม่เคยเกิดขึ้นมาก่อน แต่ก็ก่อให้เกิดการพัฒนาที่น่ากังวล โดยที่สงครามอาจทำให้กลุ่มเคลื่อนไหวเหล่านี้ข้ามพรมแดนเข้ามาใกล้ชิดกันมากขึ้นในเชิงการดำเนินการ34 เนื่องจากมีการรวมการโจมตีทางไซเบอร์ของอิหร่านในสงครามครั้งนี้เข้ากับการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร จึงมีแนวโน้มมากขึ้นที่อิหร่านจะปรับปรุงการดำเนินการแทรกแซงด้านข้อมูลข่าวสารและการเข้าถึงโดยการใช้ประโยชน์จากผู้พูดภาษาอาหรับโดยกำเนิดเพื่อยกระดับความน่าเชื่อถือของตัวแทนที่ไม่น่าเชื่อถือ

2. การมุ่งเป้าโจมตีไปยังอิสราเอลเป็นหลัก 
การมุ่งเป้าโจมตีไปยังอิสราเอลของผู้ดำเนินการทางไซเบอร์จากอิหร่านทวีความรุนแรงยิ่งขึ้น อิหร่านมุ่งเป้าโจมตีไปยังอิสราเอลมาอย่างยาวนาน ซึ่งรัฐบาลอิหร่านมองว่าเป็นฝ่ายปรปักษ์รายสำคัญเคียงข้างสหรัฐอเมริกา จากข้อมูลของ Microsoft Threat Intelligence ในช่วงไม่กี่ปีที่ผ่านมา บริษัทของอิสราเอลและสหรัฐอเมริกามักจะตกเป็นเป้าหมายโจมตีที่พบได้บ่อยที่สุดของอิหร่าน ในช่วงเวลาก่อนที่จะเกิดสงคราม ผู้ดำเนินการของอิหร่านมุ่งเป้าโจมตีอิสราเอลเป็นส่วนใหญ่ รองลงมาคือสหรัฐอาหรับเอมิเรตส์และสหรัฐอเมริกา หลังจากที่สงครามปะทุขึ้น การมุ่งเป้าโจมตีไปยังอิสราเอลก็เพิ่มสูงขึ้นอย่างรวดเร็ว สี่สิบสามเปอร์เซ็นต์ของกิจกรรมทางไซเบอร์ของรัฐบาลอิหร่านที่ Microsoft ติดตามมุ่งเป้าโจมตีอิสราเอล ซึ่งเป็นตัวเลขที่มากกว่าอีก 14 ประเทศเป้าหมายในลำดับถัดไปรวมกัน
การแบ่งค่าเปอร์เซ็นต์แยกย่อยของข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามของ Mogult ตามประเทศ และการกำหนดเป้าหมายโจมตีของอิหร่านก่อนสงครามและ 75 วันหลังจากเข้าสู่ช่วงสงคราม

เราคาดว่าภัยคุกคามจากการดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านจะเพิ่มขึ้นในขณะที่ความขัดแย้งระหว่างอิสราเอล-กลุ่มฮามาสยังคงมีอยู่ โดยเฉพาะอย่างยิ่งท่ามกลางความเป็นไปได้ที่เพิ่มขึ้นสำหรับการขยายแนวรบเพิ่มเติม ในขณะที่กลุ่มเคลื่อนไหวของอิหร่านเร่งก่อเหตุหรือเพียงแค่สร้างเรื่องเกี่ยวกับการดำเนินการในช่วงเริ่มต้นของสงคราม กลุ่มเคลื่อนไหวของอิหร่านก็ได้ชะลอการดำเนินการล่าสุดของตนลง ซึ่งทำให้พวกเขามีเวลามากขึ้นในการเข้าถึงเครือข่ายที่ต้องการหรือพัฒนาการดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่ซับซ้อนมากขึ้น สิ่งที่ระยะต่างๆ ของสงครามที่ระบุไว้ในรายงานฉบับนี้แสดงให้เห็นอย่างชัดเจนก็คือ การดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของอิหร่านมีความคืบหน้าทีละน้อย และกลายเป็นการดำเนินการที่มีการกำหนดเป้าหมาย การประสานงาน และการทำลายล้างมากขึ้น

ผู้ดำเนินการของอิหร่านยังมีความอาจหาญมากขึ้นในการมุ่งเป้าโจมตี โดยเฉพาะอย่างยิ่งในการโจมตีทางไซเบอร์ต่อโรงพยาบาลและการทดสอบจุดแตกหักของรัฐบาลสหรัฐอเมริกาโดยไม่มีความกังวลถึงผลของการดำเนินการดังกล่าว การโจมตีระบบควบคุมน้ำประปาของสหรัฐอเมริกาโดย IRGC ในขณะที่การฉวยโอกาสดูเหมือนจะเป็นวิธีการที่ชาญฉลาดในการทดสอบรัฐบาลสหรัฐอเมริกาโดยกล่าวอ้างว่ามีลักษณะที่ชอบด้วยกฎหมายในการโจมตีอุปกรณ์ที่ผลิตขึ้นในอิสราเอล

ก่อนการเลือกตั้งของสหรัฐอเมริกาในเดือนพฤศจิกายน 2024 การทำงานร่วมกันที่เพิ่มขึ้นระหว่างกลุ่มเคลื่อนไหวของอิหร่านและกลุ่มที่กำกับดูแลโดยอิหร่าน อาจบ่งบอกถึงความท้าทายที่มากขึ้นสำหรับผู้ที่มีส่วนร่วมในการปกป้องการเลือกตั้ง ผู้ปกป้องไม่สามารถมีความอุ่นใจจากการติดตามกลุ่มเคลื่อนไหวเพียงบางกลุ่มได้อีกต่อไป แต่การเพิ่มขึ้นของตัวแทนในการเข้าถึง กลุ่มแทรกแซงด้านข้อมูลข่าวสาร และผู้ดำเนินการทางไซเบอร์มีส่วนให้สภาพแวดล้อมของภัยคุกคามมีความซับซ้อนและเกี่ยวพันกันมากขึ้น

ข้อมูลเชิงลึกเพิ่มเติมจากผู้เชี่ยวชาญเกี่ยวกับการดำเนินการแทรกแซงด้านข้อมูลข่าวสารของอิหร่าน

รับฟังข้อมูลเพิ่มเติมจากผู้เชี่ยวชาญเกี่ยวกับการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ของอิหร่าน โดยมุ่งเน้นไปที่การดำเนินการของอิหร่านที่เกี่ยวข้องกับการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาในปี 2020 และสงครามระหว่างอิสราเอล-กลุ่มฮามาสจากรายการ  Microsoft Threat Intelligence Podcast หัวข้อการพูดคุยจะครอบคลุมถึงกลยุทธ์ต่างๆ ที่ผู้ดำเนินการของอิหร่านใช้ เช่น การแอบอ้างเป็นบุคคลอื่น การสรรหาบุคคลในท้องถิ่น และการใช้ประโยชน์จากอีเมลและข้อความเพื่อต่อยอดเรื่องราว นอกจากนี้ยังนำบริบทมาใช้เพื่ออธิบายความซับซ้อนของกิจกรรมทางไซเบอร์ของอิหร่าน ความพยายามในการทำงานร่วมกัน การบริโภคโฆษณาชวนเชื่อ กลยุทธ์ที่สร้างสรรค์ และความท้าทายในการระบุแหล่งที่มาสำหรับการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
การดำเนินการแทรกแซงทางไซเบอร์ รัฐชาติ รายงานของรัฐชาติ ผู้ดำเนินการภัยคุกคาม

บทความที่เกี่ยวข้อง

ผู้ดำเนินการภัยคุกคามจากรัสเซียรุกคืบต่อเนื่อง พร้อมฉกฉวยโอกาสจากภาวะเหนื่อยล้าจากสงคราม 

การดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของรัสเซียยังคงเกิดขึ้นอย่างต่อเนื่องในขณะที่สงครามในยูเครนยังคงดำเนินต่อไป Microsoft Threat Intelligence นำเสนอรายละเอียดเกี่ยวกับภัยคุกคามทางไซเบอร์และกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารล่าสุดในช่วงหกเดือนที่ผ่านมา
เรียนรู้เพิ่มเติม

อิหร่านหันมาใช้การปฏิบัติการข่าวสารทางไซเบอร์เพื่อผลลัพธ์ที่ดียิ่งขึ้น

Microsoft Threat Intelligence ค้นพบการปฏิบัติการข่าวสารทางไซเบอร์เพิ่มขึ้นจากอิหร่าน รับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามพร้อมรายละเอียดของเทคนิคใหม่ๆ และตำแหน่งที่อาจเกิดภัยคุกคามในอนาคต
เรียนรู้เพิ่มเติม

การดำเนินการทางไซเบอร์และด้านข่าวสารของสงครามในสนามรบดิจิทัลของยูเครน

Microsoft Threat Intelligence ตรวจสอบการดำเนินการทางไซเบอร์และด้านข่าวสารในยูเครนในระยะเวลาหนึ่งปี ค้นพบแนวโน้มใหม่ของภัยคุกคามทางไซเบอร์ และสิ่งที่คาดหวังได้เมื่อสงครามเข้าสู่ปีที่สอง
เรียนรู้เพิ่มเติม