Trace Id is missing
Перейти до основного
Security Insider

Використання Іраном кібероперацій впливу для підтримки ХАМАС

Завантажити
Поділитися

Вступ

З початком війни між Ізраїлем і ХАМАСом 7 жовтня 2023 року Іран миттєво збільшив свою підтримку ХАМАСу, використовуючи перевірену методику поєднання цілеспрямованих хакерських атак із розширеними операціями впливу в соцмережах, які ми називаємо кіберопераціями впливу.1Операції Ірану спочатку були реакційними та опортуністичними. До кінця жовтня майже всі іранські джерела впливу й основні джерела кіберзагроз зосередилися на Ізраїлі все більш цілеспрямовано, скоординовано та деструктивно, що призвело до масової й безмежної кампанії проти Ізраїлю. На відміну від деяких минулих кібератак Ірану, усі його нищівні кібератаки проти Ізраїлю під час цієї війни – справжні та сфабриковані – були доповнені операціями впливу в Інтернеті.

Визначення основних термінів

  • Кібероперації впливу 
    Операції, які поєднують наступальні дії в комп’ютерних мережа з інформаційними повідомленнями та їх підкріпленням скоординованим і маніпулятивним способом, спрямовані на зміну сприйняття, поведінки чи рішень цільової аудиторії з метою сприяння інтересам і цілям групи або країни.
  • Кіберперсона 
    Сфабрикована публічна група чи особа, яка бере на себе відповідальність за кібероперацію, надаючи таким чином насправді відповідальній групі чи країні можливість правдоподібно заперечити власну причетність.
  • Маріонетка 
    Фальшивий онлайн-персонаж, який використовує фіктивну або викрадену ідентичність, щоб ввести в оману.

У ході війни операції впливу ставали все більш складними та менш автентичними, використовуючи мережі "маріонеток" у соцмережах. Протягом усієї війни ці операції впливу мали на меті залякати ізраїльтян, водночас критикуючи керування ізраїльським урядом військовими операціями та поводження з полоненими, щоб поляризувати й зрештою дестабілізувати Ізраїль.

У підсумку, Іран спрямував кібератаки та операції впливу проти політичних союзників і економічних партнерів Ізраїлю, щоб підірвати підтримку його військових операцій.

Ми очікуємо, що загроза, яку представляють іранські кібероперації та операції впливу, зростатиме з продовженням конфлікту, зокрема враховуючи ризик ескалації війни. Посилення агресії Ірану та пов’язаних з Іраном угруповань, а також розвиток співпраці між ними віщує зростання загрози напередодні виборів у США в листопаді.

Після теракту ХАМАС 7 жовтня кібероперації та операції впливу Ірану пройшли кілька етапів. Один елемент їхніх операцій залишається постійним: поєднання опортуністичних кібератак з операціями впливу, які часто вводять в оману щодо точності удару чи масштабу його впливу.

У цьому звіті зосереджено увагу на впливі й кіберопераціях впливу Ірану від 7 жовтня до кінця 2023 року, а також обговорюються тенденції та операції з весни 2023 року.

Діаграма етапів кібероперацій впливу Ірану під час війни між Ізраїлем і ХАМАСом

Етап 1. Реактивність і введення в оману

На початковому етапі війни між Ізраїлем і ХАМАСом іранські групи діяли у відповідь. Іранські державні ЗМІ повідомляли оманливу інформацію про заявлені кібератаки, а іранські угрупування повторно використовували старі кадри з минулих операцій, адаптували доступ, який вони мали до війни, для нових цілей та перебільшували загальний масштаб і вплив заявлених кібератак.

Через майже чотири місяці війни корпорація Майкрософт досі не знайшла в зібраних даних чітких доказів того, що іранські угруповання координували кібероперації або операції впливу з планами ХАМАС атакувати Ізраїль 7 жовтня. Швидше наші дані й висновки свідчать про те, що іранські джерела кіберзагрози діяли у відповідь, швидко активізуючи кібероперації та операції впливу після атак ХАМАС, щоб протистояти Ізраїлю.

Оманлива інформація про заявлені атаки, повідомлена державними ЗМІ 
У день початку війни іранське інформаційне агентство Tasnim News Agency, пов’язане з Корпусом вартових ісламської революції (IRGC), неправдиво заявило, що група "Cyber Avengers" здійснила кібератаки на ізраїльську електростанцію "одночасно" з нападом ХАМАСу. 2Група "Cyber ​​​​Avengers" – кіберперсона, якою керує IRGC, – узяла на себе відповідальність за кібератаку на ізраїльську енергетичну компанію ввечері перед нападом ХАМАСу.3Докази, надані цією групою: повідомлення преси кількатижневої давнини про перебої в електропостачанні "в останні роки" та знімок екрана недатованого сповіщення про припинення обслуговування на веб-сайті компанії. 4
Повторне використання старих матеріалів 
Після нападу ХАМАСу на Ізраїль група "Cyber Avengers" заявила, що здійснила серію кібератак на Ізраїль, найперша з яких, як показало наше розслідування, була неправдивою. 8 жовтня ця група заявила, що оприлюднила документи ізраїльської електростанції, хоча ці документи вже були опубліковані раніше в червні 2022 року іншою кіберперсоною, якою керує IRGC, під назвою "Moses Staff".5
Адаптація доступу для нових цілей 
8 жовтня інша кіберперсона, "Malek Team", якою, на нашу думку, керує Міністерство розвідки та безпеки Ірану (MOIS), розголосила персональні дані з ізраїльського університету без видимого зв’язку зі зростаючим конфліктом у регіоні, що свідчить про те, що вибір цілі для атаки був опортуністичним і, можливо, зроблений на основі доступу, наявного до початку війни. Замість того щоб пов’язувати витік даних із підтримкою дій ХАМАСу, група "Malek Team" спочатку використовувала гештеги на X (раніше Twitter) для підтримки ХАМАСу й лише через кілька днів змінила своє повідомлення, щоб воно відповідало повідомленням такого типу, які дискредитують прем’єр-міністра Ізраїля Біньяміна Нетаньягу, як видно з інших іранських операцій впливу.
Споживання іранської пропаганди в усьому світі, проілюстроване часовою шкалою та графіком коефіцієнта трафіку
Рисунок 2. Аналіз загроз Microsoft – Споживання іранської пропаганди за країнами, атаки ХАМАСу на Ізраїль. Графік діяльності з квітня до грудня 2023 року.
Операції впливу Ірану були найефективнішими в перші дні війни 
Охоплення іранських державних ЗМІ зросло після початку війни між Ізраїлем і ХАМАСом. Протягом першого тижня конфлікту ми спостерігали збільшення на 42% індексу іранської пропаганди Microsoft AI for Good Lab, який відстежує споживання новин іранських державних і пов’язаних із державою новинних ЗМІ (див. рисунок 1). Індекс вимірює частку трафіку відвідування цих сайтів порівняно із загальним інтернет-трафіком. Це збільшення було особливо помітним в англомовних країнах, тісно пов’язаних зі Сполученими Штатами (рисунок 2), що підкреслює здатність Ірану охоплювати західну аудиторію своїми репортажами про конфлікти на Близькому Сході. Через місяць після початку війни всесвітнє охоплення цих іранських джерел усе ще було на 28–29% вище довоєнного рівня.
Вплив Ірану без кібератак демонструє гнучкість 
Операції впливу Ірану виявилися гнучкішими й ефективнішими в перші дні війни порівняно з комбінованими операціями кібервпливу, які він проводив пізніше. За кілька днів після нападу ХАМАСу на Ізраїль підозрюваний іранський державний суб’єкт, відомий як Storm-1364, розпочав операцію впливу за допомогою онлайн-персони під назвою "Tears of War", що видавала себе за ізраїльських активістів, щоб поширювати інформацію проти Нетаньяху серед ізраїльської аудиторії в різних соцмережах і на платформах обміну повідомленнями. Швидкість, з якою група Storm-1364 розпочала цю кампанію після нападу 7 жовтня, демонструє гнучкість групи й ілюструє переваги кампаній, спрямованих лише на вплив, які можна створити швидше, оскільки вони не залежать від кіберактивності з боку кібероперації впливу.

Етап 2. Масові дії

Із середини до кінця жовтня дедалі більше іранських груп зосередилися на Ізраїлі, і кібероперації впливу Ірану, які розпочиналися переважно як реактивні та/або сфабриковані, почали застосовувати руйнівні кібератаки та вибирати конкретні цілі атак. Ці атаки охоплювали видалення даних, зловмисні програми з вимогою викупу та, очевидно, налаштування пристроїв Інтернету речей (IoT).6Ми також спостерігали докази посилення координації між іранськими групами.

Протягом першого тижня війни Аналіз загроз Microsoft відстежив дев’ять іранських груп, які активно діяли проти Ізраїлю. На 15 день кількість цих груп зросла до 14. У деяких випадках ми спостерігали, як кілька груп під керівництвом IRGC або MOIS націлювалися на одну й ту саму організацію чи військову базу в рамках кібероперацій або операцій впливу, що вказує на координацію та/або спільні цілі в Тегерані.

Також зросла кількість кібероперацій впливу. У перший тиждень війни ми зафіксували чотири поспішно реалізовані кібероперації впливу проти Ізраїлю. До кінця жовтня кількість таких операцій зросла більш ніж удвічі, значно прискорившись. Це, безумовно, найшвидший темп, який коли-небудь спостерігався (див. рисунок 4).

Малюнок. Зв’язок кіберактивності та впливу Ірану із символами, аналізом загроз і Корпусом вартових Ісламської революції
Часова шкала операцій кібервпливу Ірану: зростання під час війни ХАМАСу, 2021–2023

18 жовтня група "Shahid Kaveh" з IRGC, яку корпорація Майкрософт відстежує як Storm-0784, використовувала спеціальну зловмисну програму з вимогою викупу, щоб здійснити кібератаки на камери відеоспостереження в Ізраїлі. Потім група використала одну зі своїх кіберперсон, "Soldiers of Solomon", щоб неправдиво заявити, що вона викупила доступ до камер відеоспостереження та даних авіабази Неватім. Аналіз записів із камер відеоспостереження, оприлюднених кіберперсоною "Soldiers of Solomon", показує, що це відбулося з міста на північ від Тель-Авіва з вулицею Неватім, а не з однойменної авіабази. Крім того, аналіз розташування жертв показав, що ніхто з них не перебував поблизу військової бази (див. рисунок 5). Незважаючи на те, що іранські групи почали руйнівні атаки, їх дії залишалися здебільшого опортуністичними та продовжували використовувати вплив, щоб перебільшити точність чи наслідки атак.

21 жовтня інша кіберперсона під керівництвом групи "Cotton Sandstorm" IRGC (відома як Emennet Pasargad) опублікувала відео, на якому зловмисники змінюють вміст цифрових дисплеїв у синагогах на повідомлення, у яких дії Ізраїлю в Газі називаються "геноцидом". 7Це приклад методу вбудовування інформації безпосередньо в кібератаки проти відносно легкої цілі.

На цьому етапі для впливу Ірану використовувалися масштабніші та складніші методи фальшивого посилення. Протягом перших двох тижнів війни ми виявили мінімальне використання вдосконалених методів фальшивого посилення, що знову свідчить про те, що операції мали реактивний характер. На третьому тижні війни в дію вступив найактивніший суб’єкт впливу Ірану "Cotton Sandstorm", який 21 жовтня розпочав три кібероперації впливу. Як ми часто бачимо на прикладі цієї групи, вона використовувала мережу маріонеток у соцмережах, щоб посилити свої дії, хоча багато хто з них, очевидно, був поспішно переведений з інших завдань без справжніх прикриттів, що маскують їх під ізраїльтян. Група "Cotton Sandstorm" неодноразово масово надсилала текстові повідомлення або електронні листи, щоб підсилити свою діяльність або похвалитися нею, використовуючи уражені облікові записи для підвищення автентичності.8

Заяви Ірану про кібератаки розвінчано: викриття неправдивих операцій впливу з підробленими записами з камер відеоспостереження, нібито отриманими за допомогою зловмисної програми з вимогою викупу

Етап 3. Розширення географічного охоплення

З кінця листопада іранські групи розширили кібервплив за межі Ізраїлю, охопивши країни, які, на думку Ірану, допомагають Ізраїлю, щоб, імовірно, підірвати міжнародну політичну, військову чи економічну підтримку ізраїльських військових операцій. Це розширення цілей збіглося з початком атак на міжнародне судноплавство, пов’язане з Ізраїлем, з боку хуситів, підтримуваного Іраном шиїтського бойового угруповання в Ємені (див. рисунок 8).9

  • 20 листопада очолювана Іраном кіберпесона "Homeland Justice" попередила про неминучі великі атаки на Албанію, а потім посилила руйнівні кібератаки, здійснені групами MOIS наприкінці грудня проти парламенту Албанії, державних авіакомпаній і постачальників телекомунікаційних послуг.10
  • 21 листопада кіберперсона "Al-Toufan" під керівництвом Cotton Sandstorm націлилася на фінансові організації та уряд Бахрейну за нормалізацію відносин з Ізраїлем.
  • До 22 листопада пов’язані з IRGC групи почали атакувати ізраїльські програмовані логічні контролери (ПЛК) у США та, можливо, Ірландії. Це також включало виведення одного з них із ладу в Управлінні водними ресурсами Пенсільванії 25 листопада (рисунок 6).11ПЛК – це промислові комп’ютери, адаптовані для керування виробничими процесами, такими як складальні лінії, машини та роботизовані пристрої.
  • На початку грудня кіберперсона "Cyber Toufan Al-Aksa", яка, за даними Центру аналізу загроз Microsoft, спонсорується Іраном, заявила, що зробила витік даних двох американських компаній, оскільки вони фінансово підтримують Ізраїль і постачають обладнання його військовим.12Раніше кіберперсона стверджувала, що 16 листопада провела атаку на ці компанії з метою видалення даних.13Через відсутність переконливих доказів зв’язку цієї групи з Іраном не виключено, що цією кіберперсоною керує іранський партнер за межами країни за участю Ірану.
Зламаний ПЛК в Управлінні водними ресурсами Пенсільванії з емблемою Cyber ​​​​Avengers, 25 листопада

На цьому останньому етапі кібероперації впливу Ірану продовжували ставати все складнішими. Використані маріонетки були краще замасковані: деяким із них змінили імена та їхні фотографії профілю, щоб зробити їх більш схожими на справжніх ізраїльтян. Водночас використовувалися нові методи, які раніше не спостерігалися серед іранських джерел загроз, зокрема застосовувався штучний інтелект як основний компонент їхніх повідомлень. На нашу думку, у грудні група Cotton Sandstorm перервала послуги потокового телебачення в ОАЕ та інших країнах під виглядом кіберперсони під назвою "For Humanity". Група "For Humanity" опублікувала в Telegram відео, на яких видно, як вона зламала три онлайн-сервіси потокового передавання й перервала роботу кількох каналів новин за допомогою фейкової трансляції новин, де ведучий, очевидно створений штучним інтелектом, стверджує, що показує фотографії палестинців, поранених і вбитих унаслідок військових операцій Ізраїлю (рисунок 7).14Новинні ЗМІ та глядачі в ОАЕ, Канаді й Великій Британії повідомили про збої в потоковому мовленні телевізійних програм, зокрема BBC, що відповідало заявам "For Humanity".15

HUMANITY 2023: 8 жовтня, 180 убитих, 347 поранених. Рисунок 7. Переривання потокового телебачення за допомогою трансляції, створеної штучним інтелектом
Іран розширює націленість на прихильників Ізраїлю, кібератаки, попередження та дії щодо спотворення інформації.

Операції Ірану мали чотири загальні цілі: дестабілізація, відплата, залякування та підрив міжнародної підтримки Ізраїлю. Усі ці чотири цілі також мають на меті підірвати інформаційне середовище Ізраїлю та його прихильників, щоб створити загальну плутанину й брак довіри.

Дестабілізація за допомогою поляризації 
Напади Ірану на Ізраїль під час війни між Ізраїлем і ХАМАСом дедалі більше зосереджувалися на розпалюванні внутрішнього конфлікту через підхід ізраїльського уряду до війни. Кілька операцій впливу Ірану видавали себе за групи ізраїльських активістів, щоб поширювати провокаційні повідомлення, що критикують поводження уряду з особами, викраденими та взятими в заручники 7 жовтня.17Головною ціллю цих повідомлень був Нетаньягу, а заклики до його усунення були постійною темою операцій впливу Ірану.18
AVENGERS – жодної електрики, їжі, води та палива. Група "Cyber ​​​​Avengers" повторно публікує відео блокади Ізраїлю
Відплата 
Значна частина повідомлень Ірану та вибір цілей підкреслює мстивий характер його дій. Наприклад, кіберперсона "Cyber Avengers" опублікувала відео, у якому міністр оборони Ізраїлю заявляє, що Ізраїль припинить постачання електрики, продовольства, води та палива в місті Газа (див. рисунок 9). Після нього слідувала серія атак "Cyber Avengers", націлених на енергетичну, водну та паливну інфраструктуру Ізраїлю.19Попередні заяви групи про атаки на державні системи управління водними ресурсами Ізраїлю, що відбулися кількома днями раніше, містили повідомлення "Око за око", а інформаційне агентство Tasnim, пов’язане з IRGC, повідомило, що група вважає, що атаки на системи управління водними ресурсами були відплатою за облогу Гази.20Група, пов’язана з MOIS, яку ми відстежуємо під назвою "Pink Sandstorm" (також відома як Agrius), у кінці листопада здійснила злам і витік інформації в ізраїльській лікарні, що, скоріше за все, було відплатою за кількаденну облогу Ізраїлем лікарні Аль-Шіфа в Газі двома тижнями раніше.21
Залякування 
Операції Ірану також підривають безпеку Ізраїлю й залякують громадян Ізраїлю та його прихильників, передаючи погрозливі повідомлення й переконуючи цільові аудиторії, що інфраструктура їхньої країни та системи державного управління не є безпечними. Деякі дії Ірану із залякування схоже спрямовані на те, щоб підірвати бажання Ізраїлю продовжувати війну, наприклад повідомлення, які намагаються переконати солдат ЦАХАЛ "вийти з війни та повернутися додому" (рисунок 10).22Іранських кіберперсона, яка, можливо, маскувалася під ХАМАС, стверджувала, що надсилає погрозливі текстові повідомлення сім’ям ізраїльських солдатів, додавши таку заяву: "Солдати ЦАХАЛу [Армії оборони Ізраїлю] повинні знати, що поки наші сім’ї не будуть у безпеці, їхнім сім’ям теж загрожує небезпека".23Маріонетки, що підкріплювали образ персони ХАМАСу, поширювали на X повідомлення про те, що ЦАХАЛ "не в змозі захистити своїх солдатів", і спрямовували глядачів до серії повідомлень, нібито надісланих солдатами ЦАХАЛу з проханнями до ХАМАСу врятувати їхні сім’ї.24
Погрозливе повідомлення від можливої ​​маріонетки, контрольованої групою "Cotton Sandstorm", у якому згадується доступ до персональних даних і закликається людей вийти з війни.
Підрив міжнародної підтримки Ізраїлю 
Операції впливу Ірану, націлені на міжнародну аудиторію, часто містили повідомлення, спрямовані на послаблення міжнародної підтримки Ізраїлю, наголошуючи на шкоді, завданій атаками Ізраїлю на Газу. Кіберперсона, видаючи себе за пропалестинську групу, назвала дії Ізраїлю в Газі "геноцидом".25У грудні група "Cotton Sandstorm" провела кілька операцій впливу під назвами "For Palestinians" і "For Humanity", закликаючи міжнародну спільноту засудити атаки Ізраїлю на Газу.26

Щоб досягти своїх цілей в інформаційному просторі, Іран за останні дев’ять місяців значною мірою покладався на чотири тактики, методики та процедури впливу. До них належить видавання себе за іншу особу та розширення можливостей активізації цільової аудиторії, а також ширше використання кампаній із текстовими повідомленнями та використання пов’язаних з IRGC ЗМІ для підкріплення операцій впливу.

Видавання себе за ізраїльські групи активістів та іранських партнерів 
Покладаючись на давню методику видавання себе за іншу особу, іранські групи розробили конкретніших і переконливіших персон, які маскуються під союзників і ворогів Ірану. Багато попередніх операцій і персон Ірану видавали себе за активістів, які підтримують палестинську справу.27Нещодавні операції від персони, якою, як ми вважаємо, керує група "Cotton Sandstorm", пішли далі, використовуючи назву й емблему військового крила ХАМАСу, Бригади Аль-Кассама, щоб поширювати неправдиву інформацію про заручників, які утримуються в Газі, і надсилати погрози ізраїльтянам. Інший Telegram-канал, який погрожував військовослужбовцям ЦАХАЛу й розкривав їхні персональні дані та яким, на нашу думку, керувала група з Міністерства розвідки та безпеки, також використовував емблему Бригад Аль-Кассама. Незрозуміло, чи діє Іран за згодою ХАМАСу.

Крім того, Іран створює все переконливіші імітації фіктивних ізраїльських активістських організацій праворуч і ліворуч в ізраїльському політичному спектрі. Через цих фальшивих активістів Іран намагається проникнути в ізраїльські спільноти, щоб завоювати їхню довіру та посіяти розбрат.

Активізація ізраїльтян до дій 
У квітні й листопаді Іран неодноразово успішно вербував ізраїльтян, які нічого не підозрюють, для участі в локальних заходах, що пропагують фальшиві операції. Під час однієї з нещодавніх операцій "Tears of War" іранським агентам, як повідомляється, удалося переконати ізраїльтян вивісити в ізраїльських кварталах банери "Tears of War" із зображенням Нетаньягу, створеним штучним інтелектом, і закликами до його усунення з посади (див. рисунок 11).28
Підкріплення за допомогою текстових повідомлень і електронної пошти з підвищеною частотою та складністю 
Хоча операції впливу Ірану продовжують значною мірою покладатися на скоординоване підкріплення через неавтентичні ресурси соцмереж для охоплення цільової аудиторії, Іран усе частіше використовує масове розсилання текстових повідомлення та електронних листів, щоб підсилити психологічний вплив своїх кібероперацій впливу. Підкріплення в соцмережах за допомогою маріонеткок не має такого впливу, як повідомлення в папці "Вхідні", не кажучи вже про повідомлення на телефоні. Група "Cotton Sandstorm" покладалася на попереднє успішне використання цієї методики на початку 2022 року,29і масово надсилала текстові повідомлення та/або електронні листи щонайменше під час шістьох операцій із серпня. Розширене використання цієї методики свідчить про те, що група вдосконалила її та вважає ефективною. Операція "Cyber Flood", проведена групою "Cotton Sandstorm" наприкінці жовтня, містила до трьох серій масового розсилання текстових повідомлень і електронних листів ізраїльтянам, які підкріплювали передбачувані кібератаки або розповсюджували неправдиві попередження про атаки ХАМАСу на ізраїльський ядерний об’єкт біля Дімони.30Принаймні в одному випадку група використовувала уражений обліковий запис, щоб підвищити автентичність електронних листів.
Рисунок 11. Банер "Tears of War" в Ізраїлі із зображенням Нетаньягу, створеним штучним інтелектом, і закликом до негайного імпічменту.
Використання державних ЗМІ 
Іран використовує ЗМІ, відкрито й приховано пов’язані з IRGC, щоб підкріплювати ймовірні кібероперації та, іноді, перебільшувати їхні наслідки. У вересні після того, як група "Cyber Avengers" узяла на себе відповідальність за кібератаки на залізничну систему Ізраїлю, пов’язані з IRGC ЗМІ майже відразу оприлюднили й перебільшили ці твердження. Інформаційне агентство Tasnim, пов’язане з IRGC, неправильно процитувало висвітлення ізраїльських новин про іншу подію як доказ того, що ця кібератака відбулася.31Інші іранські та пов’язані з Іраном ЗМІ ще більше підкріпили ці повідомлення таким чином, щоб ще краще приховати відсутність доказів на підтримку тверджень про кібератаку.32
Зростання використання штучного інтелекту в операціях впливу 
Центр аналізу загроз Microsoft помітив, що з початку війни між Ізраїлем і ХАМАСом джерела загроз з Ірану використовували фотографії та відео, згенеровані ШІ. Групи "Cotton Sandstorm" і "Storm-1364", а також новинні ЗМІ, пов’язані з Хезболлою та ХАМАСом, використовували штучний інтелект, щоб посилити залякування й створити фотографії, що обмовляють Нетаньягу та керівництво Ізраїлю.
Рисунок 12. Операції впливу групи "Cotton Sandstorm" із серпня до грудня 2023 року демонструють різні методи та дії.
1. Зростаюча співпраця 
Через кілька тижнів після початку війни між Ізраїлем і ХАМАСом почали з’являтися приклади співпраці між групами, пов’язаними з Іраном, що збільшило їхні потенційні досягнення. Співпраця знижує бар’єр для входу, дозволяючи окремим групам використовувати наявні навички та усуваючи необхідність для однієї групи розробляти повний спектр методів або інструментів.

За нашою оцінкою, дві групи, пов’язані з Міністерством розвідки та безпеки, "Storm-0861" і "Storm-0842", співпрацювали в руйнівній кібератаці в Ізраїлі наприкінці жовтня, а потім знову в атаці в Албанії наприкінці грудня. В обох випадках група "Storm-0861", імовірно, надала доступ до мережі, а потім група "Storm-0842" запустила зловмисну програму, що стирає інформацію. Аналогічно, у липні 2022 року група "Storm-0842" запустила зловмисну програму, що стирає інформацію, у державних установах Албанії після того, як до них отримала доступ група "Storm-0861".

У жовтні інша група, пов’язана з Міністерством розвідки та безпеки, "Storm-1084", також могла отримати доступ до системи організації в Ізраїлі, де група "Storm-0842" розгорнула програму для стирання інформації "BiBi", яка отримала свою назву, оскільки перейменовує стерті файли на рядок "BiBi". Незрозуміло, яку роль група "Storm-1084" зіграла в цій руйнівній атаці й чи брала участь узагалі. На початку 2023 року група "Storm-1084" здійснила руйнівні кібератаки на іншу ізраїльську організацію за підтримки іншої групи, пов’язаної з Міністерством розвідки та безпеки, "Mango Sandstorm" (також відомої як "MuddyWater").33

З початку війни Аналіз загроз Microsoft також виявив співпрацю між групою "Pink Sandstorm", пов’язаною з Міністерством розвідки та безпеки, і кіберпідрозділами Хезболли. Корпорація Майкрософт помітила збіги між їхніми інфраструктурами та спільні інструменти. Хоча співпраця Ірану з Хезболлою в кіберопераціях не безпрецедентна, однак викликає занепокоєння, що війна може ще більше зблизити ці групи через національні кордони в оперативному плані.34Оскільки всі кібератаки Ірану в цій війні пов’язані з операціями впливу, досить імовірно, що Іран покращить свої операції впливу та їх охоплення, використовуючи носіїв арабської мови, щоб підвищити довіру до недостовірних персон.

2. Високий рівень уваги до Ізраїлю 
Зосередження іранських джерел кіберзагроз на Ізраїлі посилилося. Іран тривалий час зосереджувався на Ізраїлі, який разом із США вважають головним супротивником Тегерана. За даними Аналізу загроз Microsoft, головними цілями Ірану протягом останніх кількох років майже постійно були ізраїльські й американські компанії. Незадовго до війни іранські джерела загрози були найбільше зосереджені на Ізраїлі, за яким йшли Об’єднані Арабські Емірати та Сполучені Штати. Після початку війни ця увага до Ізраїлю зросла. Сорок три відсотки кіберактивності іранських державних угрупувань, відстежуваної корпорацією Майкрософт, були спрямовані на Ізраїль, що більше, ніж наступні 14 країн у списку разом узяті.
Відсотковий розподіл даних Аналізу загроз Mogult за країнами й цілями з боку Ірану до війни та через 75 днів після початку війни

Ми очікуємо, що загроза, яку представляють іранські кібероперації та операції впливу, зростатиме з продовженням конфлікту між Ізраїлем і ХАМАСом, зокрема враховуючи ризик ескалації на інших фронтах. Хоча іранські групи поспішно почали діяти або просто сфабрикували операції на початку війни, останнім часом вони сповільнилися, даючи собі більше часу, щоб отримати бажаний доступ або розробити складніші операції впливу. Етапи війни, викладені в цьому звіті, чітко ілюструють поступове прогресування кібероперацій і операцій впливу Ірану, які стають більш цілеспрямованими, кооперативними та руйнівними.

Крім того, атаки з боку іранських джерел загрози стають дедалі сміливішими, що зокрема продемонстровано кібератакою на лікарню та перевіркою "червоних ліній" Вашингтона – очевидно, без побоювань за наслідки. Атаки IRGC на системи управління водними ресурсами США, хоч і були опортуністичними, очевидно, були хитрим кроком, щоб перевірити відповідь Вашингтона, водночас виправдовуючи атаку обладнання, виготовленого в Ізраїлі.

Напередодні виборів у США в листопаді 2024 року посилення співпраці між Іраном і групами, пов’язаними з Іраном, ставить перед тими, хто відповідає за безпеку виборів, серйозніші проблеми. Захисники більше не можуть обмежуватися відстеженням лише кількох груп. Натомість зростаюча кількість агентів доступу, груп впливу та джерел кіберзагроз робить середовище загроз складнішим і взаємопов’язаним.

Більше експертних думок про операції впливу Ірану

Дізнайтеся більше від експертів про кібероперації впливу Ірану, зосередивши увагу на діях Ірану, пов’язаних із президентськими виборами в США 2020 року та війною між Ізраїлем і ХАМАСом, у  подкасті Аналізу загроз Microsoft. Обговорення охоплює тактику, яку використовують іранські джерела загрози, як-от видавання себе за іншу особу, вербування місцевих жителів і використання електронних листів і текстових повідомлень для підкріплення. Подкаст також дає уявлення про тонкощі іранської кібердіяльності, їхню співпрацю, споживання пропаганди, творчу тактику та проблеми атрибуції, пов’язані з операціями впливу.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Операції з кібервпливу Національний рівень Національні звіти Джерела загроз

Пов’язані статті

Російські джерела загроз готуються скористатися втомою від війни 

Російські кібероперації та операції впливу продовжуються, поки триває війна в Україні. Аналіз загроз Microsoft докладно описує найновіші кіберзагрози та операції впливу за останні шість місяців.
Дізнайтеся більше

Іран вдається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей

Фахівці команди Аналізу загроз Microsoft виявили збільшений рівень операцій впливу в кіберсередовищі з Ірану. Отримуйте аналітику про методи й можливі напрямки нових загроз.
Дізнатися більше

Хакерські атаки й операції з кібервпливу на цифровому полі битви в Україні

Війна триває вже другий рік, і команда Аналізу загроз Microsoft вивчає кібероперації та операції впливу в Україні за рік, визначає нові тенденції, а також потенційний напрям розвитку кіберзагроз.
Дізнатися більше