Iran đẩy mạnh các hoạt động gây ảnh hưởng dựa trên mạng để hỗ trợ Hamas

Các hoạt động qua mạng và gây ảnh hưởng của Iran đã phát triển qua nhiều giai đoạn khác nhau kể từ cuộc tấn công khủng bố của Hamas vào ngày 7 tháng 10. Tuy vậy, có một yếu tố vẫn được giữ nguyên xuyên suốt những hoạt động này: sự kết hợp giữa hành vi nhắm mục tiêu trên mạng mang tính cơ hội và hoạt động gây ảnh hưởng thường gây hiểu nhầm về độ chính xác hoặc phạm vi tác động.

Báo cáo này tập trung vào các hoạt động gây ảnh hưởng dựa trên mạng và hoạt động gây ảnh hưởng nói chung của Iran diễn ra từ ngày 7 tháng 10 đến hết năm 2023, đồng thời xem xét các xu hướng và hoạt động kể từ mùa xuân năm 2023.

Các nhóm của Iran thực hiện hành vi mang tính phản kháng trong giai đoạn đầu của cuộc chiến Israel – Hamas. Đơn vị truyền thông của nhà nước Iran công bố thông tin chi tiết gây hiểu lầm về các cuộc tấn công qua mạng tự nhận. Các nhóm của Iran tái sử dụng tư liệu cũ từ những hoạt động trước đây, thay đổi mục tiêu của quyền truy nhập mà họ đã có từ trước cuộc chiến và thổi phồng phạm vi cũng như mức tác động nói chung của các cuộc tấn công qua mạng tự nhận này.

Gần bốn tháng sau khi cuộc chiến nổ ra, dữ liệu của Microsoft vẫn chưa cho thấy bằng chứng rõ ràng về việc các nhóm của Iran đã phối hợp các hoạt động trên mạng hoặc hoạt động gây ảnh hưởng với kế hoạch tấn công Israel vào ngày 7 tháng 10 của Hamas. Mặt khác, phần lớn dữ liệu và kết quả nghiên cứu của chúng tôi thể hiện rằng các tác nhân trên mạng của Iran chỉ mang tính phản kháng: Họ nhanh chóng đẩy mạnh các hoạt động trên mạng và gây ảnh hưởng để trả đũa Israel sau cuộc tấn công của Hamas.

Thông tin chi tiết gây hiểu lầm về các cuộc tấn công tự nhận trên truyền thông nhà nước: 
Vào ngày cuộc chiến nổ ra, Hãng thông tấn Tasnim, một cơ quan truyền thông Iran có liên kết với lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), đã tuyên bố sai sự thật rằng một nhóm mang tên “Cyber Avengers” đã thực hiện cuộc tấn công qua mạng nhắm vào nhà máy điện của Israel “vào cùng thời điểm” với cuộc tấn công của Hamas. ² Cyber Avengers, một nhân vật trên mạng do IRGC điều hành, thực ra đã tuyên bố rằng họ đã thực hiện cuộc tấn công qua mạng nhắm vào một công ty điện lực Israel vào buổi tối trước khi cuộc tập kích của Hamas diễn ra.³ Bằng chứng họ đưa ra là bài báo đã xuất bản từ vài tuần trước nói về tình trạng mất điện “trong vài năm gần đây” và một ảnh chụp màn hình thông báo gián đoạn dịch vụ không rõ ngày tháng trên website của công ty này. ⁴

Tái sử dụng tư liệu cũ: 
Sau cuộc tấn công Israel do Hamas gây ra, Cyber Avengers tuyên bố đã thực hiện một loạt các cuộc tấn công qua mạng nhắm vào Israel, song kết quả điều tra của chúng tôi cho thấy cuộc tấn công đầu tiên không phải là sự thật. Vào ngày 8 tháng 10, họ tuyên bố phát tán trái phép tài liệu của nhà máy điện Israel, nhưng thật ra “Moses Staff” – một nhân vật trên mạng khác do IRGC điều hành – đã công bố những tài liệu đó từ tháng 6 năm 2022.⁵

Thay đổi mục đích của quyền truy nhập: 
“Malek Team” cũng là một nhân vật trên mạng nằm trong phạm vi đánh giá của chúng tôi. Nhóm này do Bộ Tình báo và An ninh (MOIS) Iran điều hành và đã phát tán trái phép dữ liệu cá nhân của một trường đại học Israel vào ngày 8 tháng 10 nhưng không cho thấy mối liên kết rõ ràng với việc nhắm đến cuộc xung đột đang bùng nổ tại đó. Như vậy, chúng ta có thể thấy rằng mục tiêu này mang tính cơ hội và có thể đã được chọn dựa trên quyền truy nhập có từ trước khi cuộc chiến nổ ra. Thay vì tạo ra mối liên kết giữa dữ liệu bị rò rỉ và sự ủng hộ dành cho hoạt động của Hamas, ban đầu, Malek Team sử dụng hashtag trên nền tảng X (trước đây là Twitter) để ủng hộ Hamas. Vài ngày sau, họ mới thay đổi thông điệp để thống nhất với luồng thông điệp bôi nhọ Thủ tướng Israel Benjamin Netanyahu vốn đã xuất hiện trong các hoạt động gây ảnh hưởng khác của Iran.

Vào ngày 18 tháng 10, Nhóm Shahid Kaveh thuộc IRGC, mà Microsoft gọi là Storm-0784, đã sử dụng mã độc tống tiền tùy chỉnh để thực hiện cuộc tấn công trên mạng nhắm vào các camera an ninh tại Israel. Sau đó, nhóm này sử dụng “Soldiers of Solomon” – một trong số các nhân vật trên mạng của họ để đưa ra tuyên bố sai sự thật rằng nhân vật này đã chiếm đoạt được camera và dữ liệu tại Căn cứ Không quân Nevatim. Kết quả điều tra cảnh quay an ninh rò rỉ từ Soldiers of Solomon cho thấy những cảnh quay này là từ con phố mang tên Nevatim thuộc một thị trấn nằm ở phía bắc Tel Aviv, chứ không phải từ căn cứ không quân cùng tên. Trên thực tế, kết quả phân tích vị trí của nạn nhân cho thấy không có vị trí nào nằm gần căn cứ quân sự nói trên (xem Hình 5). Tuy các nhóm của Iran đã bắt đầu các cuộc tấn công mang tính phá hủy, song hoạt động của họ vẫn chủ yếu mang tính cơ hội và tiếp tục tận dụng hoạt động gây ảnh hưởng để thổi phồng độ chính xác hoặc hiệu quả của cuộc tấn công.

Vào ngày 21 tháng 10, Cotton Sandstorm (thường được gọi là Emennet Pasargad) – một nhân vật trên mạng khác do nhóm IRGC điều hành – đã chia sẻ một video cho thấy những kẻ tấn công đang phá hoại các màn hình kỹ thuật số tại giáo đường Do Thái bằng những thông điệp gọi các hoạt động của Israel tại Gaza là “hành động diệt chủng”. ⁷ Hoạt động này đánh dấu phương pháp lồng ghép thông điệp trực tiếp vào cuộc tấn công qua mạng nhắm đến một mục tiêu tương đối mềm.

Trong giai đoạn này, hoạt động gây ảnh hưởng của Iran đã sử dụng các hình thức sâu rộng và tinh vi hơn để tăng cường phát tán thông tin không đúng sự thật. Trong hai tuần đầu của cuộc chiến, chúng tôi chỉ phát hiện những hình thức nâng cao của hoạt động tăng cường phát tán thông tin không đúng sự thật ở mức tối thiểu. Điều này một lần nữa chứng tỏ rằng những hoạt động đó chỉ mang tính phản kháng. Đến tuần thứ ba của cuộc chiến, tác nhân gây ảnh hưởng có hiệu quả cao nhất của Iran, Cotton Sandstorm, đã chào sân bằng việc triển khai ba hoạt động gây ảnh hưởng dựa trên mạng vào ngày 21 tháng 10. Như chúng ta thường thấy, nhóm này đã sử dụng mạng lưới con rối trên mạng xã hội để tăng cường phát tán thông tin về các hoạt động, mặc dù có vẻ như họ đã gấp rút thay đổi mục đích sử dụng đến mức quên ngụy trang cho nhiều con rối bằng một vỏ bọc chuẩn người Israel. Cotton Sandstorm đã nhiều lần gửi tin nhắn văn bản hoặc email hàng loạt để tăng cường phát tán thông tin hay khoe khoang về hoạt động của mình. Họ lợi dụng các tài khoản bị xâm phạm để nâng cao độ xác thực.⁸

Từ cuối tháng 11, các nhóm của Iran đã mở rộng hoạt động gây ảnh hưởng dựa trên mạng ra ngoài phạm vi Israel, nhắm đến cả những quốc gia có vai trò hỗ trợ đối với Iran. Mục tiêu của việc này rất có thể là để làm suy giảm sự hỗ trợ về chính trị, quân sự hoặc kinh tế của quốc tế dành cho hoạt động quân sự của Israel. Việc mở rộng phạm vi mục tiêu này khớp với thời điểm tổ chức Houthi (nhóm vũ trang của người Shi’ite tại Yemen, do Iran đứng sau) bắt đầu tấn công hoạt động vận chuyển quốc tế có liên quan đến Israel (xem Hình 8).⁹

Hoạt động gây ảnh hưởng dựa trên mạng của Iran ngày càng trở nên tinh vi hơn trong giai đoạn gần nhất này. Họ đã ngụy trang con rối khéo hơn bằng cách đổi tên và thay ảnh đại diện, để con rối trông giống người Israel đích thực hơn. Đồng thời, họ cũng đã sử dụng những kỹ thuật mới mà chúng tôi chưa từng thấy ở các tác nhân của Iran, bao gồm cả việc sử dụng AI làm thành phần chính trong hoạt động truyền thông điệp. Chúng tôi đánh giá việc Cotton Sandstorm làm gián đoạn dịch vụ truyền hình trực tuyến tại Các Tiểu vương quốc Ả Rập Thống nhất và những nơi khác vào tháng 12, dưới vỏ bọc của một nhân vật gọi là “For Humanity” For Humanity phát hành các video trên Telegram cho thấy nhóm này xâm nhập vào ba dịch vụ phát trực tuyến và làm gián đoạn một số kênh tin tức bằng cách chèn một bản tin giả có sự xuất hiện của phát thanh viên có vẻ là do AI tạo ra. Bản tin này tuyên bố rằng họ đang trình chiếu hình ảnh người dân Palestine bị thương và thiệt mạng do hoạt động quân sự của Israel (Hình 7).¹⁴ Các cơ quan tin tức và người xem tại Các Tiểu vương quốc Ả Rập Thống nhất, Canada và Vương quốc Anh đã báo cáo về sự gián đoạn trong chương trình truyền hình trực tuyến, trong đó có cả BBC, trùng khớp với tuyên bố của For Humanity.¹⁵

Iran chủ yếu dựa vào bốn chiến thuật, kỹ thuật và quy trình (TTP) gây ảnh hưởng trong hơn chín tháng qua để đạt được mục tiêu trong không gian thông tin. Các chiến thuật này bao gồm việc sử dụng kỹ thuật mạo danh và khả năng nâng cao để thúc đẩy đối tượng mục tiêu hành động, kết hợp với việc đẩy mạnh sử dụng chiến dịch tin nhắn văn bản cũng như sử dụng đơn vị truyền thông thân cận với IRGC để tăng cường phát tán thông tin về các hoạt động gây ảnh hưởng.

Mạo danh các nhóm hoạt động của Israel và đối tác của Iran 
Các nhóm của Iran đã phát huy kỹ thuật mạo danh có từ lâu bằng cách phát triển các nhân vật mang tính cụ thể và tính thuyết phục cao hơn nhằm giả danh cả bạn và thù của Iran. Nhiều hoạt động và nhân vật trước đây của Iran từng đóng vai trò là nhà hoạt động vì các mục đích cao đẹp của Palestine.²⁷ Các hoạt động gần đây từ một nhân vật do Cotton Sandstorm điều hành và nằm trong phạm vi đánh giá của chúng tôi đã vượt quá điều đó, sử dụng tên và logo của al-Qassam Brigades, cánh quân sự của Hamas, để phát tán thông điệp sai sự thật về con tin bị bắt giữ tại Gaza và gửi thông điệp hăm dọa đến người dân Israel. Một kênh Telegram khác từng hăm dọa nhân sự IDF và phát tán trái phép dữ liệu cá nhân của họ, do nhóm MOIS điều hành và nằm trong phạm vi đánh giá của chúng tôi, cũng đã sử dụng logo của al-Qassam Brigades. Chúng tôi không rõ liệu hành động hiện tại của Iran đã được Hamas chấp thuận hay chưa.

Tương tự như vậy, Iran tạo ra ngày càng nhiều phiên bản giả mạo mang tính thuyết phục cao của các tổ chức hoạt động Israel hư cấu, thuộc cả cánh tả và cánh hữu trong chính trường Israel. Thông qua các nhà hoạt động giả này, Iran tìm cách xâm nhập vào cộng đồng người Israel để xây dựng lòng tin và reo rắc mối bất hòa.

Thúc đẩy người dân Israel hành động 
Vào tháng 4 và tháng 11, Iran đã thành công liên tiếp trong việc chiêu dụ những người Israel thiếu hiểu biết tham gia vào các hành động xúc tiến hoạt động sai trái tại địa phương. Trong hoạt động “Tears of War” gần đây, các gián điệp Iran được cho là đã thuyết phục thành công người dân Israel treo biểu ngữ có tên Tears of War ở các khu phố Israel. Trên biểu ngữ có hình ảnh Netanyahu do AI tạo ra và thông điệp kêu gọi truất quyền vị Thủ tướng này (xem Hình 11).²⁸

Tăng cường phát tán thông tin qua tin nhắn tin văn bản và email với tần suất và mức độ tinh vi tăng cao 
Trong khi các hoạt động gây ảnh hưởng của Iran vẫn phụ thuộc đáng kể vào kỹ thuật tăng cường phát tán thông tin không đúng sự thật mang tính phối hợp trên mạng xã hội để tiếp cận đối tượng mục tiêu, Iran cũng ngày càng tận dụng tin nhắn văn bản và email hàng loạt để nâng cao hiệu ứng tâm lý cho hoạt động gây ảnh hưởng dựa trên mạng của mình. Việc tăng cường phát tán thông tin trên mạng xã hội bằng con rối không có tác động mạnh bằng một tin nhắn xuất hiện trong hộp thư đến, chưa kể đến là trên điện thoại của cá nhân. Cotton Sandstorm phát huy các thành quả trước đây bằng cách bắt đầu sử dụng kỹ thuật này vào năm 2022.²⁹ Họ gửi hàng loạt tin nhắn văn bản, email hoặc cả hai trong ít nhất là sáu hoạt động kể từ tháng 8. Việc tăng cường sử dụng kỹ thuật này cho thấy rằng nhóm đã hoàn thiện khả năng này và coi đó là một công cụ hiệu quả. Hoạt động “Cyber Flood” của Cotton Sandstorm vào cuối tháng 10 đã gửi tới ba bộ tin nhắn văn bản và email đến hàng loạt người dân Israel để tăng cường phát tán thông tin về các cuộc tấn công qua mạng tự nhận hoặc đưa ra cảnh báo giả về cuộc tấn công của Hamas vào cơ sở hạt nhân của Israel ở gần Dimona.³⁰ Họ đã tận dụng tài khoản bị xâm phạm để nâng cao độ xác thực của email trong ít nhất là một trường hợp.

Tận dụng đơn vị truyền thông của nhà nước 
Iran đã sử dụng cả cơ quan truyền thông công khai và ngầm, có liên kết với IRGC để tăng cường phát tán thông tin về các hoạt động trên mạng tự nhận và đôi khi cũng thổi phồng hiệu quả của chúng. Vào tháng 9, sau khi Cyber Avengers đưa ra tuyên bố về cuộc tấn công qua mạng nhắm vào hệ thống đường sắt của Israel, một đơn vị truyền thông có liên kết với IRGC gần như ngay lập tức tăng cường phát tán thông tin và thổi phồng các tuyên bố này. Hãng thông tấn Tasnim – đơn vị có liên kết với IRGC – đã viện dẫn sai bản tin của Israel về một sự kiện khác để làm bằng chứng cho cuộc tấn công qua mạng vừa xảy ra.³¹ Các cơ quan truyền thông của Iran và cùng phe với Iran tiếp tục tăng cường phát tán bản tin này, góp phần che đậy cho việc thiếu bằng chứng về tuyên bố liên quan đến cuộc tấn công qua mạng này.³²

Manh nha áp dụng AI cho hoạt động gây ảnh hưởng 
MTAC nhận thấy các tác nhân của Iran đã sử dụng hình ảnh và video do AI tạo kể từ khi cuộc chiến Israel – Hamas nổ ra. Cotton Sandstorm và Storm-1364, cũng như Hezbollah và các cơ quan truyền thông có liên kết với Hamas, đã tận dụng Al để tăng cường tính đe dọa và tạo ra những hình ảnh bôi nhọ Netanyahu cũng như đội ngũ lãnh đạo Israel.

1. Tăng cường cộng tác 
Vài tuần sau khi cuộc chiến Israel – Hamas nổ ra, chúng tôi bắt đầu thấy được những ví dụ về sự cộng tác giữa các nhóm có liên kết với Iran. Việc này tạo điều kiện cho các tác nhân đạt được thành quả lớn hơn. Sự cộng tác này sẽ giảm bớt rào cản gia nhập, từ đó cho phép mỗi nhóm đóng góp khả năng hiện có của mình, cũng như giúp một nhóm không cần phải sở hữu toàn bộ các công cụ hay bí kíp.

Chúng tôi đánh giá rằng Storm-0861 và Storm-0842 – hai nhóm có liên kết với MOIS – đã cộng tác với nhau để thực hiện cuộc tấn công qua mạng mang tính hủy diệt tại Israel vào cuối tháng 10 và thực hiện một lần nữa tại Albania vào cuối tháng 12. Trong cả hai trường hợp, có vẻ như Storm-0861 đã cung cấp quyền truy nhập vào mạng lưới, rồi Storm-0842 mới thực thi phần mềm xấu xóa sạch. Tương tự, Storm-0842 đã thực thi phần mềm xấu xóa sạch tại các cơ quan chính phủ của Albania vào tháng 7 năm 2022, sau khi Storm-0861 có được quyền truy nhập.

Vào tháng 10, Storm-1084 – một nhóm khác có liên kết với MOIS – cũng có thể đã có được quyền truy nhập vào một tổ chức tại Israel, chính là nơi mà Storm-0842 đã triển khai trình xóa sạch “BiBi”. Cái tên này xuất phát từ việc phần mềm xấu sẽ đặt lại tên cho các tệp bị xóa sạch thành “BiBi”. Chúng tôi không rõ Storm-1084 có vai trò gì trong cuộc tấn công mang tính hủy diệt này (nếu có). Storm-1084 đã thực hiện các cuộc tấn công qua mạng mang tính hủy diệt với một tổ chức Israel khác vào đầu năm 2023 nhờ sự hỗ trợ của Mango Sandstorm (còn có tên là MuddyWater) – một nhóm khác có liên kết với MOIS.³³

Kể từ khi cuộc chiến nổ ra, Microsoft Threat Intelligence cũng đã phát hiện sự cộng tác giữa Pink Sandstorm – một nhóm khác có liên kết với MOIS – và đơn vị tác chiến trên mạng của Hezbollah. Microsoft đã nhận thấy hạ tầng chồng chéo và công cụ dùng chung. Tuy đây không phải lần đầu Iran cộng tác với Hezbollah trong hoạt động trên mạng, song việc này phản ánh một sự phát triển đáng quan ngại, rằng cuộc chiến có thể đưa các tổ chức thuộc các quốc gia khác nhau xích lại gần nhau hơn nữa về mặt hoạt động.³⁴ Vì các cuộc tấn công qua mạng của Iran trong cuộc chiến này đều kết hợp với các hoạt động gây ảnh hưởng nên cũng khả năng rằng Iran sẽ tăng cường các hoạt động gây ảnh hưởng và phạm vi tiếp cận của họ bằng cách tận dụng cộng đồng nói tiếng Ả Rập bản địa để nâng cao độ xác thực cho các nhân vật giả của mình.

2. Tập trung cao độ vào Israel 
Các tác nhân trên mạng của Iran tập trung cao độ vào Israel. Từ lâu, Iran đã tập trung vào Israel, quốc gia mà Tehran coi là đối thủ chính của mình, bên cạnh Hoa Kỳ. Do đó, dựa trên dữ liệu của Microsoft Threat Intelligence, các công ty của Israel và Hoa Kỳ gần như luôn là mục tiêu quen thuộc nhất của Iran trong vài năm qua. Cho đến trước cuộc chiến, các tác nhân của Iran tập trung nhất vào Israel, theo sau là Các Tiểu vương quốc Ả Rập Thống nhất và Hoa Kỳ. Sau khi cuộc chiến nổ ra, mức độ tập trung vào Israel đã tăng vọt. Dựa trên theo dõi của Microsoft, 43% các hoạt động trên mạng do nhà nước Iran đứng sau là nhắm vào Israel, nhiều hơn mức cộng lại của 14 quốc gia mục tiêu đứng sau.

Chúng tôi dự kiến rằng mối đe dọa đến từ các hoạt động trên mạng và gây ảnh hưởng của Iran sẽ vẫn lớn dần chừng nào cuộc xung đột Israel – Hamas vẫn còn tiếp diễn, đặc biệt là khi nguy cơ leo thang dọc theo các mặt trận bổ sung ngày càng hiện hữu rõ nét hơn. Tuy từng gấp rút thực hiện, hoặc đơn thuần là ngụy tạo, các hoạt động vào giai đoạn đầu của cuộc chiến, song các nhóm của Iran đã giảm tốc độ của hoạt động tấn công hiện tại nhằm có thêm thời gian để có được quyền truy nhập mong muốn hoặc phát triển các hoạt động gây ảnh hưởng mang tính tinh vi hơn. Báo cáo này vạch ra các giai đoạn của cuộc chiến nhằm chứng tỏ rằng các hoạt động trên mạng và gây ảnh hưởng của Iran đang từ từ phát triển, dần hướng đến mục tiêu rõ rệt hơn, mang tính cộng tác và tính hủy diệt cao hơn.

Các tác nhân của Iran cũng đã lựa chọn mục tiêu táo tợn hơn nhiều, đáng chú ý nhất là cuộc tấn công qua mạng nhằm vào một bệnh viện và việc thử thách lằn ranh đỏ của Washington mà dường như không hề lo ngại về hậu quả. Cuộc tấn công của IRGC vào hệ thống kiểm soát nước của US Hoa Kỳ tuy mang tính cơ hội, song dường như lại là một nước đi khôn ngoan để thử thách Washington bằng cách tuyên bố tính chính đáng trong việc tấn công thiết bị do Israel sản xuất.

Trước thềm cuộc bầu cử Hoa Kỳ sẽ diễn ra vào tháng 11 năm 2024, sự cộng tác giữa các nhóm của Iran và nhóm có liên kết với Iran báo hiệu một thách thức lớn đối với những người tham gia bảo vệ cuộc bầu cử. Đội ngũ bảo vệ không còn có thể yên tâm khi chỉ theo dõi một vài nhóm. Mặt khác, các tác nhân truy nhập, nhóm gây ảnh hưởng và tác nhân trên mạng gia tăng không ngừng cũng khiến môi trường mối đe dọa trở nên phức tạp và rối rắm hơn.