隨著戰爭的進行,社交媒體「傀儡帳戶」得到部署,影響力作業變得愈發複雜和不真實。在整個戰爭期間,這些影響力作業一直試圖恐嚇以色列人,同時批評以色列政府對人質的處理和軍事行動,以分化並最終破壞以色列的穩定。政府對人質的處理和軍事行動使以色列兩極分化並最終破壞穩定。
最終,伊朗將其網路攻擊和影響力作業轉向以色列的政治盟友和經濟夥伴,以破壞對以色列軍事行動的支援。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。伊朗和與伊朗有關聯的執行者日漸肆無忌憚,加上他們之間迅速發展的合作,預示著在 11 月美國大選之前,威脅越來越大。
自 10 月 7 日哈馬斯恐怖襲擊以來,伊朗的網路和影響力作業經歷了多個階段。他們作業的一個元素始終保持不變:機會主義的網路目標與影響力作業相結合,這些行動往往會誤導影響的精確度或範圍。
本報告重點關注 10 月 7 日至 2023 年底期間伊朗的影響力和網路影響力作業,同時涵蓋可追溯到 2023 年春季的趨勢和作業。
伊朗群組在以色列 - 哈馬斯戰爭的初始階段是被動的。伊朗官方媒體發佈了據稱網路攻擊的誤導性細節,伊朗群組重複使用了以往行動中的過時材料,重新利用了他們在戰前的存取權,並誇大了據稱網路攻擊的整體範圍和影響。
戰爭已經持續了近四個月,Microsoft 仍然沒有從我們的資料中看到明確的證據表明,伊朗群組已經將其網路或影響力作業與哈馬斯在 10 月 7 日襲擊以色列的計劃加以協調。相反,我們的資料和調查結果的大多數表明,伊朗網路執行者是被動的,在哈馬斯襲擊后,其迅速激增網路和影響力作業以對抗以色列。
從 10 月中旬到下旬,越來越多的伊朗群組將注意力轉移到以色列,伊朗的網路影響力作業從以被動的、捏造的或兩者兼有為主,轉變為包括破壞性網路攻擊和開發關注的作業目標。這些攻擊包括資料刪除、勒索軟體,以及顯然調整物聯網(IoT)設備。6我們還看到伊朗各群組之間加強協調的證據。
在戰爭的第一周,Microsoft 威脅情報部門追蹤了九個積極針對以色列的伊朗群組;到第 15 天,這個數位增加到 14 組。在某些情況下,我們觀察到多個伊斯蘭革命衛隊或 MOIS 團體通過網路或影響力活動針對同一組織或軍事基地,這表明存在協調,或在德黑蘭設定的共同目標,或兩者兼而有之。
網路啟用的影響力作業也在激增。在戰爭的第一周,我們觀察到了針對以色列的四次倉促實施的網路影響作業。到 10 月底,此類作業的數量增加了一倍多,標誌著這些作業以迄今為止最快的速度顯著加速(見圖 4)。
10 月 18 日,伊斯蘭革命衛隊的 Shahid Kaveh 群組(Microsoft 將其追蹤為 Storm-0784)使用定製的勒索軟體對以色列的安全性相機進行網路攻擊。然後,它使用其網路角色之一「所羅門士兵」虛假地宣告已經贖回了內瓦蒂姆空軍基地的安全性相機和資料。對所羅門士兵洩露的安全性錄像的檢查顯示,它來自特拉維夫以北的一個小鎮,那裡有一條內瓦蒂姆街,而不是同名的空軍基地。事實上,對受害者位置的分析表明,沒有人在軍事基地附近(見圖 5)。雖然伊朗群組已經開始進行破壞性襲擊,但他們的行動在很大程度上仍然是機會主義的,並繼續利用影響力活動來誇大襲擊的精確度或效果。
10 月 21 日,伊斯蘭革命衛隊組織 Cotton Sandstorm(俗稱 Emennet Pasargad)運營的另一個網路角色分享了一段視頻,視頻中攻擊者破壞了猶太教堂的數位顯示器,並將以色列在加沙的行動稱為「種族滅絕」。 7 這標誌著一種將傳訊直接內嵌到針對相對軟目標的網路攻擊中的方法。
在這個階段,伊朗的影響力活動使用了更廣泛和更複雜的不真確放大形式。在戰爭的前兩周,我們檢測到了最低限度的不真確放大的進階形式——再次表明作業是被動的。到戰爭的第三周,伊朗最多產的影響力執行者 Cotton Sandstorm 於 10 月 21 日上場,發起了三項網路影響力作業。正如我們經常從該群組中看到的那樣,他們使用社交媒體傀儡帳號來擴大作業,儘管許多似乎是匆忙中重新利用的,而沒有偽裝成以色列人的真實身分。Cotton Sandstorm 多次批量發送簡訊或電子郵件,以放大或吹噓他們的作業,利用遭入侵的帳戶來增強真確性。8
從 11 月下旬開始,伊朗群組將其網路影響力擴大到以色列以外,包括伊朗認為正在援助以色列的國家/地區,這些國家/地區很可能會破壞對以色列軍事行動的國際政治、軍事或經濟支援。這種目標的擴大與伊朗支援的葉門什葉派激進組織胡塞武裝開始襲擊與以色列有關的國際航運相一致(見圖 8)。9
在最新階段,伊朗的網路影響力作業也繼續複雜化。他們通過重命名一些傀儡帳戶並更改其個人資料照片,以使其看起來更像真實的以色列人而更好地偽裝。與此同時,他們利用了我們從伊朗執行者處所未見的新技術,包括使用人工智慧作為其傳訊的關鍵組成部分。我們評估了 Cotton Sandstorm,其在 12 月以一個名為“For Humanity”的角色為幌子,擾亂了阿聯酋和其他地區的流媒體電視服務。“For Humanity”在 Telegram 上發佈了影片,顯示該組織入侵了三個線上流媒體服務,並通過一個虛假新聞廣播擾亂了幾個新聞頻道,該廣播以一個顯然是 AI 生成的主播為錨點,聲稱展示了巴勒斯坦人在以色列軍事行動中受傷和死亡的圖像(圖 7)。 14 阿聯酋、加拿大和英國的新聞媒體和觀眾報導了包括 BBC 在內的流媒體電視節目的中斷,這與“For Humanity”的說法相符。15
為了實現其在資訊空間的目標,伊朗在過去九個月中嚴重依賴四種影響力策略、技術和程式(TTP)。這些措施包括使用模擬和增強能力來啟動目標受眾,同時日漸使用簡訊活動和使用與伊斯蘭革命衛隊有聯繫的媒體來擴大影響力作業。
同樣,在以色列政治光譜的左右兩派中,伊朗所製造的對虛構以色列激進組織的冒充越來越令人信服。通過這些冒牌活動家,伊朗試圖滲透到以色列社區,以獲得他們的信任並挑撥離間。
我們評估說,與 MOIS 有連結的一對群組 Storm-0861 和 Storm-0842 於 10 月下旬在以色列和 12 月下旬在阿爾巴尼亞合作進行了破壞性網路攻擊。在這兩種情況下,Storm-0861 都可能在 Storm-0842 執行抹除惡意軟體之前提供了對網路的存取。同樣,在 Storm-0861 獲得存取權后,Storm-0842 於 2022 年 7 月在阿爾巴尼亞政府實體執行了抹除器惡意軟體。
10 月,另一個與 MOIS 相關的組織 Storm-1084 也可能存取了以色列的一個組織,Storm-0842 在那裡部署了“BiBi”抹除器,該抹除器一名源自以惡意軟體使用字符串“BiBi”重新命名抹除的檔案。目前尚不清楚 Storm-1084 在破壞性攻擊中扮演了什麼角色。Storm-1084 於 2023 年初對另一個以色列組織進行了破壞性網路攻擊,該攻擊由另一個與 MOIS 相關的組織 Mango Sandstorm(又名MuddyWater)啟用。33
自戰爭爆發以來,Microsoft 威脅情報還偵測到與 MOIS 連結的組織 Pink Sandstorm 和真主黨網路部隊之間的合作。Microsoft 觀察到基礎結構重疊和共用工具。伊朗與真主黨在網路行動上的共同作業雖然不是史無前例的,但引起了一個令人擔憂的事態發展,即這場戰爭可能會使這些團體在行動上更加緊密地聯繫在一起。34由於伊朗在這場戰爭中的網路攻擊都與影響力作業相結合,因此伊朗更有可能通過利用以阿拉伯文為母語的人來增強其不真實角色的真確性,來改善其影響力作業及其影響力。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。雖然伊朗群組在戰爭初期急於開展或簡單地捏造作業,但伊朗群組已經放慢了他們最近的作業,使他們能夠有更多時間獲得所需的存取或發展更複雜的影響力作業。本報告中概述的戰爭階段清楚地表明,伊朗的網路和影響力作業進展緩慢,變得更具針對性、協作性和破壞性。
伊朗執行者在瞄準目標方面也變得日益大膽,最引人注目的是針對一家醫院的網路攻擊,並測試華盛頓的底線,似乎不關心後果。伊斯蘭革命衛隊對美國水控制系統的攻擊雖然是見機行事,但似乎是一種聰明的策略,通過宣告攻擊以色列製造設備的合法性來測試華盛頓。
在 2024 年 11 月美國大選之前,伊朗和伊朗附屬群組之間加強合作,預示著那些參與選舉辯護的人將面臨更大的挑戰。防禦者再也無法從追蹤幾個群組中得到安慰。相反,越來越多的存取代理程式、影響群組和網路執行者使威脅環境更加複雜和相互交織。
從 Microsoft 威脅情報播客中聽取有關伊朗網路影響力行動的專家的更多資訊,重點關注伊朗與 2020 年美國總統大選和以色列-哈馬斯戰爭相關的行動。討論涵蓋了伊朗執行者使用的策略,例如冒充、招募當地人以及利用電子郵件和文字簡訊進行放大。它還為伊朗網路活動的複雜性、他們的合作努力、宣傳消費、創造性策略以及影響力作業的歸因挑戰帶來了執行內容。
