Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

إيران تزيد من عمليات التأثير الإلكتروني لدعم حماس

المقدمة

مع اندلاع الحرب بين حماس وإسرائيل في 7 أكتوبر 2023، زادت إيران على الفور من دعمها لحماس من خلال أسلوبها المتقن الذي تتبعه حاليًا والمتمثل في الجمع بين عمليات الاختراق المحددة الأهداف وعمليات التأثير التي تم تضخيمها على وسائل التواصل الاجتماعي، الأمر الذي نشير إليه بعمليات التأثير الإلكتروني.1 كانت عمليات إيران في البداية رجعية وانتهازية. منذ أواخر أكتوبر، انصب تركيز جميع ما يخص إيران من عمليات تأثير وممثلين رئيسيين عبر الإنترنت تقريبًا على إسرائيل بأسلوب موجه ومنسق ومدمر على نحو متزايد، مما أدى إلى ظهور حملة "متضافرة الجهود" لا حدود لها ضد إسرائيل. وعلى عكس بعض الهجمات الإلكترونية السابقة التي شنتها إيران، فإن جميع هجماتها الإلكترونية المدمرة ضد إسرائيل في هذه الحرب - الحقيقية أو المزعومة - استُكملت بعمليات التأثير الإلكترونية.

تعريف المصطلحات الأساسية

  • عمليات التأثير الإلكتروني 
    العمليات التي تجمع بين عمليات شبكة الكمبيوتر الهجومية والرسائل والتضخيم بطريقة منسقة ومخادعة لتحويل التصورات أو السلوكيات أو القرارات المتخذة من جانب جماهير مستهدفة لتعزيز الاهتمامات والأهداف الخاصة بمجموعة أو دولة ما.
  • الشخصية الإلكترونية 
    تلفيق فرد أو مجموعة للتعامل مع الجمهور وتحمل المسؤولية عن عملية إلكترونية مع توفير سياسة الإنكار المعقول للمجموعة أو الدولة الأساسية المسؤولة.
  • حساب دمية الجورب 
    شخصية إلكترونية زائفة تستخدم هويات وهمية أو مسروقة بغرض الخداع.

أصبحت عمليات التأثير معقدة وزائفة على نحو متزايد، حيث تنشر شبكات وسائل التواصل الاجتماعي حسابات "دمية الجورب" مع تقدم الحرب. طوال فترة الحرب، سعت عمليات التأثير هذه إلى تخويف الإسرائيليين مع انتقاد طريقة تعامل الحكومة الإسرائيلية مع الرهائن والعمليات العسكرية لاستقطاب إسرائيل وزعزعة استقرارها في نهاية المطاف. تعامل الحكومة مع الرهائن والعمليات العسكرية لاستقطاب إسرائيل وزعزعة استقرارها في نهاية المطاف.

في النهاية، حولت إيران الهجمات الإلكترونية وعمليات التأثير ضد الحلفاء السياسيين والشركاء الاقتصاديين لإسرائيل لتقويض دعم العمليات العسكرية الإسرائيلية.

ونتوقع أن يتزايد التهديد الذي تشكله العمليات الإلكترونية وعمليات التأثير الإيرانية مع استمرار الصراع، لا سيما وسط احتمال تفاقم الحرب الآخذ نطاقها في الاتساع. إن الوقاحة المتزايدة للممثلين الإيرانيين والتابعين لإيران، إلى جانب التعاون المتزايد فيما بينها، تنذر بتهديد متنامي قبل الانتخابات الأمريكية المنتظر عقدها في نوفمبر.

لقد تقدمت العمليات الإلكترونية وعمليات التأثير الإيرانية عبر مراحل متعددة منذ الهجوم الإرهابي الذي شنته حماس في 7 أكتوبر. وقد ظل أحد عناصر عملياتهم ثابتًا طوال الوقت: المتمثل في الجمع بين الاستهداف الإلكتروني الانتهازي وعمليات التأثير التي غالبًا ما تضلل دقة التأثير أو نطاقه.

يركز هذا التقرير على عمليات التأثير الإيرانية وعمليات التأثير الإلكتروني من 7 أكتوبر 2023، مع تغطية الاتجاهات الرائجة والعمليات التي يرجع تاريخها إلى ربيع عام 2023.

رسم بياني يصور مراحل عمليات التأثير الإلكتروني الإيرانية في الحرب بين إسرائيل وحماس

المرحلة 1: التفاعل والتضليل

كانت المجموعات الإيرانية متفاعلة أثناء المرحلة الأولى من الحرب بين إسرائيل وحماس. أصدرت وسائل الإعلام الحكومية الإيرانية تفاصيل مضللة عن الهجمات الإلكترونية المزعومة، وأعادت المجموعات الإيرانية استخدام مواد مؤرخة من العمليات التاريخية، وأعادت تحديد أهداف الوصول التي كانت لديها قبل الحرب، وبالغت في النطاق العام وتأثير الهجمات الإلكترونية المزعومة.

وبعد ما يقرب من أربعة أشهر من الحرب، لم تر Microsoft حتى الآن أدلة واضحة من بياناتنا تشير إلى أن المجموعات الإيرانية نسقت عملياتها الإلكترونية أو عمليات التأثير مع خطط حماس لمهاجمة إسرائيل في 7 أكتوبر. وبدلًا من ذلك، تشير كثرة البيانات والنتائج التي توصلنا إليها إلى أن الممثلين الإلكترونيين الإيرانيين كانت رد فعل، وسرعان ما عززت عملياتها الإلكترونية وعمليات التأثير بعد هجمات حماس لمواجهة إسرائيل.

التفاصيل المضللة بشأن الهجمات المزعومة من خلال وسائل الإعلام الحكومية: 
في اليوم الذي اندلعت فيه الحرب، ادعت وكالة تسنيم الدولية للأنباء، وهي وكالة إيرانية تابعة للحرس الثوري الإسلامي، كذبًا أن مجموعة تسمى "Cyber Avengers" شنت هجمات إلكترونية ضد محطة كهرباء إسرائيلية "في نفس الوقت" الذي شنت فيه حماس هجماتها. 2 في الواقع، زعمت مجموعة «Cyber Avengers»، شخصية إلكترونية يديرها الحرس الثوري الإسلامي، أنها شنت هجمة إلكترونية ضد شركة كهرباء إسرائيلية في الليلة السابقة لهجوم حماس.3 الدليل المستندة إليه: تقارير صحفية منذ أسابيع عن انقطاع التيار الكهربائي "في السنوات الأخيرة" ولقطة شاشة لانقطاع الخدمة غير المؤرخ على موقع الشركة على الويب. 4
إعادة استخدام المواد القديمة: 
بعد هجمات حماس على إسرائيل، ادعت مجموعة Cyber Avengers أنها قامت بسلسلة من الهجمات الإلكترونية ضد إسرائيل، التي كشفت أول تحقيقاتنا عن أنها كاذبة. في 8 أكتوبر، زعمت المجموعة تسريب وثائق خاصة بمحطة توليد كهرباء إسرائيلية، على الرغم من أن الوثائق سبق أن نشرها «Moses Staff»، شخصية إلكترونية أخرى يديرها الحرس الثوري الإسلامي، في يونيو 2022.5
إعادة تحديد أهداف الوصول: 
قامت شخصية إلكترونية أخرى، تدعى "Malek Team"، التي نقيّمها وتديرها وزارة الاستخبارات والأمن الوطني الإيرانية، بتسريب بيانات شخصية من جامعة إسرائيلية في 8 أكتوبر دون أي صلة واضحة في الاستهداف بالصراع المتعاظم هناك، مما يشير إلى أن الهدف كان انتهازيًا وربما تم اختيارها على أساس الوصول الموجود مسبقًا قبل اندلاع الحرب. وبدلاً من وضع روابط بين البيانات المسربة ودعم عمليات حماس، استخدم Malek Team في البداية علامات التصنيف على موقع X (تويتر سابقًا) لدعم حماس، وبعد أيام فقط قام بتغيير الرسائل لتتوافق مع نوع الرسائل التي تشوه سمعة رئيس الوزراء الإسرائيلي بنيامين نتنياهو والتي تظهر في مواقع أخرى. عمليات التأثير الإيرانية.
استهلاك الدعاية الإيرانية في جميع أنحاء العالم موضح بجدول زمني ونسبة الرسم البياني لنسبة استخدام الشبكة
رسم توضيحي 2: التحليل الذكي للمخاطر من Microsoft - استهلاك الدعاية الإيرانية حسب الدولة، هجمات حماس على إسرائيل. رسم بياني يوضح للنشاط من إبريل إلى ديسمبر 2023.
كانت عمليات التأثير الإيرانية أكثر فعالية في الأيام الأولى للحرب 
ارتفع نطاق وسائل الإعلام الإيرانية التابعة للحكومة بعد اندلاع الحرب بين إسرائيل وحماس. في الأسبوع الأول من الصراع، لاحظنا ارتفاعًا بنسبة 42% في مؤشر مختبر Microsoft AI for Good Lab، الذي يرصد استهلاك الأخبار من دولة إيران والوكالات الإخبارية التابعة للحكومة (راجع الرسم التوضيحي 1). يقيس المؤشر نسبة استخدام الشبكة لزيارة هذه المواقع إلى إجمالي نسبة استخدام الشبكة على الإنترنت. وكانت هذه الزيادة واضحة بشكل خاص في البلدان الناطقة باللغة الإنجليزية والمتحالفة بشكل وثيق مع الولايات المتحدة (الرسم التوضيحي 2)، مما سلط الضوء على قدرة إيران على الوصول إلى الجماهير الغربية من خلال تقاريرها بشأن صراعات الشرق الأوسط. وبعد مرور شهر على الحرب، ظل نطاق هذه المصادر الإيرانية أعلى بنسبة 28-29% من مستويات ما قبل الحرب على مستوى العالم.
يُظهر تأثير إيران دون الهجمات الإلكترونية المرونة 
بدت عمليات التأثير الإيرانية أكثر مرونة وفعالية في الأيام الأولى للحرب مقارنةً بعمليات التأثير الإلكتروني المشتركة في وقت لاحق من الصراع. في غضون أيام من هجوم حماس على إسرائيل، أطلق ممثل حكومي إيراني محتمل نتتبعه باسم Storm-1364، عملية تأثير باستخدام شخصية على الإنترنت تسمى "Tears of War"، التي انتحلت شخصية نشطاء إسرائيليين لنشر رسائل مناهضة لنتنياهو إلى الجماهير الإسرائيلية في جميع أنحاء العالم عبر العديد من وسائل التواصل الاجتماعي ومنصات الرسائل. إن السرعة التي أطلق بها Storm-1364 هذه الحملة بعد هجمات 7 أكتوبر تسلط الضوء على مرونة هذه المجموعة وتشير إلى مزايا حملات التأثير فقط، التي قد تكون أسرع في التشكيل لأنها لا تحتاج إلى انتظار النشاط الإلكتروني لعملية تأثير إلكتروني.

المرحلة الثانية: تضافر الجهود

بدءًا من منتصف إلى أواخر أكتوبر، حول عدد متزايد من المجموعات الإيرانية تركيزها نحو إسرائيل، وانتقلت عمليات التأثير الإلكتروني الإيرانية من كونها إلى حد كبير رد فعل أو ملفقة أو كليهما، لتشمل هجمات إلكترونية مدمرة ووضع أهداف ذات أهمية للعمليات. تضمنت هذه الهجمات حذف البيانات، وبرامج الفدية الضارة، وضبط جهاز إنترنت الأشياء (IoT) على ما يبدو.6 وشهدنا أيضًا أدلة على زيادة التنسيق بين المجموعات الإيرانية.

في الأسبوع الأول من الحرب، قامت شركة Microsoft Threat Intelligence بتتبع تسع مجموعات إيرانية تنشط في استهداف إسرائيل؛ ارتفع هذا العدد إلى 14 مجموعة بحلول يوم 15. في بعض الحالات، لاحظنا أيضًا العديد من المجموعات التابعة للحرس الثوري الإسلامي أو وزارة الاستخبارات والأمن الوطني الإيرانية التي تستهدف نفس المنظمة أو القاعدة العسكرية باستخدام نشاط تأثير أو إلكتروني، مما يشير إلى التنسيق ومجموعة الأهداف المشتركة في طهران أو كليهما.

كما زادت أيضًا عمليات التأثير الإلكتروني. لقد رصدنا أربع عمليات تأثير إلكتروني تم تنفيذها بصورة متسرعة واستهدفت إسرائيل في الأسبوع الأول من الحرب. وبنهاية شهر أكتوبر، تضاعف عدد هذه العمليات، مما يمثل تسارعًا كبيرًا في هذه العمليات بأسرع وتيرة حتى الآن (راجع الشكل 4).

الرسم التوضيحي: الصلة الإلكترونية والتأثير، التي تضم الرموز، والتحليل الذكي للمخاطر، وفيلق الحرس الثوري
المخطط الزمني لعمليات التأثير الإلكتروني الإيرانية: التغير المفاجئ خلال حرب حماس، 2021-2023

في 18 أكتوبر، استخدمت مجموعة Shahid Kaveh التابعة للحرس الثوري الإسلامي، التي تتبعها Microsoft تحت اسم Storm-0784، برامج الفدية الضارة المخصصة لشن هجمات إلكترونية على الكاميرات الأمنية في إسرائيل. ثم استخدمت أحد شخصياتها الإلكترونية، "Soldiers of Solomon"، للادعاء كذبًا بأنها أرسلت برامج فدية ضارة إلى الكاميرات الأمنية والبيانات في قاعدة القوات الجوية Nevatim. ويكشف فحص اللقطات الأمنية التي سربتها شخصية Soldiers of Solomon أنها من بلدة شمال تل أبيب بها شارع Nevatim، وليس القاعدة الجوية التي تحمل الاسم نفسه. في الواقع، يكشف تحليل مواقع الضحايا أنه لم يكن أي منهم بالقرب من القاعدة العسكرية (راجع الرسم التوضيحي 5). بينما بدأت المجموعات الإيرانية هجمات مدمرة، ظلت العمليات انتهازية إلى حد كبير وواصلت الاستفادة من نشاط التأثير للمبالغة في دقة الهجمات أو تأثيرها.

في 21 أكتوبر، شاركت شخصية إلكترونية أخرى يديرها الحرس الثوري الإسلامي تُدعى "Cotton Sandstorm" (المعروفة باسم "Emennet Pasargad") مقطع فيديو للمهاجمين وهم يشوهون شاشات العرض الرقمية في المعابد اليهودية برسائل تشير إلى عمليات إسرائيل في غزة باعتبارها "إبادة جماعية". 7 يمثل هذا طريقة لدمج الرسائل مباشرةً في الهجمات الإلكترونية ضد هدف سهل نسبيًا.

خلال هذه المرحلة، استخدم نشاط التأثير الإيراني أشكالًا أكثر شمولاً وتعقيدًا من التضخيم الزائف. في أول أسبوعين من الحرب، اكتشفنا الحد الأدنى من الأشكال المتقدمة من التضخيم الزائف، مما يشير مرة أخرى إلى أن العمليات كانت رد فعل. وعندما حل الأسبوع الثالث من الحرب، تدخل الممثل الإيراني الأكثر تأثيرًا، Cotton Sandstorm، في المشهد من خلال شن ثلاث عمليات تأثير إلكتروني في 21 أكتوبر. وكما نرى في كثير من الأحيان من المجموعة، فقد استخدموا شبكة من حسابات دمية الجورب على وسائل التواصل الاجتماعي لتضخيم العمليات، على الرغم من أنه تم إعادة توجيه العديد منها على عجل دون غطاء حقيقي يخفيهم كإسرائيليين. في مناسبات متعددة، أرسلت مجموعة Cotton Sandstorm رسائل نصية أو رسائل بريد إلكتروني بكميات كبيرة لتضخيم عملياتها أو التفاخر بها، والاستفادة من الحسابات المخترقة لتعزيز المصداقية.8

فضح مزاعم الهجوم الإلكتروني الإيراني: تم الكشف عن برامج الفدية الضارة الكاذبة ولقطات كاميرات المراقبة وعمليات التأثير المضللة

المرحلة 3: توسيع النطاق الجغرافي

ابتداءً من أواخر نوفمبر، وسعت المجموعات الإيرانية تأثيرها الإلكتروني إلى ما هو أبعد من إسرائيل، ليشمل الدول التي ترى إيران أنها تساعد إسرائيل، ومن المرجح أن يؤدي ذلك إلى تقويض الدعم السياسي أو العسكري أو الاقتصادي الدولي للعمليات العسكرية الإسرائيلية. يتماشى هذا التوسع في الاستهداف مع بداية الهجمات على السفن الدولية المرتبطة بإسرائيل من جانب الحوثيين، وهي جماعة شيعية مسلحة مدعومة من إيران في اليمن (راجع الرسم التوضيحي 8).9

  • في 20 نوفمبر، حذرت «Homeland Justice»، الشخصية الإلكترونية التي تديرها إيران، من هجمات كبيرة وشيكة على ألبانيا قبل تضخيم الهجمات الإلكترونية المدمرة التي شنتها المجموعات التابعة لوزارة الاستخبارات والأمن الوطني الإيرانية في أواخر ديسمبر ضد البرلمان الألباني، وشركات الطيران الوطنية، ومقدمي خدمات الاتصالات.10
  • في 21 نوفمبر، استهدفت الشخصية الإلكترونية "Al-Toufan» التي تديرها مجموعة «Cotton Sandstorm» الحكومة البحرينية والمؤسسات المالية بسبب تطبيع العلاقات مع إسرائيل.
  • وفي 22 نوفمبر، بدأت المجموعات التابعة للحرس الثوري الإسلامي في استهداف وحدات التحكم المنطقية القابلة للبرمجة إسرائيلية الصنع في الولايات المتحدة، وربما في أيرلندا، بما في ذلك إيقاف تشغيل إحدى هذه الوحدات في هيئة المياه في ولاية بنسلفانيا في 25 نوفمبر (الرسم التوضيحي 6).11 تعد وحدات التحكم المنطقية القابلة للبرمجة أجهزة كمبيوتر صناعية تم تكييفها للتحكم في عمليات التصنيع، مثل خطوط التجميع والماكينات والأجهزة الروبوتية.
  • في أوائل ديسمبر، زعمت الشخصية التي قامت MTAC بتقييمها أنها "طوفان الأقصى الإلكتروني" التي ترعاها إيران، أنها قامت بتسريب بيانات من شركتين أمريكيتين لدعم إسرائيل ماليًا وتوفير المعدات لجيشها.12 وقد زعموا سابقًا بشن هجمات لحذف البيانات ضد الشركات في 16 نوفمبر.13 نظرًا لعدم وجود أدلة جنائية قوية تربط المجموعة بإيران، فمن الممكن أن تخضع الشخصية لإدارة شريك إيراني خارج البلاد مع وجود تدخل إيراني.
وحدات البرمجة القابلة للبرمجة المشوهة في هيئة المياه في بنسلفانيا مع شعار Cyber Avengers، 25 نوفمبر

كما استمرت عمليات التأثير الإلكتروني الإيرانية في النمو من حيث التعقيد في هذه المرحلة الأخيرة. ومن الأفضل لهم إخفاء حسابات دمية الجورب الخاصة بهم من خلال إعادة تسمية بعضها وتغيير صور ملفاتهم الشخصية لتبدو إسرائيلية أكثر واقعية. وفي الوقت نفسه، استخدموا تقنيات جديدة لم نرها من الممثلين الإيرانيين، بما في ذلك استخدام الذكاء الاصطناعي بوصفه عنصرًا رئيسيًا في رسائلهم. نقيِّم تعطيل خدمات البث التلفزيوني لـCotton Sandstorm في دولة الإمارات العربية المتحدة وأماكن أخرى في ديسمبر تحت ستار شخصية تسمى "For Humanity". نشرت شخصية For Humanity مقاطع فيديو على Telegram تظهر المجموعة وهي تخترق ثلاث خدمات بث عبر الإنترنت وتعطل العديد من القنوات الإخبارية من خلال بث أخبار زائفة يظهر فيها مذيع تم إنشاؤه بواسطة الذكاء الاصطناعي على ما يبدو ويدعي أنه يعرض صورًا لفلسطينيين أصيبوا وقتلوا بسبب العمليات العسكرية الإسرائيلية (الرسم التوضيحي 7).14 أبلغت وكالة إخبارية ومشاهدون في الإمارات العربية المتحدة وكندا والمملكة المتحدة عن اضطرابات في بث البرامج التلفزيونية، بما في ذلك هيئة الإذاعة البريطانية (BBC)، التي تطابقت مع ادعاءات مجموعة "For Humanity".15

HUMANITY 2023: 8 أكتوبر، 180 قتيلًا، 347 جريحًا. الرسم التوضيحي 7: تعطيل البث التلفزيوني باستخدام المذيع الذي تم إنشاؤه بواسطة الذكاء الاصطناعي
توسع إيران نطاق استهدافها ليشمل المؤيدين الإسرائيليين، والهجمات الإلكترونية والتحذيرات، وأنشطة التشويه.

عملت العمليات الإيرانية نحو تحقيق أربعة أهداف واسعة: زعزعة الاستقرار، والانتقام، والترهيب، وتقويض الدعم الدولي لإسرائيل. تسعى جميع هذه الأهداف الأربعة أيضًا إلى تقويض بيئات المعلومات الخاصة بإسرائيل ومؤيديها لإيجاد حالة من الارتباك العام وانعدام الثقة.

زعزعة الاستقرار من خلال الاستقطاب 
لقد انصب تركيز استهداف إيران لإسرائيل خلال الحرب بين إسرائيل وحماس بشكل متزايد على إثارة الصراع الداخلي حول نهج الحكومة الإسرائيلية في التعامل مع الحرب. وقد تنكرت العديد من عمليات التأثير الإيرانية في شكل مجموعات ناشطة إسرائيلية لزرع رسائل تحريضية تنتقد نهج الحكومة تجاه أولئك الذين اختطفوا واحتجزوا كرهائن في 7 أكتوبر.17 وكان نتنياهو هدفًا رئيسيًا لهذه الرسائل وكانت الدعوات لإقالته موضوعًا شائعًا في عمليات التأثير الإيرانية.18
AVENGERS - لا توجد كهرباء، طعام، ماء، وقود. أعاد Cyber Avengers نشر مقطع فيديو عن الحصار الإسرائيلي
الانتقام 
تؤكد الكثير من رسائل إيران واختيارها للأهداف على الطبيعة الانتقامية لعملياتها. على سبيل المثال، أصدرت الشخصية المسماة Cyber Avengers مقطع فيديو يظهر وزير الدفاع الإسرائيلي وهو يعلن أن إسرائيل ستقطع الكهرباء والغذاء والماء والوقود عن مدينة غزة (راجع الرسم التوضيحي 9)، تلته سلسلة من هجمات Cyber Avengers المزعومة التي استهدفت البنية التحتية للكهرباء والمياه والوقود في إسرائيل.19 إن ادعاءاتهم السابقة عن الهجمات على شبكات المياه الوطنية الإسرائيلية قبل أيام تضمنت رسالة "العين بالعين"، وذكرت وكالة تسنيم الدولية للأنباء التابعة للحرس الثوري الإسلامي لأن الجماعة قالت إن الهجمات على شبكات المياه كانت انتقامًا للحصار المفروض على غزة.20 شنت مجموعة مرتبطة بوزارة الاستخبارات والأمن الوطني الإيرانية نتتبعها باسم Pink Sandstorm (المعروف أيضًا باسم. Agrius) هجومًا وقامت بتسريب معلومات ضد مستشفى إسرائيلي في أواخر نوفمبر بدا أنه انتقام من الحصار الذي فرضته إسرائيل لمدة أيام على مستشفى الشفاء في غزة قبل أسبوعين.21
الترهيب 
تؤدي عمليات إيران أيضًا إلى تقويض الأمن الإسرائيلي وترهيب مواطني إسرائيل ومؤيديها من خلال تقديم رسائل تهديد وإقناع الجماهير المستهدفة بأن البنية التحتية لدولتهم والأنظمة الحكومية غير آمنة. يبدو أن بعض الترهيب الإيراني يهدف إلى تقويض رغبة إسرائيل في مواصلة الحرب، مثل الرسائل التي تحاول إقناع جنود الجيش الإسرائيلي بأنه يجب عليهم "ترك الحرب والعودة إلى ديارهم" (الرسم التوضيحي 10).22 ادعى أحد الأشخاص الإلكترونيين الإيرانيين، الذي قد يتنكر في هيئة حماس، أنه أرسل رسائل نصية تهديدية إلى عائلات الجنود الإسرائيليين، مضيفًا: "يجب على جنود جيش الدفاع الإسرائيلي أن يدركوا أنه طالما لم تصبح عائلاتنا آمنة، فإن عائلاتهم لن تكون آمنة كذلك". لن يكون كذلك."23حسابات دمية الجورب التي تضخم شخصية تابعة لحماس نشرت رسائل على منصة X مفادها أن جيش الدفاع الإسرائيلي "ليس لديه أي سلطة لحماية جنوده" ووجهت المشاهدين إلى سلسلة من الرسائل التي يُزعم أنها مرسلة من جنود جيش الدفاع الإسرائيلي تطلب من حماس إنقاذ عائلاتهم.24
رسالة تهديد من حساب دمية جورب مزعومة تديره مجموعة Cotton Sandstorm، تشير إلى إمكانية الوصول إلى البيانات الشخصية وتشجع على ترك الحرب.
تقويض الدعم الدولي لإسرائيل 
غالبًا ما تضمنت عمليات التأثير الإيرانية التي تستهدف الجماهير الدولية رسائل تسعى إلى إضعاف الدعم الدولي لإسرائيل من خلال تسليط الضوء على الأضرار التي سببتها الهجمات الإسرائيلية على غزة. أشارت شخصية تتنكر في هيئة مجموعة مؤيدة للفلسطينيين إلى تصرفات إسرائيل في غزة بأنها "إبادة جماعية"25 في ديسمبر، أدارت مجموعة Cotton Sandstorm عمليات نفوذ متعددة – تحت اسمي "For Palestinians" و"For Humanity" – التي دعت المجتمع الدولي إلى إدانة الهجمات الإسرائيلية على غزة.26

اعتمدت إيران، من أجل تحقيق أهدافها في مجال المعلومات، بشكل كبير على أربعة تكتيكات وتقنيات وإجراءات التأثير (TTPs) على مدى الأشهر التسعة الماضية. تشتمل على استخدام انتحال الشخصية وتعزيز القدرات لتنشيط الجماهير المستهدفة، إلى جانب الاستخدام المتزايد لحملات الرسائل النصية واستخدام الوسائط المرتبطة بالحرس الثوري الإسلامي لتضخيم عمليات التأثير.

انتحال صفة جماعات الناشطين الإسرائيليين والشركاء الإيرانيين 
استندت الجماعات الإيرانية إلى أسلوب طويل الأمد لانتحال الشخصية من خلال تطوير شخصيات أكثر تحديدًا وإقناعًا تتنكر كأصدقاء لإيران وأعداء لها. يُزعم أن العديد من العمليات والشخصيات الإيرانية السابقة كانت ناشطة لصالح القضية الفلسطينية.27 وقد ذهبت العمليات الأخيرة التي قام بها شخص نقيّمه بواسطة Cotton Sandstorm إلى أبعد من ذلك، حيث استخدمت اسم وشعار الجناح العسكري لحماس، كتائب القسام، لنشر رسائل كاذبة حول الرهائن المحتجزين في غزة وإرسال رسائل تهديد للإسرائيليين. هددت قناة أخرى على تطبيق Telegram أفراد الجيش الإسرائيلي وسربت بياناتهم الشخصية، التي نقدِّر أنها كانت تديرها مجموعة تابعة لوزارة المخابرات والأمن الداخلي، واستخدمت أيضًا شعار كتائب القسام. ومن غير الواضح ما إذا كانت إيران تتحرك بموافقة حماس.

وعلى نحو مماثل، أنشأت إيران تقليدًا مقنعًا بشكل متزايد لمنظمات ناشطة إسرائيلية وهمية على يمين الطيف السياسي الإسرائيلي ويساره. وتسعى إيران من خلال هؤلاء النشطاء المزيفين إلى التسلل إلى المجتمعات الإسرائيلية لكسب ثقتهم وزرع الفتنة.

تحفيز الإسرائيليين لاتخاذ إجراء 
في أبريل ونوفمبر، أظهرت إيران نجاحًا متكررًا في تجنيد إسرائيليين دون قصد للانخراط في أنشطة ميدانية للترويج لعملياتها الكاذبة. وفي إحدى العمليات الأخيرة، أفادت التقارير أن العملاء الإيرانيين "Tears of War" نجحوا في إقناع الإسرائيليين بتعليق لافتات تحمل علامة "Tears of War" في الأحياء الإسرائيلية التي تحمل صورة نتنياهو التي تم إنشاؤها على ما يبدو باستخدام الذكاء الاصطناعي، وتدعو إلى عزله من منصبه (راجع الرسم التوضيحي 11).28
التضخيم من خلال النص والبريد الإلكتروني مع زيادة التكرار والتعقيد 
في حين أن عمليات التأثير الإيرانية لا تزال تعتمد بشكل كبير على تضخيم وسائل التواصل الاجتماعي غير الحقيقية والمنسقة للوصول إلى الجماهير المستهدفة، فقد استفادت إيران بشكل متزايد من الرسائل النصية الجماعية ورسائل البريد الإلكتروني لتعزيز الآثار النفسية لعمليات التأثير الإلكترونية. إن التضخيم على وسائل التواصل الاجتماعي باستخدام حسابات دمية الجورب ليس له نفس تأثير الرسالة التي تظهر في البريد الوارد لشخص ما، ناهيك عن هاتفه. اعتمدت Cotton Sandstorm على النجاحات السابقة باستخدام هذه التقنية بدءًا من عام 2022،29 حيث أرسلت رسائل نصية أو رسائل بريد إلكتروني أو كليهما معًا بشكل جماعي في ست عمليات على الأقل منذ أغسطس. ويشير استخدامهم المتزايد لهذه التقنية إلى أن المجموعة قد عززت من قدراتها وتعتبرها فعالة. وتضمنت عملية "Cyber Flood" التي نفذتها Cotton Sandstorm في أواخر أكتوبر ما يصل إلى ثلاث مجموعات من الرسائل النصية ورسائل البريد الإلكتروني المجمعة إلى الإسرائيليين لتضخيم الهجمات الإلكترونية المزعومة أو توزيع تحذيرات كاذبة من هجمات حماس على المنشأة النووية الإسرائيلية بالقرب من ديمونا.30 وفي حالة واحدة على الأقل، استفادوا من حساب مخترق لتعزيز صحة رسائل البريد الإلكتروني الخاصة بها.
الرسم التوضيحي 11: لافتة Tears of War في إسرائيل تحمل صورة نتنياهو تم إنشاؤها عبر الذكاء الاصطناعي، تنص على "العزل الآن".
الاستفادة من وسائل الإعلام الحكومية 
استخدمت إيران وسائل الإعلام العلنية والسرية المرتبطة بالحرس الثوري الإسلامي لتضخيم العمليات الإلكترونية المزعومة وفي بعض الأحيان المبالغة في آثارها. في سبتمبر، بعد أن زعمت مجموعة Cyber Avengers وقوع هجمات إلكترونية ضد نظام السكك الحديدية الإسرائيلي، قامت وسائل الإعلام المرتبطة بالحرس الثوري الإسلامي على الفور تقريبًا بتضخيم مزاعمها والمبالغة فيها. اقتبست وكالة تسنيم الدولية للأنباء المرتبطة بالحرس الثوري الإسلامي بشكل غير صحيح من التغطية الإخبارية الإسرائيلية لحدث مختلف باعتباره دليلًا على وقوع الهجوم الإلكتروني.31 وتم تضخيم هذه التقارير بشكل أكبر من جانب وكالات إيرانية أخرى ومتحالفة مع إيران بطريقة أدت إلى حجب عدم وجود أدلة تدعم مزاعم الهجوم الإلكتروني.32
اعتماد الذكاء الاصطناعي الناشئ لعمليات التأثير 
لاحظت MTAC أن الممثلين الإيرانيين يستخدمون صور ومقاطع فيديو تم إنشاؤها عبر الذكاء الاصطناعي منذ اندلاع الحرب بين إسرائيل وحماس. استفاد كل من Cotton Sandstorm وStorm-1364، وكذلك الوكالات الإخبارية التابعة لحماس وحزب الله، من الذكاء الاصطناعي لتعزيز الترهيب وإنشاء صور تشوه سمعة نتنياهو والقيادة الإسرائيلية.
الرسم التوضيحي 12: عمليات التأثير التي أطلقتها Cotton Sandstorm في الفترة من أغسطس إلى ديسمبر 2023، التي تصور الأساليب والأنشطة المختلفة.
1. التعاون المتزايد 
وبعد أسابيع من الحرب بين إسرائيل وحماس، بدأنا نرى أمثلة على التعاون بين الجماعات التابعة لإيران، مما يعزز ما يمكن أن يحققه الممثلون. يؤدي التعاون إلى تقليل حاجز الدخول، مما يتيح لكل مجموعة الإسهام بالقدرات الحالية ويلغي الحاجة إلى مجموعة واحدة لإنشاء مجموعة كاملة من الأدوات أو الحرف اليدوية.

ونقيِّم تعاون مجموعتين مرتبطتين بوزارة الاستخبارات والأمن الوطني، وهما Storm-0861 وStorm-0842، في هجوم إلكتروني مدمر في إسرائيل في أواخر أكتوبر ومرة أخرى في ألبانيا في أواخر ديسمبر. في كلتا الحالتين، من المحتمل أن يكون Storm-0861 قد وفر الوصول إلى الشبكة قبل قيام Storm-0842 بتنفيذ برامج المسح الضارة. وبالمثل، نفذ Storm-0842 برنامجًا ضارًا لمسح البيانات في الكيانات الحكومية الألبانية في يوليو 2022 بعد أن تمكن Storm-0861 من الوصول.

في أكتوبر، ربما تمكنت مجموعة أخرى مرتبطة بوزارة الاستخبارات والأمن الوطني، وهي Storm-1084، من الوصول إلى منظمة في إسرائيل حيث نشر Storm-0842 برنامج مسح "BiBi"، الذي سمي على اسم إعادة تسمية البرنامج الضار للملفات المحذوفة باستخدام السلسلة "BiBi". ليس من الواضح الدور الذي لعبه Storm-1084، إن وجد، في الهجوم المدمر. نفذت Storm-1084 هجمات إلكترونية مدمرة ضد منظمة إسرائيلية أخرى في أوائل عام 2023، تم تمكينها من جانب مجموعة أخرى مرتبطة بوزارة الاستخبارات والأمن الوطني Mango Sandstorm (المعروفة أيضًا باسم MuddyWater).33

منذ اندلاع الحرب، اكتشف التحليل الذكي للمخاطر من Microsoft أيضًا تعاونًا بين مجموعة مرتبطة بوزارة الاستخبارات والأمن الوطني، Pink Sandstorm، ووحدات إلكترونية تابعة لحزب الله. لاحظت Microsoft تداخلات في البنية التحتية والأدوات المشتركة. إن التعاون الإيراني مع حزب الله في العمليات الإلكترونية، على الرغم من أنه ليس غير مسبوق، يشكل تطورًا مثيرًا للقلق، حيث أن الحرب قد تقرب هذه المجموعات عبر الحدود الوطنية من بعضها البعض من الناحية العملياتية.34 وبما أن الهجمات الإلكترونية التي شنتها إيران في هذه الحرب قد اقترنت جميعها بعمليات التأثير، فهناك احتمال إضافي أن تعمل إيران على تحسين عمليات التأثير الخاصة بها ومدى وصولها من خلال الاستفادة من الناطقين باللغة العربية لتعزيز صحة شخصياتها الزائفة.

2. التركيز المفرط على إسرائيل 
تزايد تركيز الممثلين الإلكترونيين الإيرانيين على إسرائيل. تركز إيران منذ فترة طويلة على إسرائيل، التي تعتبرها طهران خصمها الرئيسي إلى جانب الولايات المتحدة. وبناءً على ذلك، واستنادًا إلى بيانات التحليل الذكي للمخاطر من Microsoft، في السنوات القليلة الماضية، كانت المؤسسات الإسرائيلية والأمريكية دائمًا تقريبًا الأهداف الأكثر شيوعًا لإيران. في الفترة التي سبقت الحرب، ركز الممثلون الإيرانيون بشكل أكبر على إسرائيل، تليها الإمارات العربية المتحدة والولايات المتحدة. وبعد اندلاع الحرب، ارتفع التركيز على إسرائيل. استهدف 43% من النشاط الإلكتروني لدولة إيران الذي تم تتبعه في شركة Microsoft إسرائيل، أي أكثر من الدول الـ 14 التالية المستهدفة مجتمعة.
النسبة المئوية لشكل التصنيف التفصيلي لبيانات التحليل الذكي للمخاطر لـ Mogult حسب الدولة والاستهداف الإيراني قبل الحرب وبعد 75 يومًا من الحرب

ونتوقع أن يتزايد التهديد من العمليات الإلكترونية وعمليات التأثير الإيرانية مع استمرار الصراع بين إسرائيل وحماس، لا سيما وسط احتمال تفاقم التصعيد على جبهات إضافية. وبينما سارعت الجماعات الإيرانية إلى إجراء عمليات، أو ببساطة اختلاقها، في الأيام الأولى من الحرب، أبطأت الجماعات الإيرانية عملياتها الأخيرة مما أتاح لها المزيد من الوقت للوصول المطلوب أو تطوير عمليات تأثير أكثر تفصيلًا. ما يتجلى واضحًا من مراحل الحرب المبينة في هذا التقرير هو أن العمليات الإلكترونية وعمليات التأثير الإيرانية قد تقدمت ببطء، وأصبحت أكثر استهدافًا وتعاونًا وتدميرًا.

كما ازدادت جرأة الممثلين الإيرانيين في استهدافها، ولا سيما في الهجوم الإلكتروني على أحد المستشفيات واختبار الخطوط الحمراء التي وضعتها واشنطن والتي تبدو غير مبالية للتداعيات. إن هجمات الحرس الثوري الإسلامي على أنظمة التحكم في المياه الأمريكية، رغم كونها انتهازية، كانت على ما يبدو حيلة ذكية لاختبار واشنطن من خلال ادعاء الشرعية في مهاجمة المعدات المصنوعة في إسرائيل.

قبل الانتخابات الأمريكية في نوفمبر 2024، ينذر التعاون المتزايد بين الجماعات الإيرانية والجماعات التابعة لها بتحدي أكبر لأولئك الذين يشاركون في الدفاع عن الانتخابات. ولم يعد بإمكان المدافعين أن يجدوا العزاء في تتبع مجموعات قليلة. وبدلًا من ذلك، فإن العدد المتزايد من وكلاء الوصول، ومجموعات التأثير، والممثلين الإلكترونيين ينشئ بيئة تهديد أكثر تعقيدًا وتشابكًا.

مزيد من رؤى الخبراء بشأن عمليات التأثير الإيرانية

استمع إلى المزيد من الخبراء حول عمليات التأثير الإلكترونية التي تقوم بها إيران، مع التركيز على تصرفات إيران المتعلقة بالانتخابات الرئاسية الأمريكية لعام 2020 والحرب بين إسرائيل وحماس من بودكاست التحليل الذكي للمخاطر من Microsoft. تتناول المناقشة الأساليب التي يستخدمها الممثلون الإيرانيون، مثل انتحال الشخصية، وتجنيد السكان المحليين، والاستفادة من البريد الإلكتروني والرسائل النصية للتضخيم. كما أنها تسلط الضوء على تعقيدات الأنشطة الإلكترونية الإيرانية، وجهودها التعاونية، واستهلاك الدعاية، والأساليب الإبداعية، والتحديات في إسناد عمليات التأثير.

المقالات ذات الصلة

الجهات الفاعلة الروسية في مجال الخطر تحفر وتستعد للاستفادة من إرهاق الحرب 

تستمر العمليات عبر الإنترنت وعمليات التأثير الروسية مع استمرار الحرب في أوكرانيا. يعرض التحليل الذكي للمخاطر من Microsoft تفاصيل أحدث المخاطر عبر الإنترنت وأنشطة التأثير على مدار الأشهر الستة الماضية.

تتحول إيران إلى عمليات التأثير عبر الإنترنت لتحقيق تأثير أكبر

كشفت شركة التحليل الذكي للمخاطر من Microsoft عن عمليات نفوذ متزايدة عبر الإنترنت انطلاقًا من إيران. احصل على رؤى حول التهديدات مع تفاصيل التقنيات الجديدة ومكان وجود التهديدات المستقبلية المحتملة.

العمليات الإلكترونية وعمليات التأثير في الحرب في ساحة المعركة الرقمية في أوكرانيا

تتناول الاستخبارات المتعلقة بالأخطار من Microsoft عاماً من العمليات الإلكترونية وعمليات التأثير في أوكرانيا، وتكشف عن اتجاهات جديدة في التهديدات الإلكترونية وما يمكن توقعه مع دخول الحرب عامها الثاني.