Trace Id is missing
Преминаване към основното съдържание
Security Insider

Иран увеличава операциите за влияние с помощта на киберпространството в подкрепа на Хамас

Въведение

Когато войната между Израел и Хамас избухна на 7 октомври 2023 г., Иран незабавно подкрепи Хамас с вече добре усъвършенстваната си техника за комбиниране на целенасочени хакерски атаки с операции за оказване на влияние, засилени в социалните медии – това, което наричаме операции за оказване на влияние с помощта на киберпространството.1 Първоначално операциите на Иран бяха реакционни и опортюнистични. До края на октомври почти всички ирански операции за влияние и основните действащи лица в киберпространството се съсредоточиха върху Израел по все по-целенасочен, координиран и разрушителен начин, което направи кампанията срещу Израел на пръв поглед безгранична и „с всички сили“. За разлика от някои от предишните кибератаки на Иран, всички негови разрушителни кибератаки срещу Израел в тази война – реални или измислени – бяха допълнени с операции за влияние онлайн.

Определяне на ключови термини

  • Операции за оказване на влияние с помощта на киберсредства 
    Операции, които съчетават офанзивни операции в компютърни мрежи с изпращане и усилване на съобщения по координиран и манипулативен начин, за да се променят възприятията, поведението или решенията на целевата аудитория в полза на интересите и целите на дадена група или държава.
  • Киберперсона 
    Изфабрикувана група или лице, което поема отговорност за кибероперация, като същевременно осигурява правдоподобно отричане на отговорната група или държава.
  • Марионетка 
    Фалшива онлайн личност, използваща измислени или откраднати самоличности с цел измама.

Операциите за оказване на влияние стават все по-усъвършенствани и неавтентични, като с напредването на войната се използват мрежи от „марионетки“ в социалните мрежи. По време на войната тези операции за оказване на влияние се стремяха да сплашат израелците, като същевременно критикуваха поведението на израелското правителство по отношение на заложниците и военните операции, за да поляризират и в крайна сметка да дестабилизират Израел.

В крайна сметка Иран насочи кибератаките и операциите си за оказване на влияние срещу политическите съюзници и икономическите партньори на Израел, за да подкопае подкрепата за военните операции на Израел.

Очакваме, че заплахата, която представляват кибероперациите и операциите за влияние на Иран, ще нараства с продължаването на конфликта, особено на фона на нарастващия потенциал за разширяване на войната. Нарастващата дързост на иранските и свързаните с Иран действащи лица, съчетана със засилващото се сътрудничество между тях, е сигнал за нарастваща заплаха преди изборите в САЩ през ноември.

Операциите на Иран в киберпространството и за оказване на влияние преминаха през няколко фази след терористичната атака на Хамас на 7 октомври. Един елемент от операциите им остава постоянен през цялото време: съчетаването на опортюнистични кибернетични цели с операции за оказване на влияние, които често заблуждават за точността или обхвата на въздействието.

Настоящият доклад се фокусира върху иранските операции за влияние и кибернетични операции за влияние от 7 октомври до края на 2023 г., като същевременно обхваща тенденции и операции от пролетта на 2023 г.

Диаграма, изобразяваща фазите на иранските операции за влияние с киберсредства във войната между Израел и Хамас

Фаза 1: Реактивни и подвеждащи

Иранските групировки бяха реактивни по време на началната фаза на войната между Израел и Хамас. Иранските държавни медии публикуваха подвеждащи подробности за заявените кибератаки, а иранските групи използваха отново остарели материали от исторически операции, използваха отново достъпа, който имаха преди войната, и преувеличиха цялостния обхват и въздействие на заявените кибератаки.

Почти четири месеца след началото на войната Microsoft все още не е видяла ясни доказателства от нашите данни, които да сочат, че ирански групи са координирали своите кибероперации или операции за влияние с плановете на Хамас да атакува Израел на 7 октомври. По-скоро преобладаващата част от нашите данни и констатации сочат, че иранските кибергрупировки са били реактивни, като бързо са увеличили своите кибероперации и операции за влияние след атаките на Хамас, за да противодействат на Израел.

Заблуждаващи подробности за заявените атаки чрез държавните медии: 
В деня на избухването на войната иранската информационна агенция Tasnim, свързана с Корпуса на гвардейците на ислямската революция (КГИР), невярно твърди, че група, наречена „Cyber Avengers“, е извършила кибератаки срещу израелска електроцентрала „по същото време“ като атаките на Хамас. 2 Cyber Avengers, киберперсона, управлявана от IRGC, всъщност твърди, че е извършил кибератака срещу израелска електрическа компания вечерта преди нахлуването на Хамас.3 Доказателствата им: седмични съобщения в пресата за прекъсвания на електрозахранването „през последните години“ и екранна снимка на недатирано прекъсване на услугата на уебсайта на компанията. 4
Повторна употреба на стари материали: 
След нападенията на Хамас срещу Израел Cyber Avengers заяви, че ще извърши поредица от кибератаки срещу Израел, най-ранната от които нашето разследване разкри като фалшива. На 8 октомври те твърдяха, че са изтекли документи за израелска електроцентрала, въпреки че документите са били публикувани преди това през юни 2022 г. от друга киберперсона, управлявана от IRGC, „Moses Staff“.5
Повторно използване на достъпа: 
Друга киберперсона „Malek Team“, която по наша оценка се управлява от Министерството на разузнаването и сигурността (МРС) на Иран, изнася лични данни от израелски университет на 8 октомври без ясна връзка в насочването към разрастващия се конфликт там, което предполага, че целта е опортюнистична и може би е избрана въз основа на вече съществуващ достъп преди избухването на войната. Вместо да направи връзка между изтеклите данни и подкрепата за операциите на Хамас, Malek Team първоначално използва хаштагове в X (бившият Twitter), за да подкрепи Хамас, и само няколко дни по-късно променя съобщенията, за да ги приведе в съответствие с вида съобщения, очернящи израелския министър-председател Бенямин Нетаняху, наблюдавани в други ирански операции за влияние.
Потребление на иранска пропаганда в световен мащаб, илюстрирано с графика на времето и дела на трафика
Фигура 2: Набор от ресурси на Microsoft срещу заплахи – потребление на иранска пропаганда по държави, атаки на Хамас срещу Израел. Графика, показваща активността от април до декември 2023 г.
Операциите на Иран за оказване на влияние са най-ефективни в първите дни на войната 
Обхватът на свързаните с иранската държава медии рязко нарасна след началото на войната между Израел и Хамас. През първата седмица на конфликта наблюдавахме 42% увеличение на иранския пропаганден индекс на лабораторията Microsoft AI for Good, който следи потреблението на новини от ирански държавни и свързани с държавата новинарски медии (вж. фигура 1). Индексът измерва дела на трафика, посещаващ тези сайтове, спрямо общия трафик в интернет. Този скок е особено изразен в англоезичните държави, които са близки съюзници на САЩ (фигура 2), което подчертава способността на Иран да достига до западната аудитория с репортажите си за конфликтите в Близкия изток. Месец след началото на войната обхватът на тези ирански източници остава с 28-29 % над нивата отпреди войната в световен мащаб.
Влиянието на Иран без кибератаки показва ловкост 
Операциите на Иран за оказване на влияние изглеждат по-гъвкави и ефективни в първите дни на войната в сравнение с комбинираните операции за кибервлияние по-късно в хода на конфликта. В рамките на няколко дни след нападението на Хамас срещу Израел вероятен иранско държавно действащо лице, което проследяваме като Storm-1364, започна операция за влияние, използвайки онлайн персона, наречена „Сълзите на войната“, която се представяше за израелски активисти, за да разпространи послания срещу Нетаняху сред израелската аудитория в множество социални медии и платформи за съобщения. Бързината, с която Storm-1364 стартира тази кампания след атаките от 7 октомври, подчертава ловкостта на тази група и посочва предимствата на кампаниите за влияние, които може да се формират по-бързо, тъй като не е необходимо да се изчаква киберактивността на операция за влияние с кибернетична подкрепа.

Фаза 2: С всички сили

От средата до края на октомври все по-голям брой ирански групировки пренасочиха вниманието си към Израел, а иранските операции за оказване на влияние с помощта на киберпространството преминаха от до голяма степен реактивни, изфабрикувани или и двете, към включване на разрушителни кибератаки и разработване на обекти на интерес за операции. Тези атаки включваха изтриване на данни, софтуер за откуп и очевидно коригиране на устройство от интернет на нещата (IoT).6 Видяхме и доказателства за засилена координация между иранските групировки.

През първата седмица на войната Наборът от ресурси на Microsoft срещу заплахи проследи девет ирански групи, които активно атакуваха Израел; до 15-ия ден броят им нарасна на 14 групи. В някои случаи наблюдавахме множество групи на IRGC или MOIS, насочени към една и съща организация или военна база с кибернетична дейност или дейност за оказване на влияние, което предполага координация, общи цели, определени в Техеран, или и двете.

Операциите за оказване на влияние с помощта на киберпространството също нараснаха. През първата седмица на войната наблюдавахме четири набързо осъществени кибероперации за влияние, насочени към Израел. До края на октомври броят на тези операции се увеличи повече от два пъти, което бележи значително ускоряване на тези операции с най-бързия темп досега (вж. фигура 4).

Илюстрация: Връзката на Иран в областта на киберпространството и влиянието, включваща символи, разузнаване на заплахи и Революционната гвардия
Хронология на иранските операции за кибервлияние: Скок по време на войната с Хамас, 2021-2023 г.

На 18 октомври Shahid Kaveh Group на IRGC, която Microsoft проследява като Storm-0784, използва персонализиран рансъмуер, за да извърши кибератаки срещу охранителни камери в Израел. След това тя използва една от своите киберперсони, „Soldiers of Solomon“, за да твърди невярно, че е откупила камери за сигурност и данни във военновъздушната база Неватим. Прегледът на изтеклите записи от охранителни камери на „Soldiers of Solomon“ разкрива, че те са от градче северно от Тел Авив на улица „Неватим“, а не от едноименната военновъздушна база. Всъщност анализът на местоположението на жертвите разкрива, че нито една от тях не е била в близост до военната база (вж. фигура 5). Въпреки че иранските групировки са започнали разрушителни нападения, операциите им са останали до голяма степен опортюнистични и са продължили да използват дейности за оказване на влияние, за да преувеличат точността или ефекта от нападенията.

На 21 октомври друга киберперсона, ръководена от групата Cotton Sandstorm на IRGC (по-известна като Emennet Pasargad), сподели видеоклип, в който нападателите повреждат цифрови дисплеи в синагоги с послания, в които операциите на Израел в Газа се наричат „геноцид“. 7 Това бележи метод за вграждане на послания директно в кибератаки срещу сравнително мека цел.

През тази фаза дейността на Иран за оказване на влияние използва по-обширни и сложни форми на неавтентично усилване. През първите две седмици на войната открихме минимално количество напреднали форми на неавтентично усилване, което отново подсказва, че операциите са били реактивни. През третата седмица на войната на сцената се появи най-продуктивният ирански фактор за влияние – Cotton Sandstorm, който на 21 октомври стартира три операции за влияние с кибернетични средства. Както често виждаме от тази група, тя използва мрежа от марионетки в социалните медии, за да подсили операциите, макар че много от тях изглеждат набързо пренасочени без автентични покрития, прикриващи ги като израелци. В много случаи Cotton Sandstorm изпращаше масово текстови съобщения или имейли, за да подсили или да се похвали с операциите си, като използваше компрометирани акаунти за повишаване на автентичността.8

Твърденията на Иран за кибератаки са опровергани: Разкрити са фалшиви записи на откуп и записи от камери за видеонаблюдение, подвеждащи операции за оказване на влияние

Фаза 3: Разширяване на географския обхват

От края на ноември иранските групировки разшириха влиянието си с киберсредства отвъд Израел, за да включат държави, които Иран смята, че подпомагат Израел, като е много вероятно да подкопаят международната политическа, военна или икономическа подкрепа за военните операции на Израел. Това разширяване на обхвата на таргетирането съвпадна с началото на нападенията срещу международното корабоплаване, свързани с Израел, от страна на хутите, подкрепяна от Иран шиитска военна групировка в Йемен (вж. фигура 8).9

  • На 20 ноември ръководената от Иран киберперсона „Homeland Justice“ предупреди за предстоящи големи атаки срещу Албания, преди да засили разрушителните кибератаки на групите на MOIS в края на декември срещу албанския парламент, националната авиокомпания и доставчиците на телекомуникационни услуги.10
  • На 21 ноември киберперсоната „Al-Toufan“, управлявана от Cotton Sandstorm, беше насочена към правителствени и финансови организации в Бахрейн заради нормализирането на връзките с Израел.
  • До 22 ноември свързаните с IRGC групи започват да атакуват произведени в Израел програмируеми логически контролери (PLC) в САЩ и вероятно в Ирландия, включително извеждат от строя един от тях във водоснабдителна компания в Пенсилвания на 25 ноември (фигура 6).11 PLC са индустриални компютри, пригодени за управление на производствени процеси, като например монтажни линии, машини и роботизирани устройства.
  • В началото на декември персона която според оценката на MTAC е спонсорирана от Иран, „Cyber Toufan Al-Aksa“, твърди, че е изтекла информация от двойка американски компании за това, че подкрепят финансово Израел и предоставят оборудване за израелската армия.12 Преди това те заявиха, че са извършили атаки за изтриване на данни срещу компаниите на 16 ноември.13 Поради липсата на сериозни съдебни доказателства, които да свързват групата с Иран, е възможно персоната да се управлява от ирански партньор извън страната с иранско участие.
Повреден PLC във водоснабдителната служба на Пенсилвания с логото на Cyber Avengers, 25 ноември

Операциите на Иран за оказване на влияние с помощта на киберпространството продължиха да се усъвършенстват и през този последен етап. Те прикриха по-добре своите марионетки, като преименуваха някои от тях и промениха профилните им снимки, за да изглеждат по-автентично израелски. Същевременно те използваха нови техники, които не сме виждали от ирански действащи лица, включително използването на изкуствен интелект като ключов компонент на съобщенията си. Оценяваме, че през декември Cotton Sandstorm наруши услугите за стрийминг на телевизия в ОАЕ и на други места под прикритието на личност, наречена „For Humanity“. В Telegram „For Humanity“ публикува видеоклипове, показващи как групата хаква три онлайн стрийминг услуги и нарушава работата на няколко новинарски канала с фалшива новинарска емисия с водещ, очевидно генериран от изкуствен интелект, който твърди, че показва изображения на ранени и убити палестинци от израелски военни операции (фигура 7).14 Новинарски агенции и зрители в ОАЕ, Канада и Обединеното кралство съобщават за смущения в стрийминг на телевизионни програми, включително на Би Би Си, които съвпадат с твърденията на „For Humanity“.15

HUMANITY 2023: 8 октомври, 180 убити, 347 ранени. Фигура 7: Прекъсване на стрийминг телевизията с помощта на излъчвател, генериран от изкуствен интелект
Иран разширява обхвата на насочването към израелски поддръжници, кибератаки, предупреждения и дейности по опорочаване.

Операциите на Иран са насочени към четири широки цели: дестабилизация, отмъщение, сплашване и подкопаване на международната подкрепа за Израел. И четирите цели са насочени и към подкопаване на информационната среда на Израел и неговите поддръжници, за да се създаде общо объркване и липса на доверие.

Дестабилизиране чрез поляризиране 
Целите на Иран, насочени към Израел по време на войната между Израел и Хамас, все повече се фокусират върху подклаждането на вътрешен конфликт относно подхода на израелското правителство към войната. Многобройни ирански операции за оказване на влияние се маскираха като израелски активистки групи, за да подхвърлят подстрекателски послания, които критикуват подхода на правителството към отвлечените и взети за заложници на 7 октомври.17 Нетаняху е основна цел на подобни послания и призивите за неговото отстраняване са често срещана тема в иранските операции за оказване на влияние.18
AVENGERS - Няма електричество, храна, вода, гориво. Cyber Avengers препращат видеоклип Блокадата на Израел
Отмъщение 
Голяма част от съобщенията на Иран и изборът на цели подчертават ответния характер на операциите му. Например надлежно наречената личност Cyber Avengers публикува видеоклип, в който министърът на отбраната на Израел заявява, че Израел ще прекъсне електроснабдяването, доставките на храна, вода и гориво за град Газа (вж. фигура 9), последвано от поредица от заявени атаки на Cyber Avengers, насочени към израелската инфраструктура за електроснабдяване, водоснабдяване и гориво.19 Предишните им твърдения за атаки срещу националните водни системи на Израел дни по-рано включваха посланието „Око за око“, а свързаната с IRGC информационна агенция Tasnim съобщи, че групата е заявила, че атаките срещу водните системи са отмъщение за обсадата на Газа.20 Свързаната с MOIS група, която проследяваме като Pink Sandstorm (известна още като Agrius) извърши хакерска атака и изтичане на информация срещу израелска болница в края на ноември, което изглеждаше като отмъщение за продължилата няколко дни обсада на израелската болница Ал-Шифа в Газа две седмици по-рано.21
Сплашване 
Операциите на Иран служат и за подкопаване на израелската сигурност и сплашване на гражданите на Израел и неговите поддръжници, като изпращат заплашителни съобщения и убеждават целевата аудитория, че инфраструктурата и правителствените системи на държавата им са несигурни. Някои от сплашванията на Иран изглежда имат за цел да подкопаят желанието на Израел да продължи войната, като например съобщения, които се опитват да убедят войниците на ЦАХАЛ, че трябва да „се оттеглят от войната и да се върнат у дома“ (фигура 10).22 Една иранска киберперсона, която може да се маскира като Хамас, твърди, че изпраща заплашителни текстови съобщения до семействата на израелските войници, като добавя: „Войниците на IDF [Израелските сили за отбрана] трябва да са наясно, че докато нашите семейства не са защитени, тогава и техните семейства няма да бъдат.“23 Марионетките, усилващи персоната на Хамас, разпространиха съобщения на Х, че ЦАХАЛ „нямат никаква власт да защитят собствените си войници“ и насочиха зрителите към серия от съобщения, за които се твърди, че са изпратени от войници на ЦАХАЛ с молба към Хамас да пощади семействата им.24
Заплашително съобщение от предполагаемата марионетка, управлявана от Cotton Sandstorm, в което се споменава достъп до лични данни и се насърчава оттеглянето от войната.
Подкопаване на международната подкрепа за Израел 
Операциите на Иран за оказване на влияние, насочени към международната аудитория, често включват съобщения, които целят да отслабят международната подкрепа за Израел, като подчертават щетите, причинени от израелските нападения в Газа. Лице, маскирано като пропалестинска група, нарича действията на Израел в Газа „геноцид“. 25 През декември "Котън Сандсторм" проведе множество операции за влияние – под имената „For Palestinians” и „For Humanity” – които призоваваха международната общност да осъди атаките на Израел в Газа.26

За да постигне целите си в информационното пространство, през последните девет месеца Иран разчита в голяма степен на четири тактики, техники и процедури за оказване на влияние (TTP). Те включват използване на въплъщаване и засилени способности за активиране на целевите аудитории, съчетани с все по-често използване на кампании с текстови съобщения и използване на медии, свързани с IRGC, за засилване на операциите за влияние.

Въплъщаване на израелски активистки групи и ирански партньори 
Иранските групи надграждат дългогодишната техника на въплъщаване, като разработват по-конкретни и убедителни образи, които се маскират както като приятели, така и като врагове на Иран. Много от предишните операции на Иран и техните лица са се представяли за активисти в полза на палестинската кауза.27 Неотдавнашните операции на личност, която по наша оценка се ръководи от Cotton Sandstorm, отидоха по-далеч, като използваха името и емблемата на военното крило на Хамас – бригадите „Ал Касам“, за да разпространяват фалшиви съобщения за заложниците, държани в Газа, и да изпращат заплашителни съобщения на израелците. Друг канал в Telegram, който е заплашвал служители на ЦАХАЛ и е изнасял техни лични данни, и който по наша оценка е управляван от група на MOIS, също е използвал емблемата на бригадите „Ал Касам“. Не е ясно дали Иран действа със съгласието на Хамас.

По подобен начин Иран създава все по-убедителни имитации на фиктивни израелски активистки организации от десния и левия израелски политически спектър. Чрез тези фалшиви активисти Иран се опитва да проникне в израелските общности, за да спечели тяхното доверие и да сее раздор.

Активизиране на израелците за действие 
През април и ноември Иран демонстрира неколкократен успех в набирането на неосъзнати израелци, които да се включат в дейности по места, насърчаващи фалшивите му операции. При една от последните операции, „Сълзите на войната“, иранските оперативни работници според сведенията успяват да убедят израелците да окачат в израелските квартали брандирани плакати „Сълзите на войната“, на които е изобразен Нетаняху, очевидно създаден от изкуствен интелект, и се призовава за неговото отстраняване от длъжност (вж. фигура 11).28
Засилване чрез текст и електронна поща с повишена честота и сложност 
Въпреки че иранските операции за оказване на влияние продължават да разчитат в голяма степен на координирано неавтентично засилване в социалните медии, за да достигнат до целевите аудитории, Иран все по-често използва масови текстови съобщения и имейли, за да засили психологическия ефект на своите операции за оказване на влияние с помощта на киберпространството. Засилването в социалните медии с помощта на марионетки няма същото въздействие като съобщение, което се появява в пощенската кутия, да не говорим за телефона. Cotton Sandstorm надгражда предишните си успехи, използвайки тази техника от 2022 г. насам,29 изпращайки текстови съобщения, имейли или и двете в насипно състояние в поне шест операции от август насам. Засиленото използване на тази техника предполага, че групата е усъвършенствала възможностите си и ги смята за ефективни. Операцията „Cyber Flood“ на Cotton Sandstorm в края на октомври включваше до три комплекта масови текстови съобщения и имейли до израелци, които засилваха заявените кибератаки или разпространяваха фалшиви предупреждения за атаки на Хамас срещу израелското ядрено съоръжение край Димона.30 Поне в един от случаите те са използвали компрометиран акаунт, за да повишат автентичността на имейлите си.
Фигура 11: Банер „Сълзите на войната“ в Израел с генерирано от ИИ изображение на Нетаняху, текст „Импийчмънт сега“.
Използване на държавните медии 
Иран използва явни и тайни медии, свързани с IRGC, за да подсили предполагаемите кибероперации и понякога да преувеличи ефекта от тях. През септември, след като Cyber Avengers заявиха, че са извършили кибератаки срещу железопътната система на Израел, свързаните с IRGC медии почти веднага засилиха и преувеличиха твърденията им. Свързаната с IRGC информационна агенция Tasnim некоректно цитира израелски новинарски репортажи за друго събитие като доказателство, че кибератаката е била извършена.31 Тези съобщения бяха допълнително подсилени от други ирански и свързани с Иран медии по начин, който още повече замъгли липсата на доказателства в подкрепа на твърденията за кибератака.32
Начално внедряване на ИИ за операции за влияние 
От началото на войната между Израел и Хамас MTAC наблюдава, че ирански действащи лица използват изображения и видеоклипове, генерирани от ИИ. Cotton Sandstorm и Storm-1364, както и свързаните с Хизбула и Хамас новинарски канали, използват ИИ за засилване на сплашването и разработване на изображения, очернящи Нетаняху и израелското ръководство.
Фигура 12: Операции за оказване на влияние на Cotton Sandstorm август-декември 2023 г., изобразяващи различни методи и дейности.
1. Разрастващо се сътрудничество 
Седмици след началото на войната между Израел и Хамас започнахме да виждаме примери за сътрудничество между свързани с Иран групи, което увеличава възможностите на действащите лица. Сътрудничеството понижава бариерата за навлизане, като позволява на всяка група да допринесе със съществуващи способности и премахва необходимостта една група да разработи пълен спектър от инструменти или средства за действие.

Оценяваме, че двойка групи, свързани с MOIS, Storm-0861 и Storm-0842, са си сътрудничили за разрушителна кибератака в Израел в края на октомври и отново в Албания в края на декември. И в двата случая Storm-0861 вероятно е осигурила достъп до мрежата, преди Storm-0842 да изпълни зловредния софтуер Wiper. По подобен начин Storm-0842 е изпълнил злонамерен софтуер „уайпър“ в албански правителствени структури през юли 2022 г., след като Storm-0861 е получил достъп.

През октомври друга свързана с MOIS група, Storm-1084, може би също е имала достъп до организация в Израел, където Storm-0842 е внедрила „уайпър“ „BiBi“, наречен така заради преименуването на изтритите файлове от злонамерения софтуер със стринга „BiBi“. Не е ясно каква роля е играл Storm-1084, ако изобщо е играл такава, в разрушителната атака. В началото на 2023 г. Storm-1084 провежда разрушителни кибератаки срещу друга израелска организация, активирани от друга свързана с MOIS група Mango Sandstorm (известна още като MuddyWater).33

След избухването на войната Наборът от ресурси на Microsoft срещу заплахи също така е открил сътрудничество между свързана с MOIS група Pink Sandstorm и киберзвена на Хизбула. Microsoft наблюдава припокриване на инфраструктурата и общи инструменти. Сътрудничеството на Иран с Хизбула в областта на кибероперациите, макар и да не е безпрецедентно, е обезпокоително, тъй като войната може да сближи тези групировки отвъд националните граници в оперативен план.34 Тъй като всички кибератаки на Иран в тази война са съчетани с операции за оказване на влияние, съществува допълнителна вероятност Иран да подобри операциите си за оказване на влияние и техния обхват, като използва носители на арабски език, за да повиши автентичността на своите неавтентични личности.

2. Свръхфокусиране върху Израел 
Фокусът на иранските кибероператори върху Израел се засилва. Иран отдавна е съсредоточил вниманието си върху Израел, който Техеран разглежда като свой основен противник наред със Съединените щати. Съответно, въз основа на данни на Набора от ресурси на Microsoft срещу заплахи, през последните няколко години израелските и американските предприятия почти винаги са били най-честите цели на Иран. В навечерието на войната иранските действащи лица са се фокусирали най-много върху Израел, следван от ОАЕ и САЩ. След избухването на войната фокусът върху Израел рязко нарасна. Четиридесет и три процента от киберактивността на иранската национална държава, проследена от Microsoft, е насочена към Израел – повече от следващите 14 държави, взети заедно.
Процентно разпределение на данните от Набор от ресурси на Mogult срещу заплахи по държави и ирански цели преди войната и 75 дни след нея

Очакваме, че заплахата от иранските кибероперации и операции за оказване на влияние ще нараства с продължаването на конфликта между Израел и Хамас, особено на фона на нарастващия потенциал за ескалация по допълнителни фронтове. Докато в първите дни на войната иранските групи бързаха да провеждат или просто да измислят операции, напоследък иранските групи забавиха операциите си, което им дава повече време да получат желания достъп или да разработят по-сложни операции за влияние. Фазите на войната, очертани в настоящия доклад, ясно показват, че иранските кибероперации и операции за оказване на влияние напредват бавно, като стават все по-целенасочени, съвместни и разрушителни.

Иранските действащи лица също така стават все по-смели в своите цели, най-вече при кибернетичния удар срещу болница и тестването на червените линии на Вашингтон, привидно без да се притесняват от последиците. Нападенията на IRGC срещу американски системи за контрол на водата, макар и опортюнистични, бяха привидно хитър трик за изпитание на Вашингтон, като претендираха за легитимност при атакуването на оборудване, произведено в Израел.

В навечерието на изборите в САЩ през ноември 2024 г. засиленото сътрудничество между иранските и свързаните с Иран групировки предвещава по-голямо предизвикателство за тези, които се занимават със защита на изборите. Защитниците вече не могат да се успокояват с проследяването на няколко групи. Напротив, нарастващият брой агенти за достъп, групи за влияние и кибернетични действащи лица създава по-сложна и преплетена среда на заплахи.

Още експертни прозрения за операциите на Иран за оказване на влияние

Чуйте повече от експерти за иранските операции за влияние с помощта на киберпространството, с акцент върху действията на Иран, свързани с президентските избори в САЩ през 2020 г. и войната между Израел и Хамас, от подкаста на Набора от ресурси на Microsoft срещу заплахи. Дискусията обхваща тактиките, които иранските действащи лица използват, като например въплъщаване, вербуване на местни жители и използване на електронна поща и текстови съобщения за засилване. Тя също така внася контекст в сложността на иранските кибердейности, техните съвместни усилия, потреблението на пропаганда, творческите тактики и предизвикателствата при приписването на операции за влияние.

Сродни статии

Руските действащи лица, свързани със заплахи, се окопават и се подготвят да се възползват от умората от войната 

Руските кибероперации и операции за оказване на влияние продължават, докато войната в Украйна продължава. "Набор от ресурси на Microsoft срещу заплахи" предоставя подробна информация за най-новите киберзаплахи и дейности за влияние през последните шест месеца.

Иран се насочва към кибернетични операции за постигане на по-голям ефект

Набор от ресурси на Microsoft срещу заплахи разкриха засилени операции за оказване на влияние с помощта на киберпространството в Иран. Получете информация за заплахите с подробности за новите техники и за потенциалните бъдещи заплахи.

Операциите в киберпространството и тези за оказване на влияние по време на войната на цифровото бойно поле в Украйна

Разузнаването на заплахите на Microsoft разглежда една година операции в киберпространство и за оказване на влияние в Украйна, разкрива нови тенденции в киберзаплахите и какво да очакваме, когато войната навлезе във втората си година.