Trace Id is missing

Írán posiluje operace kybernetického ovlivňování na podporu Hamásu

Úvod

Když 7. října 2023 vypukla válka mezi Izraelem a Hamásem, Írán okamžitě podpořil Hamás svou nyní již dobře propracovanou technikou, která kombinuje cílené hackerské útoky s operacemi ovlivňování zesilovanými na sociálních sítích. To označujeme jako operace kybernetického ovlivňování.1 Íránské operace byly zpočátku reakční a oportunistické. Koncem října se téměř veškeré úsilí íránských aktérů ovlivňování a hlavních aktérů kybernetických zaměřilo na Izrael a narůstala jeho cílenost, koordinovanost a destruktivnost. Vzbuzovalo to dojem zdánlivě neomezené kampaně se „zapojením všech sil“ proti Izraeli. Na rozdíl od některých předchozích kybernetických útoků ze strany Íránu byly všechny jeho destruktivní kybernetické útoky proti Izraeli v této válce – ať už skutečné, nebo vykonstruované – doplněny o online operace ovlivňování.

Definice klíčových pojmů

  • Operace kybernetického ovlivňování 
    Operace, které koordinovaně a manipulativně kombinují útočné operace v počítačových sítích se zasíláním a šířením zpráv s cílem změnit vnímání, chování nebo rozhodování cílových skupin a podpořit tak zájmy a cíle určité skupiny nebo státu.
  • Kybernetická osoba 
    Uměle vytvořené skupiny nebo jednotlivé osoby vystupující na veřejnosti, které přebírají odpovědnost za kybernetickou operaci a zároveň vytváří věrohodný dojem popírající odpovědnost skupin nebo státních aktérů, kteří za operací stojí.
  • Loutkové účty (sockpuppets) 
    Falešné online osoby využívající smyšlené nebo ukradené identity za účelem klamání.

Operace ovlivňování byly stále více sofistikované a neautentické tak, jak byly s postupující válkou v sociálních médiích nasazovány sítě loutkových účtů. V průběhu války se tyto operace ovlivňování snažily zastrašovat Izraelce a zároveň kritizovaly postup izraelské vlády ohledně rukojmích a vojenských operací s cílem polarizovat a nakonec destabilizovat Izrael.

Nakonec Írán obrátil své kybernetické útoky a operace ovlivňování proti politickým spojencům a ekonomickým partnerům Izraele, aby oslabil podporu izraelských vojenských operací.

Očekáváme, že hrozba, kterou představují íránské kybernetické operace a operace ovlivňování, bude s pokračujícím konfliktem narůstat, zejména v souvislosti s rostoucí možností rozšíření války. Zvýšená drzost íránských a na Írán napojených aktérů spolu s jejich rostoucí spoluprací předznamenává rostoucí hrozbu před listopadovými volbami v USA.

Od teroristického útoku Hamásu 7. října prošly íránské kybernetické operace a operace ovlivňování vývojem s několika fázemi. Jeden prvek těchto operací však zůstával po celou dobu konstantní: kombinace oportunistického kybernetického cílení s operacemi ovlivňování, které často zkreslují přesnost nebo rozsah dopadu.

Tato studie se zaměřuje na íránské operace ovlivňování a operace kybernetického ovlivňování od 7. října do konce roku 2023, přičemž zahrnuje trendy a operace od jara 2023.

Graf znázorňující fáze íránských operací kybernetického ovlivňování ve válce mezi Izraelem a Hamásem

Fáze 1: Reaktivní a klamavé

Íránské skupiny pracovaly v počáteční fázi války mezi Izraelem a Hamásem reaktivně. Íránská státní média zveřejňovala klamavé podrobnosti o údajných kybernetických útocích a íránské skupiny opětovně používaly starší materiály z historických operací, znovu využívaly přístup, který měly před válkou, a zveličovaly celkový rozsah a dopad údajných kybernetických útoků.

Po téměř čtyřech měsících války Microsoft v datech stále nezaznamenal jasný důkaz, že by íránské skupiny koordinovaly své kybernetické operace nebo operace ovlivňování s plány Hamásu zaútočit 7. října na Izrael. Většina našich dat a zjištění spíše naznačuje, že íránští kybernetičtí aktéři byli reaktivní a po útocích Hamásu rychle rozšířili své kybernetické operace a operace ovlivňování namířené proti Izraeli.

Klamavé podrobnosti o údajných útocích šířené prostřednictvím státních médií: 
V den vypuknutí války íránská tisková agentura Tasnim napojená na Islámské revoluční gardy (IRGC) nepravdivě tvrdila, že skupina označovaná jako „Cyber Avengers“ provedla kybernetické útoky proti izraelské elektrárně „ve stejnou dobu“, kdy probíhaly útoky Hamásu. 2 Skupina „Cyber Avengers“, kybernetická osoba řízená Islámskými revolučními gardami (IRGC), skutečně tvrdila, že večer před vpádem Hamásu provedla kybernetický útok proti izraelské elektrárenské společnosti.3 Použitými důkazy byly několik týdnů staré zprávy v tisku o výpadcích elektřiny „v posledních letech“ a snímek obrazovky s nedatovaným narušením služeb na webu této společnosti. 4
Opětovné používání starého materiálu: 
Po útocích Hamásu na Izrael skupina Cyber Avengers tvrdila, že provedla řadu kybernetických útoků proti Izraeli, z nichž nejstarší, jak jsme zjistili, byly falešné. 8. října tato skupina tvrdila, že stojí za únikem dokumentů z izraelské elektrárny, tyto dokumenty však už dříve, v červnu 2022, zveřejnila jiná kybernetická osoba „Moses Staff“ řízená Islámskými revolučními gardami (IRGC).5
Opětovný přístup: 
Další kybernetická osoba „Malek Team“, kterou podle našich odhadů řídí íránské ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS), zveřejnila 8. října odcizené osobní údaje z izraelské univerzity, aniž by to mělo jasnou souvislost s probíhajícím konfliktem. To naznačuje, že tento cíl byl oportunistický a možná byl vybrán na základě přístupu, který existoval už před vypuknutím války. Místo toho, aby osoba „Malek Team“ hledala souvislosti mezi uniklými daty a podporou operací Hamásu, používala nejprve na síti X (dříve Twitter) hashtagy na podporu Hamásu a teprve o několik dní později změnila texty zpráv tak, aby odpovídaly typu zpráv očerňujících izraelského premiéra Benjamina Netanjahua, které se objevovaly v jiných íránských operacích ovlivňování.
Celosvětová spotřeba íránské propagandy znázorněná časovou osou a grafem s podílem na provozu
Obrázek 2: Analýza hrozeb Microsoft – spotřeba íránské propagandy podle zemí, útoky Hamásu na Izrael. Graf zobrazující aktivitu od dubna do prosince 2023.
Íránské operace ovlivňování byly nejúčinnější v prvních dnech války 
Po vypuknutí války mezi Izraelem a Hamásem se prudce zvýšil dosah íránských médií napojených na stát. V prvním týdnu konfliktu jsme zaznamenali 42% nárůst indexu íránské propagandy, který vytváří Microsoft AI for Good Lab a který monitoruje spotřebu zpráv z íránských státních a na stát napojených zpravodajských kanálů (viz obrázek 1). Tento index měří podíl návštěvnosti těchto webů na celkovém provozu na internetu. Tento nárůst byl obzvlášť výrazný v anglicky hovořících zemích, které jsou blízkými spojenci Spojených států (obrázek 2). To poukazuje na schopnost Íránu oslovovat západní cílové skupiny svými zprávami o konfliktech na Blízkém východě. Měsíc od začátku války zůstával dosah těchto íránských zdrojů celosvětově o 28–29 % vyšší než před válkou.
Vliv Íránu bez kybernetických útoků ukazuje agilitu 
Íránské operace ovlivňování v prvních dnech války působily jako agilnější a účinnější ve srovnání s kombinovanými operacemi kybernetického ovlivňování v pozdější fázi konfliktu. Několik dní po útoku Hamásu na Izrael zahájil pravděpodobný íránský státní aktér, kterého sledujeme jako skupinu Storm-1364, operaci ovlivňování s využitím online osoby „Tears of War“, která se vydávala za izraelské aktivisty a prostřednictvím různých sociálních médií a komunikačních platforem šířila zprávy namířené proti premiéru Netanjahuovi, které byly určené izraelským cílovým skupinám. Rychlost, s jakou skupina Storm-1364 zahájila tuto kampaň po útocích ze 7. října, dokládá agilitu této skupiny a poukazuje na výhody kampaní zaměřených pouze na ovlivňování, které je možné vytvářet rychleji, protože nemusí čekat na kybernetickou aktivitu operace kybernetického ovlivňování.

Fáze 2: Zapojení všech sil

Od poloviny do konce října se rostoucí počet íránských skupin začal zaměřovat na Izrael a íránské operace kybernetického ovlivňování se změnily z převážně reaktivních, vykonstruovaných operací nebo operací spojujících oba tyto přístupy na destruktivní kybernetické útoky a rozvíjení zájmových cílů operací. Tyto útoky zahrnovaly odstraňování dat, ransomware a podle všeho i úpravy zařízení Internetu věcí (IoT).6 Zaznamenali jsme také důkazy o zvýšené koordinaci mezi íránskými skupinami.

V prvním týdnu války sledovala Analýza hrozeb Microsoft devět íránských skupin, které aktivně cílily na Izrael. Od 15. dne se jejich počet zvýšil na 14. V některých případech jsme pozorovali více skupin podporovaných Islámskými revolučními gardami (IRGC) nebo ministerstvem pro zpravodajskou činnost a bezpečnost (MOIS), které kybernetickými aktivitami nebo aktivitami ovlivňování útočily na stejnou organizaci nebo vojenskou základnu. To ukazuje na koordinaci, společné cíle stanovené v Teheránu – nebo na obojí.

Vzrostl také počet operací kybernetického ovlivňování. V prvním týdnu války jsme zaznamenali čtyři narychlo provedené operace kybernetického ovlivňování zaměřené na Izrael. Do konce října se počet těchto operací více než zdvojnásobil. To představovalo výrazné zrychlení tempa nárůstu těchto operací ve srovnání s minulostí (viz obrázek 4).

Ilustrace: Propojení íránských a kybernetických operací a operací ovlivňování, se symboly, zahrnující analýzu hrozeb a Islámské revoluční gardy (IRGC)
Časová osa íránských operací kybernetického ovlivňování: Nárůst během války s Hamásem, 2021–2023

Skupina Shahid Kaveh Group napojená na Islámské revoluční gardy (IRGC), kterou Microsoft sleduje jako skupinu Storm-0784, použila 18. října přizpůsobený ransomware ke kybernetickým útokům na bezpečnostní kamery v Izraeli. Pak použila jednu ze svých kybernetických identit „Soldiers of Solomon“ a lživě tvrdila, že ransomwarem napadla bezpečnostní kamery a data na letecké základně Nevatim. Zkoumání záběrů bezpečnostních kamer, které unikly na veřejnost, odhalilo, že pocházejí z města severně od Tel Avivu s ulicí Nevatim, nikoli ze stejnojmenné letecké základny. Z analýzy zeměpisné polohy obětí útoků vyplývá, že žádná z lokací se nenacházela v blízkosti této vojenské základny (viz obrázek 5). I když íránské skupiny zahájily destruktivní útoky, jejich operace zůstaly do značné míry oportunistické a nadále využívaly aktivity ovlivňování ke zveličování přesnosti nebo účinku útoků.

21. října sdílela jiná kybernetická osoba řízená Islámskými revolučními gardami (IRGC) – Cotton Sandstorm (obecně známá jako Emennet Pasargad) – video, ve kterém útočníci na digitálních displejích v synagogách zobrazují vzkazy, které označují izraelské operace v Gaze za „genocidu“. 7 To představovalo metodu vkládání sdělení přímo do kybernetických útoků proti relativně měkkému cíli.

V této fázi íránské aktivity ovlivňování využívaly rozsáhlejší a sofistikovanější formy neautentického zesilování dopadu. V prvních dvou týdnech války jsme detekovali minimální pokročilé formy neautentického zesilování – což opět ukazuje na to, že operace byly reaktivní. Ve třetím týdnu války se na scéně objevil nejproduktivnější íránský aktér operací ovlivňování – Cotton Sandstorm. Tato skupina 21. října zahájila tři operace kybernetického ovlivňování. Jak u této skupiny často vidíme, využívala k zesilování operací síť loutkových účtů na sociálních sítích, ačkoli se zdálo, že mnohé z nich byly narychlo přetvořeny na Izraelce bez autentického maskování. Skupina Cotton Sandstorm při více příležitostech posílala hromadné textové zprávy nebo e-maily, aby zesilovala své operace nebo se jimi chlubila, přičemž ke zvýšení autenticity využívala napadené účty.8

Vyvrácení tvrzení Íránu o kybernetických útocích: Falešný ransomware a záběry z průmyslových kamer, odhalení klamavých operací ovlivňování

Fáze 3: Rozšíření geografické působnosti

Od konce listopadu začaly íránské skupiny rozšiřovat působnost svého kybernetického ovlivňování mimo Izrael i na země, které podle Íránu pomáhají Izraeli, aby tak velmi pravděpodobně podkopávaly mezinárodní politickou, vojenskou nebo ekonomickou podporu izraelských vojenských operací. Toto rozšíření cílení souviselo se zahájením útoků na mezinárodní lodní dopravu spojenou s Izraelem ze strany Hútíů, šíitské militantní skupiny v Jemenu podporované Íránem (viz obrázek 8).9

  • 20. listopadu varovala Íránem řízená kybernetická osoba „Homeland Justice“ před chystanými rozsáhlými útoky na Albánii. Koncem prosince pak zesilovala destruktivní kybernetické útoky skupin spojených s ministerstvem pro zpravodajskou činnost a bezpečnost (MOIS) proti albánskému parlamentu, národním leteckým společnostem a poskytovatelům telekomunikačních služeb.10
  • 21. listopadu kybernetická osoba „Al-Toufan“ řízená skupinou Cotton Sandstorm cílila na bahrajnskou vládu a finanční organizace kvůli normalizaci vztahů s Izraelem.
  • 22. listopadu začaly skupiny napojené na Islámské revoluční gardy (IRGC) cílit na programovatelné logické automaty (PLC) izraelské výroby ve Spojených státech a pravděpodobně i v Irsku, včetně vyřazení jednoho z těchto zařízení z provozu na vodohospodářském úřadu v Pensylvánii 25. listopadu (obrázek 6).11 Programovatelné logické automaty (PLC) jsou průmyslové počítače uzpůsobené k řízení výrobních procesů, jako jsou montážní linky, stroje a robotická zařízení.
  • Na začátku prosince se osoba „Cyber Toufan Al-Aksa“, která je podle odhadů střediska MTAC sponzorována Íránem, přihlásila k úniku dat z dvojice amerických společností za finanční podporu Izraele a poskytování vybavení pro izraelskou armádu..12 Předtím se 16. listopadu přihlásila k útokům, jejichž součástí bylo odstranění dat těchto společností.13 Vzhledem k nedostatku průkazných forenzních důkazů, které by tuto skupinu spojovaly s Íránem, je možné, že tuto osobu řídí s íránskou účastí íránský partner v jiné zemi.
Znehodnocený programovatelný logický automat (PLC) na vodohospodářském úřadu v Pensylvánii s logem skupiny Cyber Avengers, 25. listopadu

Íránské operace kybernetického ovlivňování se v této poslední fázi také dále zdokonalovaly. Aktéři lépe maskovali své loutkové účty tím, že některé přejmenovali a změnili jejich profilové fotky, aby tyto účty působily autentičtěji jako izraelské. Mezitím začali využívat nové techniky, které jsme u íránských aktérů do té doby neviděli, včetně využívání AI jako klíčové komponenty při vytváření zpráv. Domníváme se, že to byla skupina Cotton Sandstorm, která v prosinci narušila streamovací televizní služby ve Spojených arabských emirátech i jinde pod maskou osoby s označením „For Humanity“. Osoba „For Humanity“ zveřejnila v síti Telegram videa, ve kterých je vidět, jak tato skupina pronikla do tří online streamovacích služeb a narušila vysílání několika zpravodajských kanálů pomocí falešného zpravodajství, kde zjevně umělou inteligencí vygenerovaný moderátor tvrdil, že ukazuje záběry Palestinců zraněných a zabitých při izraelských vojenských operacích (obrázek 7).14 Zpravodajské kanály a diváci ve Spojených arabských emirátech, Kanadě a Spojeném království hlásili narušení streamovaného televizního vysílání, včetně BBC, které odpovídalo tvrzením osoby „For Humanity“.15

HUMANITY 2023: 8. října, 180 mrtvých, 347 zraněných. Obrázek 7: Narušení streamování televize pomocí vysílání generovaného AI
Írán rozšiřuje své cílení na podporovatele Izraele, kybernetické útoky, varování a poškozující aktivity.

Íránské operace sledovaly čtyři širší cíle: destabilizaci, odvetu, zastrašování a podkopávání mezinárodní podpory Izraele. Všechny tyto čtyři cíle se také snaží podkopat informační prostředí Izraele a jeho podporovatelů a vyvolat všeobecný zmatek a nedůvěru.

Destabilizace prostřednictvím polarizace 
Írán se během války mezi Izraelem a Hamásem stále více zaměřuje na podněcování domácího konfliktu ohledně přístupu izraelské vlády k válce. Několik íránských operací ovlivňování se vydávalo za izraelské aktivistické skupiny, aby šířily štvavé zprávy kritizující přístup vlády k osobám uneseným a zajatým 7. října.17 Premiér Netanjahu byl hlavním terčem takových zpráv a výzvy k jeho odstranění byly častým tématem íránských operací ovlivňování.18
AVENGERS – žádná elektřina, jídlo, voda a. palivo. Skupina Cyber Avengers opětovně publikuje video o izraelské blokádě
Odveta 
Většina íránských sdělení a výběr cílů zdůrazňuje odvetnou povahu jeho operací. Například řádně pojmenovaná osoba Cyber Avengers zveřejnila video, kde izraelský ministr obrany prohlašuje, že Izrael odřízne město Gaza od elektřiny, potravin, vody a pohonných hmot (viz obrázek 9), po kterém následovala série deklarovaných útoků skupiny Cyber Avengers cílících na izraelskou infrastrukturu zajišťující dodávky elektřiny, vody a pohonných hmot.19 Jejich předchozí tvrzení o útocích na izraelské vodní systémy o několik dní dříve obsahovala sdělení „oko za oko“ a tisková agentura Tasnim napojená na Islámské revoluční gardy (IRGC) informovala, že podle této skupiny jsou útoky na vodní systémy odvetou za obléhání Gazy.20 Skupina napojená na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS), kterou sledujeme jako Pink Sandstorm (známá také jako Agrius) provedla koncem listopadu hackerský útok na izraelskou nemocnici, který se zdál být odvetou za několikadenní obléhání nemocnice al-Šífa v Gaze, které Izrael provedl o dva týdny dříve.21
Zastrašování 
Íránské operace také slouží k podkopávání izraelské bezpečnosti a zastrašování občanů Izraele a jeho podporovatelů prostřednictvím výhrůžných zpráv a přesvědčování cílových skupin, že infrastruktura a vládní systémy jejich státu nejsou bezpečné. Zdá se, že cílem některých zastrašovacích akcí Íránu je podkopat ochotu Izraele pokračovat ve válce, například zprávami, které se snaží přesvědčit vojáky Izraelských obranných sil (IDF), že by měli „odejít z války a vrátit se domů“ (obrázek 10).22 Jedna íránská kybernetická osoba, která se možná maskuje za Hamás, tvrdila, že posílá výhrůžné textové zprávy rodinám izraelských vojáků, a dodávala, že „vojáci Izraelských obranných sil (IDF) by si měli uvědomit, že dokud nebudou v bezpečí naše rodiny, nebudou v bezpečí ani jejich rodiny“.23 Loutkové účty zesilující tuto „osobu Hamásu“ šířily na síti X zprávy, že Izraelské obranné síly (IDF) „nemají žádnou moc chránit své vlastní vojáky“, a odkazovaly sledující na sérii zpráv údajně odesílaných vojáky IDF, ve kterých žádali Hamás, aby ušetřil jejich rodiny.24
Výhružná zpráva od loutkového účtu pravděpodobně řízeného skupinou Cotton Sandstorm, která se odvolává na přístup k osobním údajům a vybízí k odchodu z války.
Podkopávání mezinárodní podpory Izraele 
Íránské operace ovlivňování zaměřené na mezinárodní cílové skupiny často zahrnovaly sdělení, jejichž cílem bylo oslabit mezinárodní podporu Izraele zdůrazňováním škod způsobených izraelskými útoky na Gazu. Osoba vydávající se za propalestinskou skupinu označila izraelské akce v Gaze za „genocidu“.25 V prosinci provedla skupina Cotton Sandstorm několik operací ovlivňování – pod názvy „For Palestinians“ (Za Palestince) a „For Humanity“ (Za lidskost) – které vyzývaly mezinárodní společenství k odsouzení izraelských útoků na Gazu.26

K dosažení svých cílů v informačním prostoru Írán v posledních devíti měsících ve velké míře využíval čtyři taktiky, techniky a postupy ovlivňování. Patří mezi ně využívání vydávání se za někoho jiného a zvýšené schopnosti aktivizovat cílové skupiny, spolu s rostoucím využíváním kampaní vedených prostřednictvím textových zpráv a využíváním médií napojených na Islámské revoluční gardy (IRGC) k zesilování operací ovlivňování.

Vydávání se za izraelské aktivistické skupiny a íránské partnery 
Íránské skupiny staví na dlouholeté technice vydávání se za přátele i nepřátele Íránu a vyvinuly konkrétnější a přesvědčivější „osoby“, které se za ně vydávají. Mnoho íránských operací a „osob“ se v minulosti vydávalo za aktivisty podporující Palestinu.27 Nedávné operace takové „osoby“, kterou podle našeho odhadu řídí skupina Cotton Sandstorm, šly ještě dál a používaly jméno a logo vojenského křídla Hamásu, brigád al-Kassám, k šíření falešných zpráv o rukojmích zadržovaných v Gaze a zasílání výhružných zpráv Izraelcům. Další kanál na Telegramu, který vyhrožoval příslušníkům IDF a vyzrazoval jejich osobní údaje a který podle našich odhadů provozovala skupina napojená na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS), také používal logo brigád al-Kásam. Není jasné, jestli Írán jedná se souhlasem Hamásu.

Podobně Írán vytváří stále přesvědčivější napodobeniny fiktivních izraelských aktivistických organizací na pravé i levé straně izraelského politického spektra. Prostřednictvím těchto falešných aktivistů se Írán snaží infiltrovat izraelské komunity, aby získal jejich důvěru a podněcoval neshody.

Aktivizace Izraelců k akci 
V dubnu a listopadu Írán opakovaně úspěšně přesvědčil nevědomé Izraelce, aby se zapojili do místních akcí propagujících jeho falešné operace. V jedné z nedávných operací „Tears of War“ se íránským agentům údajně podařilo přesvědčit Izraelce, aby v izraelských čtvrtích vyvěsili transparenty se značkou „Tears of War“ se zjevně umělou inteligencí vygenerovanou podobiznou premiéra Netanjahua a výzvou k jeho odvolání z funkce (viz obrázek 11).28
Zesilování prostřednictvím textových zpráv a e-mailů se zvýšenou frekvencí a sofistikovaností 
Zatímco íránské operace ovlivňování se při oslovování cílových skupin nadále ve velké míře spoléhají na koordinované neautentické zesilování zpráv na sociálních sítích, Írán stále častěji využívá hromadné zasílání textových zpráv a e-mailů k posilování psychologických účinků svých operací kybernetického ovlivňování. Zesilování na sociálních sítích pomocí loutkových účtů nemá stejný dopad jako zpráva, která se lidem objeví v doručené poště, natož pak v telefonu. Skupina Cotton Sandstorm navázala na předchozí úspěchy při používání této techniky od roku 202229 a od srpna nejméně v šesti případech hromadně odeslala textové zprávy, e-maily nebo obojí. Častější používání této techniky ukazuje na to, že skupina tuto schopnost zdokonalila a považuje ji za účinnou. Operace skupiny Cotton Sandstorm s názvem „Cyber Flood“ z konce října zahrnovala až tři sady hromadných textových zpráv a e-mailů zasílaným Izraelcům, které zesilovaly údajné kybernetické útoky nebo šířily falešná varování před útoky Hamásu na izraelské jaderné zařízení poblíž Dimony.30 Přinejmenším v jednom případě tito aktéři využili napadený účet, aby zvýšili autenticitu e-mailů.
Obrázek 11: Transparent „Tears of War“ v Izraeli s umělou inteligencí vygenerovanou podobiznou premiéra Netanjahua a textem vyzývajícím k „impeachmentu“
Využití státních médií 
Írán využívá otevřená i skrytá média napojená na Islámské revoluční gardy (IRGC), aby údajné kybernetické operace zesílil a někdy zveličil jejich účinky. Poté, co se v září skupina Cyber Avengers přihlásila ke kybernetickým útokům na izraelský železniční systém, média napojená na Islámské revoluční gardy (IRGC) jejich tvrzení téměř okamžitě zesílila a zveličila. Tisková agentura Tasnim napojená na Islámské revoluční gardy (IRGC) nesprávně citovala izraelské zpravodajství o jiné události jako důkaz, že k tomuto kybernetickému útoku došlo.31 Toto zpravodajství bylo dále zesilováno dalšími íránskými a s Íránem spojenými médii způsobem, který dále skrýval nedostatek důkazů podporujících tvrzení o kybernetickém útoku.32
Postupné využívání AI pro operace ovlivňování 
Od vypuknutí války mezi Izraelem a Hamásem středisko MTAC pozorovalo, že íránští aktéři používají umělou inteligencí (AI) generované obrázky a videa. Skupiny Cotton Sandstorm a Storm-1364, stejně jako zpravodajské kanály napojené na Hizballáh a Hamás, využívají Al k posílení zastrašování a vytváření obrázků očerňujících premiéra Netanjahua a izraelské vedení.
Obrázek 12: Operace ovlivňování prováděné skupinou Cotton Sandstorm v období srpen–prosinec 2023, zobrazující různé metody a aktivity.
1. Rozvíjející se spolupráce 
Po několika týdnech války mezi Izraelem a Hamásem jsme se začali setkávat s příklady spolupráce mezi skupinami napojenými na Írán. Tato spolupráce posílila možnosti těchto aktérů. Spolupráce snižuje vstupní bariéru, protože umožňuje každé skupině přispět stávajícími schopnostmi a odstraňuje potřebu, aby jediná skupina vyvíjela celé spektrum nástrojů nebo postupů.

Vyhodnotili jsme, že dvojice skupin napojených na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS), Storm-0861 a Storm-0842, spolupracovala na destruktivním kybernetickém útoku v Izraeli na konci října a pak znovu v Albánii na konci prosince. V obou případech skupina Storm-0861 pravděpodobně poskytla přístup do sítě předtím, než Storm-0842 spustil destruktivní malware typu „wiper“. Podobně skupina Storm-0842 spustila malware typu „wiper“ v albánských vládních subjektech v červenci 2022 poté, co skupina Storm-0861 získala přístup.

V říjnu měla další skupina napojená na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS), Storm-1084, možná také přístup do organizace v Izraeli, kde skupina Storm-0842 nasadila software typu wiper s názvem „BiBi“, pojmenovaný podle toho, že tento malware přejmenovával smazané soubory řetězcem „BiBi“. Není jasné, jakou roli skupina Storm-1084 v tomto destruktivním útoku hrála, pokud vůbec nějakou. Skupina Storm-1084 provedla počátkem roku 2023 destruktivní kybernetické útoky na jinou izraelskou organizaci, které umožnila další skupina napojená na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS) – Mango Sandstorm (neboli MuddyWater).33

Od vypuknutí války zjistila Analýza hrozeb Microsoft také spolupráci mezi skupinou Pink Sandstorm napojenou na ministerstvo pro zpravodajskou činnost a bezpečnost (MOIS) a kybernetickými jednotkami Hizballáhu. Microsoft pozoroval překrývání infrastruktury a sdílení nástrojů. Spolupráce Íránu s Hizballáhem na kybernetických operacích sice není bezprecedentní, představuje však znepokojivý vývoj, protože válka může tyto skupiny v různých státech ještě více operačně sblížit.34 Vzhledem k tomu, že všechny íránské kybernetické útoky v této válce byly kombinovány s operacemi ovlivňování, je dále pravděpodobné, že Írán bude zlepšovat své operace ovlivňování a jejich dosah využíváním arabsky hovořících rodilých mluvčích ke zvýšení autenticity svých neautentických osob.

2. Intenzivní zaměření na Izrael 
Zaměření íránských kybernetických aktérů na Izrael zesílilo. Írán se dlouhodobě zaměřuje na Izrael, který Teherán považuje vedle Spojených států za svého hlavního protivníka. Podle dat Analýzy hrozeb Microsoft byly v posledních několika letech nejčastějšími cíli íránských útoků téměř vždy izraelské a americké podniky. Před válkou se íránští aktéři nejvíce zaměřovali na Izrael. Pak následovaly Spojené arabské emiráty a Spojené státy. Po vypuknutí války se zaměření na Izrael prudce zvýšilo. 43 % kybernetických aktivit íránských státních aktérů sledovaných Microsoftem cílilo na Izrael, což je více než u dalších 14 zemí dohromady.
Procentuální rozdělení dat analýzy hrozeb Mogult podle zemí a íránských cílů před válkou a po 75 dnech války

Očekáváme, že hrozba ze strany íránských kybernetických operací a operací ovlivňování, bude s pokračujícím konfliktem mezi Izraelem a Hamásem narůstat, zejména v souvislosti s rostoucí možností eskalace na dalších frontách. Zatímco v prvních dnech války íránské skupiny s prováděním operací spěchaly, nebo si je jednoduše vymýšlely, v poslední době íránské skupiny své operace zpomalily. To jim poskytuje více času na získání požadovaného přístupu nebo přípravu propracovanějších operací ovlivňování. Fáze války popsané v této zprávě jasně ukazují, že íránské kybernetické operace a operace ovlivňování se pomalu zlepšují, jsou postupně více cílené, využívají spolupráci a jsou destruktivnější.

Íránští aktéři jsou ve svém cílení také stále odvážnější, což bylo vidět zejména při kybernetickém útoku na nemocnici, a testují červené linie Washingtonu zdánlivě bez obav z následků. Útoky Islámských revolučních gard (IRGC) na americké systémy kontroly vody byly sice oportunistické, ale zřejmě se jednalo o chytrý trik, jak otestovat Washington a prohlásit, že útoky na zařízení vyrobená v Izraeli jsou legitimní.

Před volbami v USA v listopadu 2024 představuje zvýšená spolupráce íránských a na Írán napojených skupin větší výzvu pro ty, kdo se podílejí na obraně voleb. Obránci se už nemůžou spokojit se sledováním několika málo skupin. Rostoucí počet přístupových agentů, vlivových skupin a kybernetických aktérů spíše vytváří složitější a provázanější prostředí hrozeb.

Další poznatky expertů o íránských operacích ovlivňování

Poslechněte si podcast Analýzy hrozeb Microsoft, ve kterém získáte další informace od expertů na íránské operace kybernetického ovlivňování. Podcast se zaměřuje na íránské akce související s prezidentskými volbami v USA v roce 2020 a válkou mezi Izraelem a Hamásem. Diskuse se zabývá taktikami používanými íránskými aktéry, jako je vydávání se za někoho jiného, rekrutování místních obyvatel a využívání e-mailů a textových zpráv k zesilování šíření informací. Přibližuje také kontext složitých íránských kybernetických aktivit, spolupráci, spotřebovávání propagandy, kreativní taktiky a výzvy týkající se připisování operací ovlivňování aktérům, kteří za nimi stojí.

Související články

Ruští aktéři hrozeb se připravují využít únavu z války 

Ruské kybernetické operace a operace ovlivňování pokračují i během války na Ukrajině. Analýza hrozeb Microsoft podrobně informuje o nejnovějších kybernetických hrozbách a aktivitách v oblasti ovlivňování za posledních šest měsíců.

Írán začíná používat kybernetické operace ovlivňování, aby dosáhl většího efektu

Tým Analýzy hrozeb Microsoft odhalil zvýšený počet kybernetických operací ovlivňování z Íránu. Získejte přehled o hrozbách s podrobnostmi o nových technikách a o tom, kde existuje potenciál budoucích hrozeb.

Kybernetické operace a operace ovlivňování ve válce na ukrajinském digitálním bojišti

Tým Analýzy hrozeb Microsoft zkoumá kybernetické operace a operace ovlivňování na Ukrajině v posledním roce, odhaluje nové trendy v kybernetických hrozbách a informuje o tom, co lze očekávat, až válka postoupí do druhého roku.