Trace Id is missing

Iran intenzivira operacije utjecaja omogućene kibernetičkom tehnologijom kao podršku Hamasu

Uvod

Po izbijanju rata između Izraela i Hamasa 7. listopada 2023. Iran je odmah pojačao podršku prema Hamasu s pomoću sada već razrađene tehnike kombinacije ciljanog hakiranja i operacija utjecaja pojačanih na društvenim mrežama, što nazivamo operacijama utjecaja omogućenih kibernetičkom tehnologijom.1 Operacije Irana od samog su početka reakcionarne i oportunističke. Do kraja listopada gotovo cijeli iranski utjecaj i značajni kibernetički akteri fokusirali su se na Izrael na način koji je sve više ciljan, koordiniran i destruktivan, što je dovelo do naizgled neograničene kampanje protiv Izraela u kojoj svi sudjeluju. Za razliku od nekih prošlih iranskih računalnih napada, svi njegovi destruktivni računalni napada protiv Izraela u ovom ratu – stvarni ili izmišljeni – dopunjeni su operacijama utjecaja na mreži.

Definirani ključni pojmovi

  • Operacije utjecaja omogućene kibernetičkom tehnologijom 
    Operacije koje su kombinacija ofenzivnih operacija na računalnoj mreži i poruka i jačanja na koordinirani i manipulativni način u cilju mijenjanja percepcije, ponašanja ili odluka ciljne publike radi ostvarivanja interesa i ciljeva grupe ili nacije.
  • Kibernetička persona 
    Grupa ili pojedinac napravljeni za javnost, koji preuzimaju odgovornost za kibernetičke operacije, čime se vjerodostojno poriče odgovornost grupe ili nacije koja stoji iza toga.
  • Lutka od čarapa 
    Lažna persona na mreži koja koristi fiktivne ili ukradene identitete u cilju obmane.

Operacije utjecaja postajale su sve više sofisticirane i neautentične uz upotrebu mreža „lutki od čarapa” na društvenim mrežama kako je rat napredovao. Tijekom rata cilj je ovih operacija utjecaja bio zastrašiti Izraelce i kritizirati način na koji izraelska vlada tretira taoce i vojne operacije radi polariziranja i konačne destabilizacije Izraela.

Na kraju je Iran preusmjerio računalne napade i operacije utjecaja protiv političkih saveznika i gospodarskih partnera Izraela kako bi potkopao podršku vojnim operacijama Izraela.

Očekujemo da će prijetnja izazvana računalnim operacijama i operacijama utjecaja Irana biti sve veća tijekom trajanja sukoba, pogotovo uslijed sve većeg potencijala za proširenje rata. Sve veća drskost iranskih aktera i aktera povezanih s Iranom, u kombinaciji sa sve većom suradnjom među njima, najavljuje sve veću prijetnju pred izbore u SAD-u u studenome.

Kibernetičke operacije i operacije utjecaja Irana napredovale su u više faza od terorističkog napada Hamasa 7. listopada. Jedan je element njihovih operacija uvijek isti: kombinacija oportunističkog kibernetičkog ciljanja i operacija utjecaja, koji često stvaraju lažnu sliku o preciznosti ili obujmu utjecaja.

U ovom je izvješću fokus na iranskom utjecaju i operacijama utjecaja omogućenih kibernetičkom tehnologijom od 7. listopada do kraja 2023 i pokriva trendove i operacije iz proljeća 2023.

Grafikon koji opisuje faze iranskih operacija utjecaja omogućenih kibernetičkom tehnologijom u ratu između Izraela i Hamasa

Prva faza: Reakcija i obmana

Iranske grupe bile su reaktivne tijekom prve faze rata između Izraela i Hamasa. Državni iranski mediji izdali su obmanjujuće pojedinosti o priznatim računalnim napadima, a iranske grupe ponovo su iskoristile ponovno iskorištene, zastarjele materijale iz prijašnjih operacija i pristup koji su imale prije rata i preuveličale su ukupni opseg i utjecaj priznatih računalnih napada.

Ni nakon skoro četiri mjeseca od početka rata Microsoft i dalje ne vidi jasne dokaze iz naših podataka koji ukazuju na to da su iranske grupe koordinirale kibernetičke operacije ili operacije utjecaja s Hamasovima planovima da napadne Izrael 7. listopada. Štoviše, većina naših podataka i rezultata ukazuje na to da su iranski kibernetički akteri reagirali i brzo intenzivirali kibernetičke operacije i operacije utjecaja nakon napada Hamasa kako bi se suprotstavili Izraelu.

Obmanjujuće pojedinosti o priznatim napadima preko državnih medija: 
Na dan kada je izbio rat, novinska agencija Tasnim, iranska medijska kuća povezana s Korpusom islamske revolucionarne garde (IRGC), lažno je tvrdila da je grupa pod nazivom „Cyber Avengers” provela računalne napade na izraelsku elektranu „u isto vrijeme“ kad su se dogodili napadi Hamasa. 2 Grupa Cyber Avengers, kibernetička persona kojom upravlja IRGC, tvrdila je da je provela računalni napad na izraelsko elektroenergetsko poduzeće večer uoči napada Hamasa.3 Njihovi dokazi: novinsko izvješće staro nekoliko tjedana o nestancima struje „proteklih godina” i snimka zaslona poremećaja usluge na web-mjestu poduzeća bez naznačenog datuma. 4
Ponovna upotreba starog materijala: 
Nakon napada Hamasa na Izrael, grupa Cyber Avengers tvrdila tvrdili je da je izvela niz kibernetičkih napada na Izrael, a naša su istraživanja otkrila da je najraniji bio lažan. Dana 8. listopada tvrdili su da su objavili dokumente izraelske elektrane, iako je te dokumente ranije objavila, u lipnju 2022., druga kibernetička persona kojom upravlja IRGC „Moses Staff”.5
Pristup u druge svrhe: 
Druga kibernetička persona „Malek Team” kojom, prema našoj procjeni, upravlja Ministarstvo Irana za obavještavanje i sigurnost (MOIS), objavila je osobne podatke s izraelskog sveučilišta 8. listopada, bez jasne povezanosti između tog napada i rastućeg sukoba tamo, što ukazuje na to da je meta izabrana oportunistički, možda na osnovi postojećeg pristupa prije izbijanja rata. Malek Team nije pokazivao veze između objavljenih podataka i podrške za operacije Hamasa, već je u početku koristio oznake sa znakom # na mreži X (ranije poznate pod nazivom Twitter) za podršku Hamasu, a tek je nekoliko dana kasnije promijenio poruke tako da se usklade s porukama kojima se omalovažava izraelski premijer Benjamin Netanyahu, a koje su viđene u drugim iranskim operacijama utjecaja.
Graf primjene iranske propagande diljem svijeta prikazanog u vidu vremenske osi i udjela u prometu
Slika 2.: Microsoftovo obavještavanje o prijetnjama – primjena iranske propagande po zemlji, napadi Hamasa na Izrael. Graf koji prikazuje aktivnost od travnja do prosinca 2023.
Iranske operacije utjecaja bile su najučinkovitije u prvim danima rata 
Doseg iranskih medija povezanih s državom naglo je skočio nakon izbijanja rata između Izraela i Hamasa. U prvom tjednu sukoba primijetili smo porast od 42 % u indeksu iranske propagande u laboratoriju Microsoft AI for Good, kojim se nadzire primjena vijesti iranskih državnih medijskih kuća i medijskih kuća povezanih s iranskom državom (vidjeti Sliku 1.). Ovaj indeks mjeri udio prometa posjeta ovim web-mjestima u ukupnom prometu na internetu. Taj porast naročito je izražen u zemljama gdje se govori engleski i koje su bliske saveznice SAD-a (Slika 2.), iz čega se vidi sposobnost Irana da dopre do zapadne publike izvješćivanjem o sukobima na Srednjem istoku. Mjesec dana nakon početka rata, doseg tih iranskih izvora ostao je na razini od 28 – 29 % više u odnosu na razine prije početka rata, diljem svijeta.
Iranski utjecaj bez računalnih napada pokazuje agilnost 
Operacije utjecaja Irana djelovale su agilnije i djelotvornije u ranim danima rata u odnosu na kombinaciju kibernetičkih operacija i operacija utjecaja kasnije tijekom sukoba. Nekoliko dana nakon napada Hamasa na Izrael, vjerojatni iranski državni akter, koji smo nazvali Storm-1364 pokrenuo je operaciju utjecaja koristeći personu na mreži pod nazivom Tears of War koja je imitirala izraelske aktiviste kako bi širila poruke protiv Netanyahua među izraelskom publikom na brojnim društvenim mrežama i platformama za slanje poruka. Brzina kojom je Storm-1364 pokrenuo ovu kampanju nakon napada od 7. listopada ukazuje na agilnost grupe i prednosti kampanja koje se samo zasnivaju na utjecaju, koje se možda brže oblikuju jer nema potrebe za čekanjem kibernetičke aktivnosti operacije utjecaja omogućene kibernetičkom tehnologijom.

Druga faza: Svi sudjeluju

Od sredine do kraja listopada sve veći broj iranskih grupa usmjerio je pažnju prema Izraelu, a iranske operacije utjecaja omogućene kibernetičkom tehnologijom više nisu bile u većoj mjeri reaktivne, fabricirane ili i jedno i drugo, već su počele obuhvaćati i destruktivne računalne napade i razvijati mete od interesa za operacije. Ti su napadi obuhvaćali brisanje podataka, ucjenjivački softver, a izgleda i podešavanje uređaja interneta stvari (IoT).6 Vidjeli smo i naznake veće koordinacije iranskih grupa.

U prvom tjednu rata Microsoftovo obavještavanje o prijetnjama otkrilo je devet iranskih grupa kojima je Izrael aktivna meta. Taj broj je porastao na 14 do 15. dana. U nekim smo slučajevima primijetili više grupa IRGC-a ili MOIS-a koje istu organizaciju ili vojnu bazu napadaju kibernetičkim aktivnostima ili aktivnostima utjecaja, što ukazuje na koordinaciju, zajedničke ciljeve postavljene u Teheranu ili i jedno i drugo.

Zabilježen je i skok operacija utjecaja omogućenih kibernetičkom tehnologijom. Primijetili smo četiri operacije utjecaja omogućene kibernetičkom tehnologijom koje su primijenjene brzo, a kojima je meta bio Izrael u prvom tjednu rata. Do kraja listopada broj tih operacija se više nego udvostručio, što je značajno ubrzanje tih operacija s daleko najbržim tempom ikada (vidjeti Sliku 4.).

Ilustracija: Povezanost iranskih kibernetičkih operacija i operacija utjecaja, pripadajući simboli, obavještavanje o prijetnjama i Korpus revolucionarne garde
Vremenska os iranskih operacija kibernetičkog utjecaja: Skok tijekom hamaškog rata, 2021 – 2023.

Dana 18. listopada grupa Shahid Kaveh IRGC-a, koju Microsoft prati kao Storm-0784, koristila je prilagođeni ucjenjivački softver za provođenje računalnih napada na sigurnosne kamere u Izraelu. Zatim je iskoristila jednu od kibernetičkih persona, Soldiers of Solomon, za lažne tvrdnje da je otela sigurnosne kamere i podatke iz zrakoplovne baze Nevatim. Pregledom snimaka sa sigurnosnih kamera koje je grupa Soldiers of Solomon otkrila, utvrđeno je da potiču iz grada sjeverno od Tel Aviva, gdje postoji ulica pod nazivom Nevatim, a ne istoimena zrakoplovna baza. Štoviše, analizom lokacija žrtava otkriveno je da nitko nije bio blizu vojne baze (vidjeti Sliku 5.). Iako su iranske grupe započele destruktivne napade, njihove operacije su i dalje u velikoj mjeri oportunističke i još uvijek se koriste aktivnosti utjecaja za preuveličavanje preciznosti ili učinka napada.

Dana 21. listopada druga kibernetička persona kojom upravlja grupa IRGC-a pod nazivom Cotton Sandstorm (poznatija kao Emennet Pasargad), podijelila je video kako napadači uništavaju digitalne zaslone u sinagogi uz poruke u kojima se operacije Izraela u Gazi nazivaju „genocidom”. 7 To predstavlja metodu ugrađivanja poruka izravno u računalne napade na relativno laku metu.

Tijekom te faze u iranskim aktivnostima utjecaja koristili su se širi i sofisticiraniji oblici neautentičnog povećavanja. Tijekom prva dva tjedna rata otkrili smo minimalno napredne oblike lažnog jačanja – što opet ukazuje na to da su operacije bile reaktivne. Do trećeg tjedna rata najaktivniji iranski akter utjecaja, Cotton Sandstorm, 21. listopada stupio je na scenu pokretanjem triju operacija utjecaja omogućenih kibernetičkom tehnologijom. Kao što smo često viđali od grupe, koristila je mrežu lutaka od čarapa na društvenim mrežama za jačanje operacija, iako djeluje da je mnogima brzo promijenjena namjena bez autentičnih maski koje bi ih prerušile u Izraelce. Grupa Cotton Sandstorm više je puta slala veliki broj tekstualnih poruka ili poruka e-pošte kako bi jačala ili istaknula svoje operacije, koristeći ugrožene račune kako bi pojačala autentičnost.8

Razotkrivene tvrdnje Irana o računalnim napadima: Lažni ucjenjivački softver i s snimke sa sigurnosnih kamera, razotkrivene obmanjujuće operacije utjecaja

Treća faza: Širenje geografskog opsega

Krajem studenoga iranske grupe počele su širiti utjecaj omogućen kibernetičkom tehnologijom izvan Izraela, na zemlje koje, prema Iranu, pomažu Izraelu, najvjerojatnije radi potkopavanja međunarodne političke, vojne ili gospodarske podrške vojnim operacijama Izraela. To širenje meta uskladilo se s početkom napada Huta, šiitske militantne grupe iz Jemena koju podržava Iran, na međunarodne pošiljke povezane s Izraelom (vidjeti Sliku 8.).9

  • Dana 20. studenoga kibernetička persona kojom upravlja Iran, Homeland Justice, upozorila je na velike predstojeće napade na Albaniju prije jačanja destruktivnih računalnih napada grupa MOIS-a krajem prosinca na albansku Skupštinu, domaću zrakoplovnu kompaniju i albanske davatelje telekomunikacijskih usluga.10
  • Dana 21. studenoga kibernetička persona Al-Toufan kojom upravlja Cotton Sandstorm“ za metu je imala vladu i financijske organizacije u Bahreinu zbog normalizacije odnosa s Izraelom.
  • Do 22. studenoga grupe povezane s IRGC-om počele su ciljati na programabilne logičke kontrolere (PLC-ovi) u Sjedinjenim Američkim Državama, a možda i u Irskoj, napravljene u Izraelu, a jedan od njih je i skinut s mreže u vodovodnom organu u Pennsylvaniji 25. studenoga (Slika 6.).11 PLC-ovi su industrijska računala prilagođena za kontrolu proizvodnih procesa, kao što su pokretne trake, strojevi i robotski uređaji.
  • Početkom prosinca persona koju, prema procjeni centra MTAC, sponzorira Iran Cyber Toufan Al-Aksa, tvrdila je da je objavila podatke dvaju američkih poduzeća zbog financijske podrške Izraelu i osiguranja opreme za vojsku.12 Prije toga su preuzeli odgovornost za napade na ta poduzeća brisanjem podataka 16. studenoga.13 Zbog nedostatka jakih forenzičkih dokaza koji povezuju tu grupu s Iranom, moguće je da tom personom upravlja partner Irana izvan zemlje, uz angažiranje Irana.
Uništen PLC u pennsylvanijskom vodovodnom tijelu, s logotipom grupe Cyber Avengers, 25. studenoga

Iranske operacije utjecaja omogućene kibernetičkom tehnologijom također su postajale sve sofisticiranije u najnovijoj fazi. Bolje su prerušili svoje lutke od čarapa promjenom imena i mijenjanjem fotografija profila tako da više izgledaju kao Izraelci. U međuvremenu su iskoristili nove tehnike koje nismo vidjeli od iranskih aktera, uključujući korištenje AI-ja kao glavnog elementa u porukama. Procjenjujemo da je u prosincu grupa Cotton Sandstorm ometala usluge strujanja televizijskih usluga u UAE-u i na drugim mjestima, u obliku persone naziva „For Humanity”. Grupa For Humanity objavila je videozapise na Telegramu, na kojima hakiraju tri usluge strujanja na mreži i ometaju nekoliko informativnih kanala emitiranjem lažnih vijesti sa spikerom, koji izgleda kao da je generiran umjetnom inteligencijom, i koji je tvrdio da prikazuje slike ranjenih i ubijenih Palestinaca tijekom izraelskih vojnih operacija (Slika 7.).14 Medijske kuće i gledatelji u UAE-u, Kanadi i UK-u prijavili su smetnje u strujanju televizijskog programa, uključujući i program kanala BBC, što se podudaralo s tvrdnjama grupe For Humanity.15

HUMANITY 2023.: 8. listopada, 180 ubijeno, 347 ranjeno. Slika 7.: Ometanje strujanja TV programa s pomoću spikera generiranog umjetnom inteligencijom
Iran proširuje ciljanje na one koji podržavaju Izrael, računalne napade, upozorenja i uništenja.

Iranske operacije imale su četiri opća cilja: destabilizaciju, odmazdu, zastrašivanje i potkopavanje međunarodne podrške za Izrael. Svrha svih četiriju ciljeva je potkopavanje informacijskih okruženja Izraela i onih koji ga podržavaju radi stvaranja opće zbrke i nepovjerenja.

Destabilizacija polarizacijom 
Iransko ciljanje Izraela tijekom rata između Izraela i Hamasa sve više se fokusira na potpirivanje domaćeg sukoba u vezi s načinom na koji vlada Izraela pristupa ratu. Mnoge iranske operacije utjecaja predstavljene su kao izraelske aktivističke grupe u cilju slanja poruka potpirivanja kojima se kritizira pristup vlade prema onima koji su oteti i koji se drže taocima od 7. listopada.17 Netanyahu je glavna meta takvih poruka, a pozivanja da se smijeni bila su česta tema u operacijama utjecaja Irana.18
AVENGERS – bez struje, hrane, vode, goriva. Grupa Cyber Avengers ponovo objavila video blokade Izraela
Odmazda 
Veliki dio iranskih poruka i izbora meta naglašava osvetničku prirodu njihovih operacija. Na primjer, persona propisnog naziva Cyber Avangers objavila je video u kojem izraelski ministar obrane izjavljuje da će Izrael prekinuti opskrbu grada Gaze strujom, hranom, vodom i gorivom (vidjeti Sliku 9.), nakon čega slijedi niz napada na izraelsku infrastrukturu za opskrbu strujom, vodom i gorivom, za koje je grupa Cyber Avangers preuzela odgovornost.19 Njihove prethodne tvrdnje da su izvršili napade na izraelske nacionalne sustave opskrbe vodom nekoliko dana prije toga sadržavale su poruku „oko za oko”, a novinska agencija Tasnim povezana s IRGC-om izvijestila je da je grupa izjavila da su napadi na sustave opskrbe vodom osveta za opsadu Gaze.20 Grupa povezana s MOIS-om, koju pratimo kao Pink Sandstorm (poznata i pod nazivom Agrius), hakirala je izraelsku bolnicu i objavila njihove podatke krajem studenoga, što djeluje kao osveta zbog višednevne opsade bolnice al-Shifa Hospital u Gazi od strane Izraela dva tjedna prije toga.21
Zastrašivanje 
Operacije Irana imaju za cilj i da potkopaju sigurnost Izraelaca i zastrašuju građane Izraela i one koji ga podržavaju slanjem prijetećih poruka i uvjeravanjem ciljne publike da infrastruktura njihove države i vladini sustavi nisu sigurni. Čini se da je dio iranskog zastrašivanja usmjeren ka potkopavanje volje Izraela da nastavi ratovati, na primjer porukama u kojima pokušavaju uvjeriti vojnike IDF-a da trebaju „ostaviti rat i vratiti se kućama“ (Slika 10.).22 Jedna iranska kibernetička persona, koja je možda prerušena u Hamas, tvrdila je da je slala prijeteće tekstualne poruke obiteljima izraelskih vojnika, dodajući: „Vojnici IDF-a (Izraelskih obrambenih snaga) trebaju biti svjesni da sve dok naše obitelji nisu sigurne, nisu ni njihove”.23 Lutke od čarapa koje jačaju personu Hamasa širili su poruke na mreži X da IDF „nema moć da zaštiti vlastite vojnike” i pokazali su gledateljima niz poruka koje su navodno poslali vojnici IDF-a, a u kojima mole Hamas da poštedi njihove obitelji.24
Prijeteća poruka lutke od čarapa kojom navodno upravlja Cotton Sandstorm, u kojoj se navodi pristup osobnim podacima i potiče odustajanje od rata.
Potkapanje međunarodne podrške Izraelu 
Iranske operacije utjecaja usmjerene prema međunarodnoj publici često imaju poruke čiji je cilj slabljenje međunarodne podrške Izraelu isticanjem štete nastale zbog napada Izraela na Gazu. Persona koja se predstavlja kao grupa koja podržava Palestinu nazvala je izraelske akcije u Gazi genocidom.25 U prosincu je grupa Cotton Sandstorm provela više operacija utjecaja – pod nazivima For Palestinians i For Humanity – kojima je međunarodna zajednica pozvana da osudi napade Izraela na Gazu.26

Da bi ostvario svoje ciljeve u informativnom prostoru, Iran se u velikoj mjeri oslanjao na četiri taktike, tehnike i procedure utjecaja (TTP) proteklih devet mjeseci. One obuhvaćaju primjenu imitiranja i poboljšanih sposobnosti za aktiviranje ciljne publike, zajedno s pojačanom upotrebom kampanja preko tekstualnih poruka i upotrebom medija povezanih s IRGC-om radi jačanja operacija utjecaja.

Imitiranje grupa izraelskih aktivista i iranskih partnera 
Iranske grupe su nadogradile dugogodišnje tehnike imitiranja uspostavljanjem konkretnijih i uvjerljivijih persona koje su se predstavljale i kao prijatelji i kao neprijatelji Irana. Za mnoge prošle operacije i persone Irana navodilo se da su aktivisti koji podržavaju palestinsku svrhu.27 Nedavne operacije persone kojom, prema našim procjenama, upravlja Cotton Sandstorm, otišle su korak dalje, korištenjem naziva i logotipa vojnog krila Hamasa, brigade al-Qassam, radi širenja lažnih poruka o držanju taoca u Gazi i slanja prijetećih poruka Izraelcima. Na jednom drugom kanalu na Telegramu, gdje su snage IDF-a primale prijetnje i gdje su objavljeni njihovi osobni podaci, a kojim je, prema našoj procjeni, upravljala grupa MOIS-a, također je korišten logotip brigada al-Qassam. Nije jasno postupa li Iran uz odobrenje Hamasa.

Isto tako, Iran stvara sve uvjerljivije imitacije fiktivnih izraelskih aktivističkih organizacija s desnog i lijevog kraja političkog spektra u Izraelu. Preko tih lažnih aktivista Iran se želi infiltrirati u izraelske zajednice kako bi zadobio njihovo povjerenje i širio neslaganje.

Poticanje Izraelaca na akciju 
U travnju i studenome Iran je više puta uspješno regrutirao nesvjesne Izraelce za sudjelovanje u aktivnostima promocije lažnih operacija na samom mjestu. U jednoj nedavnoj operaciji, Tears of War, iranski operativci su, navodno, uspjeli uvjeriti Izraelce da objese transparente s obilježjima grupe Tears of War u izraelskim naseljima sa slikom Netanyahua, koja je izgledala kao da je generirana umjetnom inteligencije, i pozivaju na njegovu smjenu s vlasti (Slika 11.).28
Jačanje učinaka preko tekstualnih poruka i poruka e-pošte sve češće i sve sofisticiranije 
Iako se iranske operacije utjecaja i dalje uglavnom oslanjaju na koordinirana lažna jačanja preko društvenih mreža kako bi došle do ciljne publike, Iran sve više koristi slanje velikog broja tekstualnih poruka i poruka e-pošte radi povećavanja psiholoških učinaka operacija utjecaja omogućenih kibernetičkom tehnologijom. Jačanje na društvenim mrežama s pomoću lutaka od čarapa nema isti učinak kao poruka u ulaznoj pošti, a kamoli na telefonu. Grupa Cotton Sandstorm iskoristila je prošle uspjehe korištenja te tehnike od 2022. godine,29 slanjem skupa tekstualnih poruka, e-poruka ili i jednih i drugih tijekom najmanje šest operacija od kolovoza. Povećana primjena te tehnike ukazuje na to da je grupa unaprijedila sposobnosti i da smatra da je učinkovita. Operacija grupe Cotton Sandstorm pod nazivom Cyber Flood krajem listopada obuhvaćala je najviše tri skupa velikog broja tekstualnih poruka i poruka e-pošte Izraelcima, kojima se jačaju računalni napadi za koje su preuzeli odgovornost ili šire lažna upozorenja napada Hamasa na izraelski nuklearni objekt u blizini Dimone.30 U barem jednom slučaju koristili su ugroženi račun radi veće vjerodostojnosti poruka e-pošte.
Slika 11.: Transparent operacije Tears of War u Izraelu sa slikom Netanyahua generiranom s pomoću umjetne inteligencije i tekstom „javna optužba odmah”.
Iskorištavanje državnih medija 
Iran koristi medijske kuće koje su otvoreno ili prikriveno povezane s IRGC-om radi jačanja navodnih kibernetičkih operacija, a ponekad i za preuveličavanje njihovih učinaka. U rujnu kada je grupa Cyber Avengers preuzela odgovornost za računalne napade na željeznice Izraela, mediji povezani s IRGC-om gotovo su odmah pojačali i preuveličali njihove tvrdnje. Novinska agencija Tasnim povezana s IRGC-om pogrešno je citirala izraelsku reportažu o drugom događaju kao dokaz da se računalni napad zaista dogodio.31 To su izvješće dodatno pojačale i druge iranske medijske kuće i medijske kuće povezane s Iranom na način da nedostatak dokaza za tvrdnje o računalnom napadu bude još nejasniji.32
Usvajanje novonastalog AI-ja za operacije utjecaja 
MTAC je promatrao iranske aktere kako koriste slike i videozapise generirane s pomoću umjetne inteligencije od izbijanja rata između Izraela i Hamasa. Cotton Sandstorm i Storm-1364, kao i Hezbollah i medijske kuće povezane s Hamasom, iskoristili su AI za pojačavanje zastrašivanja i razvijanje slika kojima se omalovažava Netanyahu i čelnici Izraela.
Slika 12.: Operacije utjecaja grupe Cotton Sandstorm od kolovoza do prosinca 2023. s prikazom raznih metoda i aktivnosti.
1. Sve veća suradnja 
Nekoliko tjedana od početka rata između Izraela i Hamasa počeli smo viđati primjere suradnje između grupa koje su povezane s Iranom, čime se povećava potencijal onoga što akteri mogu postići. Suradnjom se smanjuje prepreka za ulazak, a što svakoj grupi omogućava da pridonese postojećim mogućnostima i uklanja se potreba da jedna grupa razvije čitav spektar alata i zanata.

Procjenjujemo da je par grupa povezan s MOIS-om, Storm-0861 i Storm-0842, surađivao na destruktivnom računalnom napadu u Izraelu krajem listopada i ponovo u Albaniji krajem prosinca. U oba je slučaja Storm-0861 vjerojatno omogućio pristup mreži, nakon čega je Storm-0842 pokrenuo zlonamjerni softver za brisanje. Slično tome, Storm-0842 je pokrenuo zlonamjerni softver za brisanje u subjektima vlade Albanije u srpnju 2022. nakon što je Storm-0861 ostvario pristup.

U listopadu je druga grupa povezana s MOIS-om, Storm-1084, možda isto imala pristup organizaciji u Izraelu gdje je grupa Storm-0842 implementirala zlonamjerni softver za brisanje, „BiBi”, nazvan po tome što zamjenjuje nazive izbrisanih datoteka nizom „BiBi”. Nije jasno kakvu je ulogu grupa Storm-1084 imala u destruktivnom napadu, ako ju je uopće i imala. Grupa Storm-1084 provela je destruktivne računalne napade na drugu izraelsku organizaciju početkom 2023., koju je omogućila druga grupa povezana s MOIS-om, Mango Sandstorm (poznata i pod nazivom MuddyWater).33

Od izbijanja rata Microsoftovo obavještavanje o prijetnjama uočilo je suradnju između grupe povezane s MOIS-om, Pink Sandstorm, i kibernetičkih jedinica Hezbollaha. Microsoft je primijetio podudaranja u infrastrukturi i zajedničke alate. Iranska suradnja s Hezbollahom na kibernetičkim operacijama, iako se ne događa prvi put, stvara zabrinutost da rat još više može zbližiti te grupe iz različitih zemalja u operativnom smislu.34 Budući da su svi iranski kibernetički napadi u ovom ratu bili kombinirani s operacijama utjecaja, postoji još veća vjerojatnost da će Iran poboljšati operacije utjecaja i njihov doseg korištenjem izvornih govornika arapskog radi veće vjerodostojnosti njegovih lažnih persona.

2. Veliki fokus na Izrael 
Pojačao se fokus iranskih kibernetičkih aktera na Izrael. Iran je već dugo fokusiran na Izrael, koji za Teheran predstavlja glavnog neprijatelja uz Sjedinjene Američke Države. U skladu s time, temeljem obavještajnih podataka Microsoftova obavještavanje o prijetnjama posljednjih nekoliko godina, poduzeća iz Izraela i SAD-a skoro su uvijek bila najčešće mete Irana. Prije rata, iranski akteri su se najviše fokusirali na Izrael, a zatim na UAE i Sjedinjene Američke Države. Od izbijanja rata, taj fokus na Izrael još se više povećao. Četrdeset i tri posto iranskih državnih kibernetičkih aktivnosti praćenih u Microsoftu za metu su imale Izrael, što je više od napada na 14 sljedećih zemalja zajedno.
Analiza postotka obavještavanja o prijetnjama Mogulta po zemlji i napadi Irana prije rata i 75 dana od početka rata

Očekujemo da će prijetnja izazvana kibernetičkim operacijama i operacijama utjecaja Irana biti sve veća tijekom trajanja sukoba između Izraela i Hamasa, pogotovo usred sve većeg potencijala za eskalaciju na dodatnim frontovima. Dok su žurile da provedu ili barem lažiraju operacije u prvim danima rata, iranske grupe su usporile najnovije operacije i tako dobile na vremenu da ostvare željeni pristup ili razviju složenije operacije utjecaja. Ono što je jasno iz faza rata opisanih u ovom izvješću je da su iranske kibernetičke operacije i operacije utjecaja polako napredovale i postale više usmjerene, destruktivnije i obuhvaćale su više suradnika.

Iranski akteri postaju sve hrabriji u napadima, posebice u računalnom napadu na bolnicu i testiraju granice Washingtona kao da ne brinu o posljedicama. Napadi IRGC-a na sustave upravljanja vodom u SAD-u, premda oportunistički, bili su naizgled pametan način testiranja Washingtona tvrdnjom da su napadi legitimni jer je napadnuta oprema napravljena u Izraelu.

Povećana suradnja iranskih grupa i grupa povezanih s Iranom pred izbore u SAD-u u studenome 2024. predstavlja veliki izazov za one koji se bore za obranu izbora. Branitelji se više ne mogu tješiti praćenjem nekoliko grupa. Naprotiv, sve veći broj agenata za pristup, grupa za utjecaj i kibernetičkih aktera stvara okruženje prijetnji koje je sve složenije i više isprepleteno.

Više uvida stručnjaka o operacijama utjecaja Irana

Poslušajte još više od stručnjaka za iranske operacije utjecaja omogućene kibernetičkom tehnologijom, s fokusom na akcije Irana u vezi s predsjedničkim izborima u SAD iz 2020. i ratom između Izraela i Hamasa u podcastu Microsoftova obavještavanja o prijetnjama. Rasprava obuhvaća taktike koje koriste iranski akteri, kao što su imitiranje, regrutiranje lokalnog stanovništva i korištenje poruka e-pošte i tekstualnih poruka za jačanje. Također pruža kontekst za složenosti iranskih kibernetičkih aktivnosti, težnje za suradnjom, primjenu propagande, kreativnih taktika i problema kod atribuiranja operacija utjecaja.

Povezani članci

Ruski zlonamjerni akteri jače napadaju, spremaju se iskoristiti ratni zamor 

Ruske kibernetičke operacije i operacije utjecaja i dalje traju s nastavkom rata u Ukrajini. Microsoftovo obavještavanje o prijetnjama navodi najnovije aktivnosti računalnih prijetnji i utjecaja u zadnjih šest mjeseci.

Iran se okreće računalno omogućenima operacijama utjecaja radi većeg učinka

Microsoftovo obavještavanje o prijetnjama otkrilo je računalno omogućene operacije utjecaja izvan Irana. Dobijte uvide o prijetnjama s pojedinostima o novim tehnikama te gdje postoji potencijal za buduće prijetnje.

Računalne operacije i operacije utjecaja u ratu na ukrajinskom digitalnom bojnom polju

Microsoftovo obavještavanje o prijetnjama ispituje godinu dana računalnih operacija i operacija utjecaja u Ukrajini, otkriva nove trendove u računalnim prijetnjama i što očekivati dok rat ulazi u drugu godinu.