Trace Id is missing

Irã aumenta operações de influência cibernética em apoio ao Hamas

Introdução

Quando a guerra entre Israel e Hamas eclodiu em 7 de outubro de 2023, o Irã imediatamente aumentou o apoio ao Hamas com sua técnica, agora bem desenvolvida, de combinar hacks direcionados com operações de influência amplificadas nas redes sociais, o que chamamos de operações de influência habilitadas por cibernética.1As operações do Irã foram inicialmente reacionárias e oportunistas. No final de outubro, quase toda a influência do Irã e dos principais atores cibernéticos se concentraram em Israel de forma cada vez mais direcionada, coordenada e destrutiva, criando uma campanha aparentemente ilimitada de "todos agindo" contra Israel. Ao contrário de alguns dos ataques cibernéticos anteriores do Irã, todos os ataques cibernéticos destrutivos contra Israel nessa guerra, reais ou fabricados, foram complementados com operações de influência online.

Termos-chave definidos

  • Operações habilitadas de influência cibernética 
    Operações que combinam operações ofensivas de rede de computadores com mensagens e amplificação de forma coordenada e manipuladora para mudar percepções, comportamentos ou decisões de públicos-alvo para promover os interesses e objetivos de um grupo ou de uma nação.
  • Persona cibernética 
    Um grupo ou indivíduo fabricado voltado ao público que assume a responsabilidade por uma operação cibernética e, ao mesmo tempo, fornece negação plausível para o grupo ou nação subjacente responsável.
  • Fantoche 
    Uma falsa persona online que emprega identidades fictícias ou roubadas com o objetivo de enganar.

As operações de influência ficaram cada vez mais sofisticadas e inautênticas, implantando redes de "fantoches" de redes sociais à medida que a guerra avançava. Durante a guerra, essas operações de influência procuraram intimidar os israelenses e, ao mesmo tempo, criticar a forma como o governo israelense lidou com os reféns e as operações militares para polarizar e, em última instância, desestabilizar Israel.

Por fim, o Irã voltou seus ataques cibernéticos e operações de influência contra os aliados políticos e parceiros econômicos de Israel para minar o apoio às operações militares de Israel.

Esperamos que a ameaça representada pelas operações cibernéticas e de influência do Irã aumente à medida que o conflito persistir, principalmente em meio ao potencial crescente de uma guerra mais ampla. O aumento da ousadia dos atores iranianos e afiliados ao Irã, juntamente com a crescente colaboração entre eles, pressagia uma ameaça crescente antes das eleições nos EUA em novembro.

As operações cibernéticas e de influência do Irã passaram por várias fases desde o ataque terrorista do Hamas em 7 de outubro. Um elemento das operações permaneceu constante: a combinação de alvos cibernéticos oportunistas com operações de influência que muitas vezes enganam a precisão ou o escopo do impacto.

Este relatório se concentra na influência iraniana e nas operações de influência cibernética de 7 de outubro até o final de 2023, além de abranger tendências e operações que remontam à primavera de 2023.

Gráfico que descreve as fases das operações de influência cibernética do Irã na guerra Israel-Hamas

Fase 1: Reativo e enganoso

Os grupos iranianos foram reativos durante a fase inicial da guerra entre Israel e Hamas. A mídia estatal iraniana divulgou detalhes enganosos sobre os supostos ataques cibernéticos e os grupos iranianos reutilizaram material antigo de operações históricas, reaproveitaram o acesso que tinham antes da guerra e exageraram o escopo geral e o impacto dos supostos ataques cibernéticos.

Quase quatro meses após o início da guerra, a Microsoft ainda não viu evidências claras em nossos dados que indiquem que grupos iranianos tenham coordenado suas operações cibernéticas ou de influência com os planos do Hamas de atacar Israel em 7 de outubro. Em vez disso, a preponderância de nossos dados e descobertas sugere que os agentes cibernéticos iranianos foram reativos, aumentando rapidamente suas operações cibernéticas e de influência após os ataques do Hamas para combater Israel.

Detalhes enganosos sobre ataques reivindicados pela mídia estatal: 
No dia em que a guerra começou, a Tasnim News Agency, um veículo iraniano afiliado ao IRGC (Corpo da Guarda Revolucionária Islâmica), afirmou falsamente que um grupo chamado "Cyber Avengers" realizou ataques cibernéticos contra uma usina de energia israelense "ao mesmo tempo" que os ataques do Hamas. 2 O Cyber Avengers, um personagem cibernético administrado pelo IRGC, alegou ter realizado um ataque cibernético contra uma empresa de eletricidade israelense na noite anterior à incursão do Hamas.3 Suas evidências: relatos da imprensa de semanas anterior sobre quedas de energia "nos últimos anos" e uma captura de tela de uma interrupção de serviço sem data no site da empresa. 4
Reutilização de material antigo: 
Após os ataques do Hamas a Israel, o Cyber Avengers alegou ter realizado uma série de ataques cibernéticos contra Israel, sendo que o primeiro deles nossas investigações revelaram ser falso. Em 8 de outubro, ele alegou ter vazado documentos de uma usina de energia israelense, embora os documentos tenham sido publicados anteriormente em junho de 2022 por outro personagem cibernético administrado pelo IRGC, "Moses Staff".5
Reutilização do acesso: 
Outro personagem cibernético, o "Team Malek", que avaliamos ser administrada pelo MOIS (Ministério de Inteligência e Segurança) do Irã, vazou dados pessoais de uma universidade israelense em 8 de outubro, sem nenhuma ligação clara entre o alvo e o conflito crescente no país, o que sugere que o alvo foi oportunista e talvez escolhido com base no acesso preexistente antes do início da guerra. Em vez de estabelecer ligações entre os dados vazados e o apoio às operações do Hamas, o Team Malek inicialmente usou hashtags no X (antigo Twitter) para apoiar o Hamas e apenas dias depois mudou as mensagens para se alinhar com o tipo de mensagem que atacavam o primeiro-ministro israelense, Benjamin Netanyahu, como visto em outras Operações de influência iraniana.
Consumo de propaganda iraniana em todo o mundo ilustrado com uma linha do tempo e um gráfico de proporção de tráfego
Figura 2: as Informações sobre ameaças da Microsoft, consumo de propaganda iraniana por país, ataques do Hamas a Israel. Gráfico mostrando a atividade de abril a dezembro de 2023.
As operações de influência do Irã foram mais eficazes nos primeiros dias da guerra 
O alcance da mídia estatal iraniana aumentou após o início da Guerra Israel-Hamas. Na primeira semana do conflito, observamos um aumento de 42% no Índice de Propaganda Iraniana do Microsoft AI for Good Lab, que monitora o consumo de notícias do Estado iraniano e de veículos de notícias afiliados ao Estado (confira a Figura 1). O índice mede a proporção do tráfego que visita esses sites em relação ao tráfego geral na Internet. Esse aumento foi particularmente pronunciado nos países de língua inglesa, estreitamente aliados dos Estados Unidos (Figura 2), destacando a capacidade do Irã de atingir o público ocidental com as suas reportagens sobre os conflitos no Médio Oriente. Um mês após o início da guerra, o alcance dessas fontes iranianas permaneceu 28 a 29% acima dos níveis pré-guerra em todo o mundo.
A influência do Irã sem ataques cibernéticos mostra agilidade 
As operações de influência do Irã pareciam mais ágeis e eficazes nos primeiros dias da guerra em comparação com suas operações combinadas de influência cibernética no final do conflito. Poucos dias após o ataque do Hamas a Israel, um provável ator estatal iraniano, que rastreamos como Storm-1364, lançou uma operação de influência usando uma persona online chamada "Tears of War", que se fazia passar por ativistas israelenses para divulgar mensagens anti-Netanyahu para o público israelense em várias redes sociais e plataformas de mensagens. A rapidez com que Storm-1364 lançou essa campanha após os ataques de 7 de outubro destaca a agilidade desse grupo e aponta para as vantagens das campanhas somente de influência, que podem ser formadas com maior rapidez porque não precisam esperar pela atividade cibernética de uma operação de influência habilitada pela cibernética.

Fase 2: Todos agindo

Entre meados e final de outubro, um número cada vez maior de grupos iranianos mudou seu foco para Israel, e as operações de influência cibernética do Irã deixaram de ser amplamente reativas ou fabricadas, para incluir ataques cibernéticos destrutivos e desenvolver alvos de interesse para as operações. Esses ataques incluíram a exclusão de dados, ransomware e, aparentemente, o ajuste de um dispositivo de IoT (Internet das Coisa).6 Também vimos evidências de maior coordenação entre grupos iranianos.

Na primeira semana da guerra, as Informações sobre ameaças da Microsoft rastreou nove grupos iranianos ativos com alvo em Israel; esse número cresceu para 14 grupos no 15º dia. Em alguns casos, observamos vários grupos do IRGC ou do MOIS visando a mesma organização ou base militar com atividades cibernéticas ou de influência, o que sugere coordenação, objetivos comuns definidos em Teerã ou ambos.

Também surgiram operações habilitadas de influência cibernética. Observamos quatro operações de influência cibernética implementadas às pressas e direcionadas contra Israel na primeira semana da guerra. No final de outubro, o número de operações desse tipo mais do que dobrou, marcando uma aceleração significativa nessas operações com o ritmo mais rápido até o momento (confira a Figura 4).

Ilustração: O nexo cibernético e de influência do Irã, apresentando símbolos, Inteligência contra Ameaças e Corpo da Guarda Revolucionária
Cronograma das operações de influência cibernética do Irã: Aumento durante a guerra de Kamas, 2021 a 2023

Em 18 de outubro, o Grupo Shahid Kaveh do IRGC, que a Microsoft rastreia como Storm-0784, usou ransomware personalizado para conduzir ataques cibernéticos contra câmeras de segurança em Israel. Em seguida, usou uma de suas personas cibernéticas, "Soldiers of Solomon", para alegar falsamente que havia obtido resgate pelas câmeras de segurança e dados na Base Aérea de Nevatim. O exame da filmagem de segurança que Soldiers of Solomon vazou revela que foi feita em uma cidade ao norte de Tel Aviv, na rua Nevatim, e não na base aérea de mesmo nome. De fato, a análise da localização das vítimas revela que nenhuma delas estava perto da base militar (veja a Figura 5). Embora os grupos iranianos tenham iniciado ataques destrutivos, suas operações permaneceram em grande parte oportunistas e continuaram a alavancar a atividade de influência para exagerar a precisão ou o efeito dos ataques.

Em 21 de outubro, outro personagem cibernético administrado pelo grupo do IRGC, o Cotton Sandstorm (comumente conhecido como Emennet Pasargad), compartilhou um vídeo dos agressores desfigurando telas digitais em sinagogas com mensagens que se referiam às operações de Israel em Gaza como "genocídio". 7 Isto marcou um método de incorporar mensagens diretamente em ataques cibernéticos contra um alvo relativamente fácil.

Durante essa fase, a atividade de influência do Irã usou formas mais amplas e sofisticadas de amplificação não autêntica. Nas duas primeiras semanas da guerra, detectamos formas avançadas mínimas de amplificação não autêntica, sugerindo novamente que as operações eram reativas. Na terceira semana da guerra, o agente de influência mais prolífico do Irã, Cotton Sandstorm, entrou em cena lançando três operações de influência cibernética em 21 de outubro. Como vemos com frequência no grupo, eles usaram uma rede de fantoches de redes sociais para ampliar as operações, embora muitos parecessem ter sido reaproveitados às pressas, sem coberturas autênticas que os disfarçassem como israelenses. Em várias ocasiões, o Cotton Sandstorm enviou mensagens de texto ou emails em massa para ampliar ou se gabar de suas operações, aproveitando contas comprometidas para aumentar a autenticidade.8

Desmentidas as alegações de ataque cibernético do Irã: Imagens falsas de ransomware e CCTV, operações de influência enganosas expostas

Fase 3: Expansão do escopo geográfico

Começando no final de novembro, os grupos iranianos expandiram sua influência cibernética para além de Israel, incluindo países que o Irã considera que estão ajudando Israel, com grande probabilidade de prejudicar o apoio político, militar ou econômico internacional às operações militares de Israel. Essa expansão de alvos se alinhou com o início dos ataques a navios internacionais ligados a Israel pelos Houthis, um grupo militante xiita apoiado pelo Irã no Iêmen (veja a Figura 8).9

  • Em 20 de novembro, a persona cibernética "Homeland Justice", administrada pelo Irã, alertou sobre grandes ataques futuros à Albânia, antes de ampliar os ataques cibernéticos destrutivos dos grupos do MOIS no final de dezembro contra o Parlamento, a companhia aérea nacional e os provedores de telecomunicações da Albânia.10
  • Em 21 de novembro, o personagem cibernético "Al-Toufan", administrado pelo Cotton Sandstorm, atacou o governo e as organizações financeiras do Bahrein por normalizarem os laços com Israel.
  • Em 22 de novembro, grupos afiliados ao IRGC começaram a atacar PLCs (controladores lógicos programáveis) de fabricação israelense nos Estados Unidos e, possivelmente, na Irlanda, inclusive colocando um deles offline na autoridade de água da Pensilvânia em 25 de novembro (Figura 6).11 Os PLCs são computadores industriais adaptados para o controle de processos de fabricação, como linhas de montagem, máquinas e dispositivos robóticos.
  • No início de dezembro, uma persona que a MTAC avalia ser patrocinado pelo Irã, "Cyber Toufan Al-Aksa", alegou ter vazado dados de duas empresas americanas por apoiarem financeiramente Israel e fornecerem equipamentos para suas forças armadas.12Anteriormente, eles alegaram ataques de exclusão de dados contra as empresas em 16 de novembro.13 Devido à falta de evidências forenses fortes que liguem o grupo ao Irã, é possível que a persona seja administrada por um parceiro iraniano fora do país com envolvimento iraniano.
PLC desfigurado na autoridade de água da Pensilvânia com o logotipo dos Cyber Avengers em 25 de novembro

As operações de influência cibernética do Irã também continuaram a crescer em sofisticação nessa última fase. Eles disfarçaram melhor seus fantoches, renomeando alguns e mudando suas fotos de perfil para parecerem autenticamente israelenses. Enquanto isso, eles fizeram uso de novas técnicas que nunca vimos de atores iranianos, incluindo o uso de IA como um componente-chave para suas mensagens. Avaliamos que o Cotton Sandstorm interrompeu os serviços de streaming de televisão nos Emirados Árabes Unidos e em outros lugares em dezembro sob o disfarce de uma persona chamada "For Humanity". O For Humanity publicou vídeos no Telegram mostrando o grupo invadindo três serviços de streaming online e interrompendo vários canais de notícias com uma transmissão de notícias falsas com um âncora aparentemente gerado por IA que alegava mostrar imagens de palestinos feridos e mortos em operações militares israelenses (Figura 7).14Veículos de notícias e telespectadores nos Emirados Árabes Unidos, no Canadá e no Reino Unido relataram interrupções na programação de streaming de televisão, incluindo a BBC, que correspondiam às alegações do For Humanity.15

HUMANITY 2023: 8 de outubro, 180 mortos, 347 feridos. Figura 7: Interrupção do streaming de TV usando uma emissora gerada por IA
O Irã amplia o direcionamento contra apoiadores israelenses, ataques cibernéticos, avisos e atividades de desfiguração.

As operações do Irã visavam quatro objetivos amplos: desestabilização, retaliação, intimidação e enfraquecimento do apoio internacional a Israel. Todos os quatro objetivos também buscam minar os ambientes de informação de Israel e de seus apoiadores para criar confusão geral e falta de confiança.

Desestabilização por meio da polarização 
Os alvos do Irã contra Israel durante a guerra entre Israel e Hamas têm se concentrado cada vez mais em estimular o conflito interno sobre a abordagem do governo israelense em relação à guerra. Várias operações de influência iraniana se disfarçaram de grupos de ativistas israelenses para plantar mensagens inflamadas que criticam a abordagem do governo em relação aos sequestrados e tomados como reféns em 7 de outubro.17 Netanyahu tem sido o principal alvo dessas mensagens e os apelos para sua remoção foram um tema comum nas operações de influência do Irã.18
AVENGERS – Não há eletricidade, alimentos, água, combustível. Cyber Avengers repostam vídeo sobre o bloqueio de Israel
Retaliação 
Grande parte das mensagens e da escolha de alvos do Irã enfatiza a natureza retaliatória de suas operações. Por exemplo, a persona Cyber Avengers, devidamente nomeada, divulgou um vídeo que mostra o Ministro da Defesa de Israel declarando que Israel cortaria a eletricidade, os alimentos, a água e o combustível da Cidade de Gaza (veja a Figura 9), seguido por uma série de supostos ataques do Cyber Avengers contra a infraestrutura israelense de eletricidade, água e combustível.19 As alegações anteriores de ataques aos sistemas nacionais de água de Israel dias antes incluíam a mensagem "Olho por olho" e a Tasnim News Agency, afiliada ao IRGC, informou que o grupo disse que os ataques aos sistemas de água eram uma retaliação pelo cerco a Gaza.20 Um grupo ligado ao MOIS que rastreamos como Pink Sandstorm (também conhecido como Agrius) realizou uma invasão e um vazamento contra um hospital israelense no final de novembro que parecia ser uma retaliação ao cerco de dias de Israel ao Hospital al-Shifa em Gaza duas semanas antes.21
Intimidação 
As operações do Irã também servem para minar a segurança israelense e intimidar os cidadãos de Israel e os seus apoiantes, transmitindo mensagens ameaçadoras e convencendo o público-alvo de que as infraestruturas e os sistemas governamentais são inseguros. Algumas das intimidações do Irã parecem ter como objetivo minar a disposição de Israel de continuar a guerra, como mensagens tentando convencer os soldados da IDF de que eles deveriam "deixar a guerra e voltar para casa" (Figura 10).22 Uma persona cibernética iraniana, que pode estar se passando pelo Hamas, alegou ter enviado mensagens de texto ameaçadoras para as famílias dos soldados israelenses, acrescentando: "Os soldados das IDF [Forças de Defesa de Israel] devem estar cientes de que, se nossas famílias não estiverem seguras, as famílias deles também não estarão"23 Fantoches que amplificam a persona do Hamas espalharam mensagens no X dizendo que a IDF "não tem nenhum poder para proteger seus próprios soldados" e indicaram aos espectadores uma série de mensagens supostamente enviadas por soldados da IDF pedindo ao Hamas que poupasse suas famílias.24
Mensagem ameaçadora de um suposto fantoche administrado pelo Cotton Sandstorm, fazendo referência ao acesso a dados pessoais e incentivando o abandono da guerra.
Minando o apoio internacional a Israel 
As operações de influência do Irã voltadas para o público internacional geralmente incluem mensagens que buscam enfraquecer o apoio internacional a Israel, destacando os danos causados pelos ataques de Israel a Gaza. Uma persona disfarçada de grupo pró-palestino referiu-se às ações de Israel em Gaza como "genocídio".25Em dezembro, o Cotton Sandstorm realizou várias operações de influência - sob os nomes "For Palestinians" e "For Humanity", que pediam à comunidade internacional que condenasse os ataques de Israel a Gaza.26

Para atingir seus objetivos no espaço de informações, o Irã se baseou fortemente em quatro TTPs (táticas, técnicas e procedimentos de influência) nos últimos nove meses. Isso inclui o uso de personificação e habilidades aprimoradas para ativar públicos-alvo, juntamente com o uso crescente de campanhas de mensagens de texto e o uso da mídia vinculada ao IRGC para ampliar as operações de influência.

Fazer-se passar por grupos ativistas de Israel e parceiros iranianos 
Os grupos iranianos se basearam em uma técnica de longa data de falsificação de identidade, desenvolvendo personas mais específicas e convincentes que se disfarçam tanto de amigos quanto de inimigos do Irã. Muitas das operações e personas do Irã no passado se apresentaram como ativistas em favor da causa palestina.27 Operações recentes de uma persona que avaliamos ser administrada pelo Cotton Sandstorm foram além, usando o nome e o logotipo da ala militar do Hamas, as Brigadas al-Qassam, para divulgar mensagens falsas sobre os reféns mantidos em Gaza e enviar mensagens ameaçadoras aos israelenses. Outro canal do Telegram que ameaçou o pessoal da IDF e vazou seus dados pessoais, que avaliamos ser administrado por um grupo do MOIS, também usou o logotipo das Brigadas al-Qassam. Não está claro se o Irã está agindo com o consentimento do Hamas.

Da mesma forma, o Irã criou imitações cada vez mais convincentes de organizações ativistas israelenses fictícias à direita e à esquerda do espectro político israelense. Por meio desses falsos ativistas, o Irã procura se infiltrar nas comunidades israelenses para ganhar sua confiança e semear a discórdia.

Chamando os israelenses para a ação 
Em abril e novembro, o Irã demonstrou sucesso repetido no recrutamento de israelenses não conscientes para se envolverem em atividades no local promovendo suas operações falsas. Em uma operação recente, "Tears of War" (Lágrimas de Guerra), agentes iranianos teriam conseguido convencer os israelenses a pendurar faixas com a marca Tears of War em bairros israelenses, com uma imagem de Netanyahu aparentemente gerada pela Al e pedindo sua remoção do cargo (veja a Figura 11).28
Amplificação por meio de texto e email com maior frequência e sofisticação 
Embora as operações de influência iranianas continuem a depender muito da amplificação coordenada e não autêntica das redes sociais para atingir os públicos-alvo, o Irã tem aproveitado cada vez mais as mensagens de texto em massa e os emails para aumentar os efeitos psicológicos de suas operações de influência cibernéticas. A amplificação nas redes sociais usando fantoches não tem o mesmo impacto que uma mensagem que aparece na caixa de entrada de uma pessoa, muito menos em seu telefone. O Cotton Sandstorm se baseou em sucessos anteriores usando essa técnica a partir de 2022,29enviando mensagens de texto, emails em massa em pelo menos seis operações desde agosto. O aumento do uso dessa técnica sugere que o grupo aperfeiçoou o recurso e o considera eficaz. A operação "Cyber Flood" do Cotton Sandstorm no final de outubro incluiu até três conjuntos de mensagens de texto e emails em massa para israelenses, amplificando supostos ataques cibernéticos ou distribuindo falsos avisos de ataques do Hamas à instalação nuclear israelense perto de Dimona.30 Em pelo menos um caso, eles usaram uma conta comprometida para aumentar a autenticidade de seus emails.
Figura 11: Banner do Tears of War em Israel com imagem de Netanyahu gerada pela Al, com o texto "impeachment now".
Aproveitamento da mídia estatal 
O Irã tem usado meios de comunicação abertos e secretos ligados ao IRGC para ampliar supostas operações cibernéticas e, às vezes, exagerar seus efeitos. Em setembro, depois que o Cyber Avengers alegou ataques cibernéticos contra o sistema ferroviário de Israel, a mídia ligada ao IRGC quase imediatamente amplificou e exagerou suas alegações. A Tasnim News Agency, ligada ao IRGC, citou incorretamente uma cobertura jornalística israelense de um evento diferente como prova de que o ataque cibernético havia ocorrido.31 Essa reportagem foi ampliada por outros veículos de comunicação iranianos e alinhados ao Irã de forma a obscurecer ainda mais a falta de evidências que sustentassem as alegações de ataque cibernético.32
Adoção emergente de IA para operações de influência 
O MTAC observou atores iranianos usando imagens e vídeos gerados por IA desde a eclosão da guerra entre Israel e Hamas. O Cotton Sandstorm e o Storm-1364, bem como os veículos de notícias afiliados ao Hezbollah e ao Hamas, aproveitaram a Al para aumentar a intimidação e desenvolver imagens que atacam Netanyahu e a liderança israelense.
Figura 12: Operações de influência do Cotton Sandstorm de agosto a dezembro de 2023, mostrando vários métodos e atividades.
1. Colaboração em expansão 
Semanas após o início da guerra entre Israel e Hamas, começamos a ver exemplos de colaboração entre grupos afiliados ao Irã, aumentando o que os atores poderiam alcançar. A colaboração reduz a barreira de entrada, permitindo que cada grupo contribua com os recursos existentes e elimina a necessidade de um único grupo desenvolver um espectro completo de ferramentas ou técnicas.

Avaliamos que dois grupos ligados ao MOIS, Storm-0861 e Storm-0842, colaboraram em um ataque cibernético destrutivo em Israel no final de outubro e novamente na Albânia no final de dezembro. Em ambos os casos, o Storm-0861 provavelmente forneceu acesso à rede antes que o Storm-0842 executasse o malware wiper. Da mesma forma, o Storm-0842 executou malware wiper em entidades do governo albanês em julho de 2022, depois que o Storm-0861 obteve acesso.

Em outubro, outro grupo ligado ao MOIS, o Storm-1084, também pode ter acessado uma organização em Israel, onde o Storm-0842 implantou o wiper "BiBi", cujo nome vem do fato de o malware renomear os arquivos apagados com a string "BiBi". Não está claro qual foi o papel desempenhado pelo Storm-1084, se é que teve algum, no ataque destrutivo. O Storm-1084 realizou ataques cibernéticos destrutivos contra outra organização israelense no início de 2023, possibilitados por outro grupo ligado ao MOIS, o Mango Sandstorm (também conhecido como MuddyWater).33

Desde o início da guerra, as Informações sobre ameaças da Microsoft também detectou a colaboração entre um grupo ligado ao MOIS, o Pink Sandstorm, e as unidades cibernéticas do Hezbollah. A Microsoft observou sobreposições de infraestrutura e ferramentas compartilhadas. A colaboração iraniana com o Hezbollah em operações cibernéticas, embora não seja inédita, representa um desenvolvimento preocupante, pois a guerra pode aproximar ainda mais esses grupos, além das linhas nacionais, do ponto de vista operacional.34 Como todos os ataques cibernéticos do Irã nessa guerra foram combinados com operações de influência, há uma probabilidade adicional de que o Irã melhore suas operações de influência e seu alcance ao utilizar oradores nativos de árabe para aumentar a autenticidade de suas personas não autênticas.

2. Hiperfoco em Israel 
O foco dos atores cibernéticos iranianos em Israel se intensificou. O Irã tem um foco de longa data em Israel, que Teerã vê como seu principal adversário ao lado dos Estados Unidos. Dessa forma, com base nos dados das Informações sobre ameaças da Microsoft, nos últimos anos, as empresas israelenses e norte-americanas quase sempre foram os alvos mais comuns do Irã. Antes da guerra, os atores iranianos se concentraram mais em Israel, seguidos pelos Emirados Árabes Unidos e pelos Estados Unidos. Após o início da guerra, esse foco em Israel aumentou. Quarenta e três por cento das atividades cibernéticas do estado-nação iraniano rastreadas pela Microsoft visaram Israel, mais do que os 14 países visados seguintes juntos.
Detalhamento percentual dos dados da Mogult Threat Intelligence por país e do alvo iraniano antes da guerra e 75 dias após a guerra

Esperamos que a ameaça das operações cibernéticas e de influência do Irã aumente à medida que o conflito Israel-Hamas persistir, principalmente em meio ao potencial crescente da escalada em outras frentes. Enquanto os grupos iranianos se apressaram em conduzir, ou simplesmente fabricar, operações nos primeiros dias da guerra, os grupos iranianos diminuíram o ritmo de suas operações recentes, o que lhes deu mais tempo para obter o acesso desejado ou desenvolver operações de influência mais elaboradas. O que as fases da guerra descritas neste relatório deixam claro é que as operações cibernéticas e de influência iranianas progrediram lentamente, tornando-se mais direcionadas, colaborativas e destrutivas.

Os atores iranianos também se tornaram cada vez mais ousados em seus alvos, principalmente em um ataque cibernético contra um hospital e testando os limites em Washington, aparentemente despreocupados com as repercussões. Os ataques do IRGC aos sistemas de controle de água dos EUA, embora oportunistas, foram aparentemente uma manobra inteligente para testar Washington, alegando legitimidade no ataque a equipamentos fabricados em Israel.

Antes das eleições nos EUA em novembro de 2024, o aumento da colaboração entre grupos iranianos e afiliados ao Irã é um presságio de desafio maior para aqueles que estão envolvidos na defesa das eleições. Os defensores não podem mais se acomodar com o rastreamento de alguns grupos. Em vez disso, um número cada vez maior de agentes de acesso, grupos de influência e atores cibernéticos cria um ambiente de ameaças mais complexo e entrelaçado.

Mais insights de especialistas sobre as operações de influência do Irã

Ouça os especialistas falando sobre as operações de influência cibernética do Irã, com foco nas ações do Irã relacionadas às eleições presidenciais de 2020 nos EUA e à guerra entre Israel e Hamas, no Podcast Informações sobre ameaças da Microsoft. A discussão aborda as táticas usadas pelos atores iranianos, como falsificação de identidade, recrutamento de moradores locais e uso de email e mensagens de texto para amplificação. Ele também contextualiza as complexidades das atividades cibernéticas iranianas, seus esforços de colaboração, consumo de propaganda, táticas criativas e desafios na atribuição de operações de influência.

Artigos relacionados

Atores de ameaças russos se preparam para aproveitar o cansaço da guerra 

As operações cibernéticas e de influência russas persistem enquanto a guerra na Ucrânia continua. As Informações sobre ameaças da Microsoft apresenta detalhes das mais recentes atividades de ameaça cibernética e de influência ao longo dos últimos seis meses.

O Irã aposta em operações de influência cibernética para maior impacto

As Informações sobre ameaças da Microsoft revelaram um aumento nas operações de influência cibernética originárias do Irã. Receba insights sobre ameaças com detalhes sobre novas técnicas e onde há potencial para futuras ameaças.

As operações cibernéticas e de influência na guerra no campo de batalha digital da Ucrânia

As Informações sobre ameaças da Microsoft analisam um ano de operações cibernéticas e de influência na Ucrânia, revela novas tendências em ameaças cibernéticas e o que esperar à medida que a guerra avança para o seu segundo ano.