Trace Id is missing

Iran intenzivira operacije uticaja omogućene kibernetičkom tehnologijom radi podrške Hamasu

Uvod

Po izbijanju rata između Izraela i Hamasa 7.10.2023, Iran je odmah intenzivirao podršku prema Hamasu pomoću, sada već razrađene, tehnike kombinacije ciljanog hakerisanja i operacija uticaja pojačanih na društvenim mrežama, što nazivamo operacijama uticaja omogućenim kibernetičkom tehnologijom.1 Operacije Irana su od samog početka reakcionarne i oportunističke. Do kraja oktobra, gotov sav iranski uticaj i značajni kibernetički akteri fokusirali su se na Izrael na način koji je sve više ciljan, koordinisan i destruktivan, što je dovelo do naizgled neograničene kampanje protiv Izraela, u kojoj svi učestvuju. Za razliku od nekih prošlih kibernetičkih napada Irana, svi njegovi destruktivni kibernetički napadi na Izrael u ovom ratu, bilo da su pravi ili lažirani, dopunjeni su operacijama uticaja na mreži.

Definicije ključnih pojmova

  • Operacije uticaja omogućene kibernetičkom tehnologijom 
    Operacije koje su kombinacija ofanzivnih operacija na računarskoj mreži i poruka i jačanje na koordinisani i manipulativni način u cilju menjanja percepcije, ponašanja ili odluka ciljne publike radi ostvarivanja interesa i ciljeva grupe ili nacije.
  • Kibernetička personalnost 
    Grupa ili pojedinac izmišljeni za javnost, koji preuzimaju odgovornost za kibernetičke operacije, čime se na uverljiv način skida odgovornost sa grupe ili nacije koja stoji iza toga.
  • Bot 
    Lažna personalnost na mreži koja koristi fiktivne ili ukradene identitet u cilju obmane.

Kako je rat napredovao, operacije uticaja postajale su sve više sofisticirane i lažne uz korišćenje mreža botova na društvenim mrežama. Tokom rata, cilj tih operacija uticaja bio je da zastraše Izraelce i kritikuju način na koji Vlada Izraela tretira taoce i vodi vojne operacije kako bi polarizovali i na kraju destabilizovali Izrael.

Na kraju je Iran preusmerio kibernetičke napade i operacije uticaja protiv političkih saveznika i ekonomskih partnera Izraela da bi podrivao podršku vojnim operacijama Izraela.

Očekujemo da će pretnja izazvana kibernetičkim operacijama i operacijama uticaja Irana biti sve veća tokom trajanja sukoba, pogotovu usled sve većeg potencijala za proširenje rata. Sve veća drskost iranskih aktera i aktera povezanih sa Iranom, u kombinaciji sa pojačanom saradnjom među njima, najavljuje porast pretnje pred novembarske izbore u SAD.

Kibernetičke operacije i operacije uticaja Irana napredovale su u više faza otkako se desio teroristički napad Hamasa 7. oktobra. Jedan element njihovih operacija je uvek isti: kombinacija oportunističkog kibernetičkog targetiranja i operacija uticaja, koji često stvaraju lažnu sliku o preciznosti i obimu uticaja.

Ovaj izveštaj se fokusira na iranski uticaj i operacije uticaja omogućene kibernetičkom tehnologijom od 7. oktobra do kraja 2023. i pokriva trendove i operacije iz proleća 2023.

Grafikon koji opisuje faze iranskih operacija uticaja omogućenih kibernetičkom tehnologijom u ratu između Izraela i Hamasa

Faza 1: Reakcija i obmana

Iranske grupe su bile reaktivne tokom prve faze rata između Izraela i Hamasa. Državni iranski mediji su izdali obmanjujuće informacije o priznatim kibernetičkim napadima, a iranske grupe su ponovo iskoristile zastarele materijale iz pređašnjih operacija i pristup koji su imale pre rata i preuveličale su ukupni opseg i uticaj priznatih kibernetičkih napada.

Ni posle skoro četiri meseca od početka rata, Microsoft i dalje nije našao jasne dokaze iz naših podataka koji ukazuju na to da su iranske grupe koordinisale kibernetičke operacije ili operacije uticaja sa Hamasovima planovima da napadnu Izrael 7. oktobra. Šta više, većina naših podataka i nalaza ukazuje na to da su iranski kibernetički akteri reagovali i brzo intenzivirali kibernetičke operacije i operacije uticaja nakon napada Hamasa da bi se suprotstavili Izraelu.

Obmanjujuće informacije o priznatim napadima preko državnih medija: 
Na dan kada je izbio rat, novinska agencija Tasnim, iranska medijska kuća povezana sa Korpusom čuvara islamske revolucije (IRGC), lažno je tvrdila da je grupa pod nazivom „Cyber Avengers“ („Kibernetički osvetnici“) sprovela kibernetičke napade na izraelsku elektranu „u isto vreme“ kad su se desili napadi Hamasa. 2 „Cyber Avengers“, kibernetička personalnost kojom upravlja IRGC, tvrdila je da je izvela kibernetički napad na izraelsku elektroenergetsku kompaniju veče uoči napada Hamasa.3 Njihovi dokazi: novinski izveštaj star nekoliko nedelja o nestancima struje „proteklih godina“ i snimak ekrana poremećaja usluge na veb-sajtu kompanije bez naznačenog datuma. 4
Ponovno korišćenje starog materijala: 
Nakon napada Hamasa na Izrael, Cyber Avengers su tvrdili da su izveli niz kibernetičkih napada na Izrael, a prvi među njima je lažan, kako je otkriveno u našim istraživanja. Dana 8. oktobra, tvrdili su da su objavili dokumenta izraelske elektrane, iako je ta dokumenta ranije objavila, u junu 2022, druga kibernetička personalnost kojom upravlja IRGC „Moses Staff“ („Mojsijev štap“).5
Ponovno korišćenje pristupa: 
Druga kibernetička personalnost „Malek Team“ („Tim Malek“), kojom, prema našoj proceni, upravlja Ministarstvo Irana za obaveštavanje i bezbednost (MOIS), objavila je podatke o ličnosti sa izraelskog univerziteta 8. oktobra, bez jasne povezanosti između tog napada i rastućeg sukoba tamo, što ukazuje na to da je meta izabrana oportunistički, možda na osnovu postojećeg pristupa pre izbijanja rata. „Malekt Team“ nije pokazivao veze između objavljenih podataka i podrške za operacije Hamasa, već je u početku koristio heš oznake na mreži X (ranije poznate pod nazivom Twitter) za podršku Hamasu, a tek je nekoliko dana kasnije promenio poruke tako da se usaglase sa porukama kojima se omalovažava izraelski premijer Benjamin Netanjahu iz drugih iranskih operacija uticaja.
Graf korišćenja iranske propagande širom sveta prikazan u vidu vremenske ose i udela u saobraćaju
Slika 2: Microsoft informacije o pretnjama – korišćenje iranske propagande po zemlji, napadi Hamasa na Izrael. Graf koji pokazuje aktivnost od aprila do decembra 2023.
Iranske operacije uticaja su bile najefikasnije u prvim danima rata 
Doseg iranskih medija povezanih sa državom naglo je skočio nakon izbijanja rata između Izraela i Hamasa. Tokom prve nedelje sukoba, primetili smo porast od 42% u indeksu iranske propagande u Microsoft laboratoriji AI for Good, kojim se posmatra korišćenje vesti iranskih državnih medijskih kuća i medijskih kuća povezanih sa iranskom državom (videti Sliku 1). Ovaj indeks meri udeo saobraćaja poseta tim sajtovima u ukupnom saobraćaju na internetu. Taj porast je naročito izražen u zemljama gde se govori engleski i koje su bliske saveznice SAD (Slika 2), iz čega se vidi sposobnost Irana da dopre do zapadne publike izveštavanjem o sukobima na Bliskom istoku. Mesec dana nakon početka rata, doseg tih iranskih izvora ostao je na nivou od 28–29% više u odnosu na nivoe pre početka rata, širom sveta.
Iranski uticaj bez kibernetičkih napada pokazuje agilnost 
Operacije uticaja Irana delovale su agilnije i delotvornije u ranim danima rata u odnosu na kasniju kombinaciju kibernetičkih operacija i operacija uticaja tokom sukoba. Nekoliko dana nakon napada Hamasa na Izrael, po svoj prilici, iranski državni akter, kojeg smo nazvali „Storm-1364“ („Oluja-1364“), pokrenuo je operaciju uticaja koristeći personalnost na mreži pod nazivom „Tears of War“ („Ratne suze“), koja je imitirala izraelske aktiviste kako bi širila poruke protiv Netanjahua među izraelskom publikom na brojnim društvenim mrežama i platformama za slanje poruka. Brzina kojom je „Storm-1364“ pokrenuo ovu kampanju nakon napada od 7. oktobra ukazuje na agilnost grupe i prednosti kampanja koje se samo zasnivaju na uticaju i koje se možda brže oforme jer nema potrebe da se čeka kibernetička aktivnost operacije uticaja omogućene kibernetičkom tehnologijom.

Faza 2: Svi moraju da učestvuju

Od sredine do kraja oktobra, sve veći broj iranskih grupa je usmerio pažnju ka Izraelu, a iranske operacije uticaja omogućene kibernetičkom tehnologijom više nisu bile u većoj meri reaktivne i lažirane ili i jedno i drugo, već su počele da obuhvataju i destruktivne kibernetičke napade i da biraju mete od interesa za operacije. Ti napadi su obuhvatali brisanje podataka, ransomver i izgleda i podešavanje uređaja interneta stvari (IoT).6 Videli smo i naznake veće koordinacije iranskih grupa.

Prve nedelje rata, Microsoft informacije o pretnjama su otkrile devet iranskih grupa koje aktivno targetiraju Izrael. Taj broj je porastao na 14 do 15. dana. U nekim slučajevima, primetili smo više grupa IRGC-a ili MOIS-a koje targetiraju istu organizaciju ili vojnu bazu kibernetičkim aktivnostima ili aktivnostima uticaja, što ukazuje na koordinaciju, zajedničke ciljeve postavljene u Teheranu ili i jedno i drugo.

Zabeležen je i skok operacija uticaja omogućenih kibernetičkom tehnologijom. Primetili smo četiri operacije uticaja omogućene kibernetičkom tehnologijom koje su sprovedene na brzinu, a koje su targetirale Izrael u prvoj nedelji rata. Do kraja oktobra, broj tih operacija se više nego udvostručio, što je znatno ubrzanje tih operacija sa daleko najbržim tempom ikada (videti Sliku 4).

Ilustracija: Povezanost iranskih kibernetičkih operacija i operacija uticaja, pripadajući simboli, informacije o pretnjama i Korpus čuvara islamske revolucije
Vremenska osa iranskih operacija kibernetičkog uticaja: Skok tokom Kamaškog rata, 2021–2023.

Dana 18. oktobra, grupa „Shahid Kaveh“ Korpusa čuvara islamske revolucije, koju je Microsoft označio kao „Storm-0784“, koristila je prilagođeni ransomver za sprovođenje kibernetičkih napada na sigurnosne kamere u Izraelu. Zatim je iskoristila jednu od kibernetičkih personalnosti, „Soldiers of Solomon“ („Solomonovi vojnici“), za lažne tvrdnje da je otela sigurnosne kamere i podatke iz vazdušne baze Nevatim. Pregledanjem snimaka sa sigurnosnih kamera koje je grupa „Soldiers of Solomon“ otkrila, utvrđeno je da potiču iz grada severno od Tel Aviva, gde postoji ulica pod nazivom Nevatim, a ne iz istoimene vazdužne baze. Šta više, analizom lokacija žrtava otkriveno je da niko nije bio blizu vojne baze (videti Sliku 5). Iako su iranske grupe započele destruktivne napade, njihove operacije su i dalje u velikoj meri oportunističke i još uvek se koriste aktivnosti uticaja za preuveličavanje preciznosti ili efekta napada.

Dana 21. oktobra, druga kibernetička personalnost kojom upravlja grupa IRGC-a pod nazivom „Cotton Sandstorm“ („Pamučna peščana oluja“), poznatija kao „Emennet Pasargad“, podelila je video kako napadači uništavaju digitalne ekrane u sinagogi uz poruke u kojima se operacije Izraela u Gazi nazivaju genocidom. 7 To predstavlja metodu ugrađivanja poruka direktno u kibernetičke napade na relativno laku metu.

Tokom te faze, u iranskim aktivnostima uticaja korišćeni su širi i sofisitciraniji oblici lažnog jačanja. Tokom prve dve nedelje rata, otkrili smo minimalno napredne oblike lažnog jačanja, što opet ukazuje na to da su operacije bile reaktivne. Do treće nedelje rata, najaktivniji akter uticaja Irana, „Cotton Sandstorm“, stupio je na scenu pokretanjem tri operacije uticaja omogućene kibernetičkom tehnologijom 21. oktobra. Kao što smo to često viđali kod te grupe, koristili su mrežu botova na društvenim mrežama za jačanje operacija, iako deluje da je mnogima na brzinu promenjena namena bez autentičnih maski koje bi ih prerušile u Izraelce. Grupa „Cotton Sandstorm“ je više puta slala veliki broj SMS poruka i e-poruka da bi jačala ili istakla svoje operacije, koristeći ugrožene naloge da bi dobili na verodostojnosti.8

Razotkrivene tvrdnje Irana o kibernetičkim napadima: Lažni ransomver i snimci sa sigurnosnih kamera, razotkrivene obmanjujuće operacije uticaja

Faza 3: Širenje geografskog opsega

Krajem novembra, iranske grupe su počele da šire uticaj omogućen kibernetičkom tehnologijom van Izraela, na zemlje koje, po uverenju Irana, pomažu Izraelu, najverovatnije radi podrivanja međunarodne političke, vojne ili ekonomske podrške vojnim operacijama Izraela. To širenje meta se podudarilo sa početkom napada Huta, šiitske militantne grupe iz Jemena koju podržava Iran, na međunarodne pošiljke povezane sa Izraelom (videti Sliku 8).9

  • Dana 20. novembra, kibernetička personalnost kojom upravlja Iran „Homeland Justice“ („Zavičajna pravda“) upozorila je na velike predstojeće napade na Albaniju pre jačanja destruktivnih kibernetičkih napada grupa MOIS-a krajem decembra na albansku Skupštinu, domaću avio-kompaniju i albanske pružaoce telekomunikacionih usluga.10
  • Dana 21. novembra, kibernetička personalnost „Al-Toufan“, kojom upravlja „Cotton Sandstorm“, targetirala je Vladu i finansijske organizacije u Bahreinu zbog normalizacije odnosa sa Izraelom.
  • Do 22. novembra, grupe povezane sa IRGC-om počele su da targetiraju programabilne logičke kontrolere (PLC) u Sjedinjenim Američkim Državama, a možda i u Irskoj, napravljene u Izraelu, a jedan od njih je i skinut sa mreže u vodoprivrednom organu u Pensilvaniji 25. novembra (Slika 6).11 PLC su industrijski računari prilagođeni kontroli proizvodnih procesa, kao što su pokretne trake, mašine i robotski uređaji.
  • Početkom decembra, personalnost koju, prema proceni centra MTAC, sponzoriše Iran „Cyber Toufan Al-Aksa“ tvrdila je da je objavila podatke od dve američke kompanije zbog finansijske podrške Izraelu i obezbeđivanja opreme za vojsku.12 Pre toga su preuzeli odgovornost za napade na te kompanije brisanjem podataka 16. novembra.13 Zbog nedostatka jakih forenzičkih dokaza koji povezuju tu grupu sa Iranom, moguće je da personalnošću upravlja partner Irana van zemlje, uz angažovanje Irana.
Uništen PLC u pensilvanijskom vodoprivrednom organu, sa logotipom grupe „Cyber Avengers“, 25. novembra

Iranske operacije uticaja omogućene kibernetičkom tehnologijom takođe su postajale sve sofisticiranije u najnovijoj fazi. Bolje su prerušili svoje botove promenom imena i menjanjem fotografija profila tako da više izgledaju kao Izraelci. U međuvremenu, iskoristili su nove tehnike koje nismo videli od iranskih aktera, uključujući korišćenje AI kao glavni element u porukama. Procenjujemo da je grupa „Cotton Sandstorm“ ometala usluge emitovanja TV programa u UAE i na drugim mestima u decembru, pod okriljem personalnosti „For Humanity“ („Za čovečanstvo“). Grupa „For Humanity“ je objavila video zapise na Telegramu, na kojima hakuju tri usluge strimovanja na mreži i ometaju nekoliko informativnih kanala emitovanjem lažnih vesti sa spikerom, koji je izgleda generisan veštačkom inteligencijom, i koji je tvrdio da prikazuje slike ranjenih i ubijenih Palestinaca tokom izraelskih vojnih operacija (Slika 7).14 Medijske kuće i gledaoci u UAE, Kanadi i UK prijavili su smetnje u emitovanju televizijskog programa, uključujući i program kanala BBC, što se podudaralo sa tvrdnjama grupe „For Humanity“.15

HUMANITY 2023: 8. oktobar, 180 ubijenih, 347 ranjenih. Slika 7: Ometanje emitovanja TV programa pomoću spikera generisanog veštačkom inteligencijom
Iran proširuje targetiranje na one koji podržavaju Izrael, kibernetičke napade, upozorenja i uništenja.

Iranske operacije su imale četiri opšta cilja: destabilizaciju, odmazdu, zastrašivanje i podrivanje međunarodne podrške za Izrael. Svrha sva četiri cilja je podrivanje informacionih okruženja Izraela i onih koji ga podržavaju radi stvaranja opšte konfuzije i nepoverenja.

Destabilizacija polarizacijom 
Iransko targetiranje Izraela tokom rata između Izraela i Hamasa sve više se fokusira na potpirivanje domaćeg sukoba u vezi sa načinom na koji Vlada Izraela pristupa ratu. Mnoge iranske operacije uticaja predstavljene su kao izraelske aktivističke grupe u cilju slanja zapaljivih poruka kojima se kritikuje pristup Vlade kidnapovanjima i držanju talaca od 7. oktobra.17 Netanjahu je glavna meta takvih poruka, a pozivi da se smeni bili su česta tema u operacijama uticaja Irana.18
„AVENGERS“ – Bez struje, hrane, vode, goriva. „Cyber Avengers“ ponovo objavili video blokade Izraela
Odmazda 
Veliki deo iranskih poruka i izbora meta ukazuje na osvetničku prirodu njihovih operacija. Na primer, personalnost zvaničnog naziva „Cyber Avangers“ objavila je video na kojem izraelski ministar odbrane izjavljuje da će Izrael prekinuti snabdevanje Grada Gaze strujom, hranom, vodom i gorivom (videti Sliku 9), nakon čega sledi niz napada na izraelsku infrastrukturu za snabdevanje strujom, vodom i gorivom, za koje je grupa „Cyber Avangers“ preuzela odgovornost.19 Njihove prethodne tvrdnje da su izvršili napade na izraelske nacionalne sisteme snabdevanja vodom nekoliko dana pre toga sadržale su poruku „oko za oko“, a novinska agencija Tasnim povezana sa IRGC-om izvestila je da je grupa izjavila da su napadi na sisteme snabdevanja vodom osveta za opsadu Gaze.20 Grupa povezana sa MOIS-om, koju nazivamo „Pink Sandstorm“ („Roze peščana oluja“), poznata i pod nazivom „Agrius“ hakovala je izraelsku bolnicu i objavila njihove podatke krajem novembra, što deluje kao osveta zbog višednevne opsade bolnice „Al-Shifa“ u Gazi od strane Izraela dve nedelje pre toga.21
Zastrašivanje 
Operacije Irana imaju za cilj i da podrivaju bezbednost Izraelaca i zastrašuju građane Izraela i one koji ga podržavaju slanjem pretećih poruka i ubeđivanjem ciljne publike da njihovi državni sistemi infrastrukture i Vlade nisu bezbedni. Čini se da je deo iranskog zastrašivanja usmeren ka podrivanju volje Izraela da nastavi da ratuje, na primer porukama u kojima pokušavaju da ubede vojnike IDF-a da treba da „odustanu od rata i vrate se kućama“ (Slika 10).22 Jedna iranska kibernetička personalnost, koja je možda prerušena u Hamas, tvrdila je da je slala preteće SMS poruke porodicama izraelskih vojnika, dodajući: „Vojnici IDF-a (Izraelskih odbrambenih snaga) treba da budu svesni da, sve dok naše porodice nisu bezbedne, nisu ni njihove“.23 Botovi koji jačaju personalnost Hamasa širili su poruke na mreži X da IDF „nema moć da zaštiti sopstvene vojnike“ i pokazali su gledaocima niz poruka koje su, navodno, poslali vojnici IDF-a, u kojima mole Hamas da poštede njihove porodice.24
Preteća poruka bota kojim navodno upravlja „Cotton Sandstorm“, u kojoj se navodi pristup podacima o ličnosti i podstiče odustajanje od rata.
Podrivanje međunarodne podrške Izraelu 
Iranske operacije uticaja usmerene ka međunarodnoj publici često sadrže poruke čiji je cilj slabljenje međunarodne podrške Izraelu isticanjem štete nastale usled napada Izraela na Gazu. Personalnost pod okriljem grupe koja podržava Palestinu nazvala je izraelske akcije u Gazi genocidom.25 U decembru, „Cotton Sandstorm“ je sprovela više operacija uticaja pod nazivima „For Palestinians“ („Za Palestince“) i „For Humanity“ („Za čovečanstvo“), kojima je međunarodna zajednica pozvana da osudi napade Izraela na Gazu.26

Da bi postigao svoje ciljeve u informativnom prostoru, Iran se u velikoj meri oslanjao na četiri taktike, tehnike i procedure uticaja (TTP) proteklih devet meseci. To obuhvata korišćenje imitiranja i poboljšanih sposobnosti za aktiviranje ciljne publike, zajedno sa pojačanim korišćenjem kampanja preko SMS poruka i korišćenjem medija povezanih sa IRGC-om radi jačanja operacija uticaja.

Imitiranje grupa izraelskih aktivista i iranskih partnera 
Iranske grupe su nadogradile dugogodišnje tehnike imitiranja uspostavljanjem konkretnijih i ubedljivijih personalnosti koje su se prerušavale i u prijatelje i neprijatelje Irana. Za mnoge prošle operacije i personalnosti Irana navodilo se da su aktivisti koji podržavaju palestinsku borbu.27 Nedavne operacije personalnosti kojom, prema našim procenama, upravlja „Cotton Sandstorm“, otišle su korak dalje, korišćenjem naziva i logotipa vojnog krila Hamasa brigade Al Kasam, radi širenja lažnih poruka o držanju talaca u Gazi i slanja pretećih poruka Izraelcima. Na jednom drugom kanalu na Telegramu, gde je prećeno osoblju IDF-a i gde su objavljeni njihovi podaci o ličnosti, a kojim je, prema našoj proceni, upravljala grupa MOIS-a, takođe je korišćen logotip brigada Al Kasam. Nije jasno da li Iran postupa po odobrenju Hamasa.

Isto tako, Iran stvara sve ubedljivije imitacije fiktivnih izraelskih aktivističkih organizacija sa desnog i levog kraja političkog spektra u Izraelu. Putem tih lažnih aktivista, Iran želi da se infiltrira u izraelske zajednice da bi zadobio njihovo poverenje i širio neslogu.

Podstrekivanje Izraelaca na akciju 
U aprilu i novembru, Iran je više puta uspešno regrutovao nesvesne Izraelce za učestvovanje u aktivnostima promocije lažnih operacija na samom licu mesta. U jednoj nedavnoj operaciji, „Tears of War“, iranski operativci su, navodno, uspeli da ubede Izraelce da okače transparente sa obeležjima grupe „Tears of War“ u izraelskim naseljima sa slikom Netanjahua, izgleda napravljenom pomoću veštačke inteligencije, i pozivom na njegovu smenu s vlasti (Slika 11).28
Jačanje efekata preko SMS poruka i e-poruka sve češće i sve sofisticiranije 
Iako se iranske operacije uticaja i dalje uglavnom oslanjaju na koordinisana lažna jačanja preko društvenih mreža da bi doprli do ciljne publike, Iran sve više koristi slanje velikog broja SMS poruka i e-poruka radi povećavanja psiholoških efekata operacija uticaja omogućenih kibernetičkom tehnologijom. Jačanje na društvenim mrežama pomoću botova nema isti efekat kao poruka u prijemnom sandučetu, a kamoli na telefonu. Grupa „Cotton Sandstorm“ je iskoristila prošle uspehe korišćenja te tehnike od 2022. godine,29 slanjem velikog broja SMS poruka, e-poruka ili i jednih i drugih tokom najmanje šest operacija od avgusta. Povećano korišćenje te tehnike ukazuje na to da je grupa unapredila sposobnosti i da smatra da je efikasna. Operacija grupe „Cotton Sandstorm“ pod nazivom „Cyber Flood“ („Kibernetička poplava)“ krajem oktobra obuhvatala je najviše tri skupa velikog broja SMS poruka i e-poruka Izraelcima, kojima su jačaju kibernetički napadi za koje su preuzeli odgovornost ili širena lažna upozorenja napada Hamasa na izraelski nuklearni objekat u blizini Dimone.30 U barem jednom slučaju, koristili su ugroženi nalog radi veće verodostojnosti e-poruka.
Slika 11: Transparent grupe „Tears of War“ u Izraelu sa slikom Netanjahua napravljenom pomoću veštačke inteligencije i tekstom „javna optužba odmah“.
Iskorišćavanje državnih medija 
Iran koristi medijske kuće koje su otvoreno ili prikriveno povezane sa IRGC-om za jačanje navodnih kibernetičkih operacija, a ponekad i za preuveličavanje njihovih efekata. U septembru, kada je grupa „Cyber Avengers“ preuzela odgovornost za kibernetičke napade na železnice Izraela, mediji povezani sa IRGC-om su gotovo odmah pojačali i preuveličali te tvrdnje. Novinska agencija Tasnim povezana sa IRGC-om pogrešno je citirala izveštaj izraelskih vesti o drugom događaju kao dokaz da se kibernetički napad zaista dogodio.31 Taj izveštaj su dodatno pojačale i druge iranske medijske kuće i medijske kuće povezane sa Iranom na način da nedostatak dokaza za tvrdnje o kibernetičkom napadu bude još nejasniji32
Usvajanje novonastalog AI za operacije uticaja 
MTAC je posmatrao iranske aktere kako koriste slike i video zapise napravljene pomoću veštačke inteligencije od izbijanja rata između Izraela i Hamasa. „Cotton Sandstorm“ i „Storm-1364“, kao i Hezbolah i medijske kuće povezane sa Hamasom, iskoristili su AI za pojačavanje zastrašivanja i pravljenje slika kojima se omalovažava Netanjahu i čelnici Izraela.
Slika 12: Operacije uticaja grupe Cotton Sandstorm od avgusta do decembra 2023, sa opisom raznih metoda i aktivnosti.
1. Sve veća saradnja 
Nekoliko nedelja od početka rata između Izraela i Hamasa, počeli su da se javljaju primeri saradnje između grupa koje su povezane sa Iranom, čime se povećava potencijal onoga što akteri mogu da postignu. Saradnjom se smanjuje prepreka za ulazak, pa se svakoj grupi omogućava da doprinese postojećim mogućnostima i uklanja se potreba da jedna grupa razvije čitav spektar alatki i zanata.

Procenjujemo da je par grupa povezan sa MOIS-om Storm-0861 i Storm-0842 sarađivao na destruktivnom kibernetičkom napadom u Izraelu krajem oktobra i ponovo u Albaniji krajem decembra. U oba slučaja, Storm-0861 je verovatno omogućio pristup mreži, nakon čega je Storm-0842 pokrenuo zlonamerni softver za brisanje. Slično tome, Storm-0842 je pokrenuo zlonamerni softver za brisanje u subjektima Vlade Albanije u julu 2022. godine, pošto je Storm-0861 dobio pristup.

U oktobru, druga grupa povezana sa MOIS-om Storm-1084 možda je isto imala pristup organizaciji u Izraelu gde je grupa Storm-0842 primenila zlonamerni softver za brisanje „BiBi“, nazvan po tome što zamenjuje nazive izbrisanih datoteka nizom „BiBi“. Nije jasno kakvu ulogu je grupa Storm-1084 imala u destruktivnom napadu, ako ju je uopšte i imala. Storm-1084 je sprovela destruktivne kibernetičke napade na drugu izraelsku organizaciju početkom 2023. godine, koju je omogućila druga grupa povezana sa MOIS-om „Mango Sandstorm“ („Mango peščana oluja“), poznata i pod nazivom „MuddyWater“ („Mutna voda“).33

Od izbijanja rata, u zajednici Microsoft informacije o pretnjama primećena je i saradnja između grupe povezane sa MOIS-om, „Pink Sandstorm“, i kibernetičkih jedinica Hezbolaha. Microsoft je primetio podudaranja u infrastrukturi i zajedničke alatke. Iranska saradnja sa Hezbolahom na kibernetičkim operacijama, iako se ne dešava prvi put, dovodi do zabrinutosti da rat može još više da zbliži te grupe iz različitih zemalja u operativnom smislu.34 Kako su svi iranski kibernetički napadi u ovom ratu bili kombinovani sa operacijama uticaja, postoji još veća verovatnoća da će Iran poboljšati operacija uticaja i njihov doseg korišćenjem izvornih govornika arapskog radi veće verodostojnosti njegovih lažnih personalnosti.

2. Velika usredsređenost na Izrael 
Intenzivirao se fokus iranskih kibernetičkih aktera na Izrael. Iran je već dugo usredsređen na Izrael, koji za Teheran predstavlja glavnog neprijatelja uz Sjedinjene Američke Države. Shodno tome, na osnovu podataka zajednice Microsoft informacije o pretnjama, poslednjih godina, preduzeća iz Izraela i SAD skoro uvek su bila najčešće mete Irana. Pre rata, iranski akteri su se najviše usredsređivali na Izrael, a zatim UAE i Sjedinjene Američke Države. Od izbijanja rata, taj fokus na Izrael je još više skočio. Četrdeset i tri posto iranskih kibernetičkih aktivnosti nacionalne države praćenih u korporaciji Microsoft targetirali su Izrael, što je više od napada na 14 narednih zemalja zajedno.
Procenti podataka Mogult informacija o pretnjama po zemlji i napadi Irana pre rata i 75 dana od početka rata

Očekujemo da će pretnja izazvana kibernetičkim operacijama i operacijama uticaja Irana biti sve veća tokom trajanja sukoba između Izraela i Hamasa, pogotovu usled sve većeg potencijala za eskalaciju na dodatnim frontovima. Dok su iranske grupe žurile da sprovedu ili barem lažiraju operacije u prvim danima rata, iranske grupe su usporile najnovije operacije, čime su dobile na vremenu da ostvare željeni pristup ili razviju složenije operacije uticaja. Ono što je jasno iz faza rata opisanih u ovom izveštaju jeste da su iranske kibernetičke operacije i operacije uticaja polako napredovale i postale usmerenije, destruktivnije i obuhvataju više saradnika.

Iranski akteri postaju sve hrabriji u napadima, naročito u kibernetičkom napadu na bolnicu i testiraju granice Vašingtona kao da ne brinu o posledicama. Napadi IRGC-a na sisteme upravljanja vodom u SAD, premda oportunistički, bili su naizgled dovitljiv način da se testira Vašington tvrdnjom da su napadi legitimni jer je napadnuta oprema napravljena u Izraelu.

Povećana saradnja iranskih grupa i grupa povezanih sa Iranom pred izbore u SAD u novembru 2024. godine predstavlja veliki izazov za one koji se bore za regularnost izbora. Zaštitnici više ne mogu da se teše praćenjem nekoliko grupa. Naprotiv, sve veći broj agenata za pristup, grupa za uticaj i kibernetičkih aktera stvara okruženje pretnji koje je sve složenije i isprepletanije.

Više uvida stručnjaka o operacijama uticaja Irana

Čujte više od stručnjaka za iranske operacije uticaja omogućene kibernetičkom tehnologijom, sa fokusom na akcije Irana u vezi sa predsedničkim izborima u SAD iz 2020. i ratom između Izraela i Hamasa u podkastu Microsoft informacija o pretnjama. Diskusija se bavi taktikama koje koriste iranski akteri, kao što su imitiranje, regrutovanje lokalnog stanovništva i korišćenje e-poruka i SMS poruka za jačanje. Takođe pruža kontekst za složenosti iranskih kibernetičkih aktivnosti, težnje za saradnjom, korišćenja propagande, kreativnih taktika i problema pri pripisivanju operacija uticaja.

Srodni članci

Ruski zlonamerni akteri osmatraju iz prikrajka i pripremaju se da iskoriste trenutak iscrpljenosti ratom 

Ruske kibernetičke operacije i operacije uticaja i dalje traju sa nastavkom rata u Ukrajini. Centar za Microsoft informacije o pretnjama navodi detalje o najnovijim kibernetičkim pretnjama i aktivnostima uticaja u poslednjih šest meseci.

Iran se okreće operacijama od uticaja koje omogućava kibernetička tehnologija radi postizanja većeg efekta

Microsoft informacije o pretnjama otkriva povećanje operacija od uticaja koje omogućava kibernetička tehnologija iz Irana. Pronađite uvide o pretnjama sa detaljima o novim tehnikama i o tome gde postoji mogućnost za buduće pretnje.

Ratne kibernetičke operacije i operacije od uticaja na ukrajinskom bojnom polju

Usluga Microsoft informacije o pretnjama ispituje godinu dana kibernetičkih operacija i operacija od uticaja u Ukrajini, otkriva nove trendove u oblasti kibernetičkih pretnji, kao i šta se može očekivati sada kada rat ulazi u drugu godinu.