Trace Id is missing

Iran intensifierar cyberbaserade påverkansoperationer för att stödja Hamas

Introduktion

När kriget mellan Israel och Hamas bröt ut den 7 oktober 2023 ökade Iran omedelbart stödet till Hamas med sin nu välslipade teknik att kombinera riktade hackerattacker med påverkansoperationer, vilka förstärkts i sociala medier, i vad vi kallar cyberaktiverade påverkansoperationer.1 Irans operationer var till en början reaktiva och opportunistiska. I slutet av oktober fokuseradesnästan hela Irans påverkan och viktigaste cyberaktörer på Israel på ett alltmer riktat, samordnat och destruktivt sätt, vilket ledde till en till synes gränslös ”alle man på däck”-kampanj mot Israel. Till skillnad från några av Irans tidigare cyberattacker, så kompletterades alla dess destruktiva cyberattacker i det här kriget mot Israel – verkliga eller påhittade – med onlinepåverkansoperationer.

Viktiga termer definierade

  • Cyberaktiverade påverkansoperationer 
    Operationer som kombinerar offensiva datanätverksoperationer med meddelanden och förstärkningar på ett koordinerat och manipulativt sätt i syfte att förändra målgruppernas uppfattningar, beteenden eller beslut så att en viss grupps eller en nations intressen och mål gynnas.
  • Cyberprofil 
    En fabricerad offentlig grupp eller individ som tar ansvar för en cyberoperation samtidigt som gruppen/individen, samtidigt som den på ett rimligt sätt förnekar den underliggande gruppens eller nationens ansvar.
  • Sockpuppet 
    En falsk onlineprofil som använder fiktiva eller stulna identiteter i bedrägligt syfte.

Påverkansoperationerna blev, allteftersom kriget fortskred, allt mer sofistikerade och inautentiska, och använde sig av sockpuppet-profiler nätverk av sociala medier. Under hela kriget har man genom dessa påverkansoperationer försökt skrämma israeler samtidigt som man kritiserat den israeliska regeringens hantering av gisslan och sina militära operationer – allt i syfte att polarisera och i slutändan destabilisera Israel.

Så småningom vände Iran sina cyberattacker och påverkansoperationer mot Israels politiska allierade och ekonomiska partners, så att stödet till Israels militära operationer skulle undergrävas.

Vi förväntar oss att hotet från Irans cyber- och påverkansoperationer kommer att växa i takt med att konflikten fortsätter, särskilt med tanke på den ökande potentialen för ett växande krig. En ökad fräckhet bland de iranska och Iran-sympatiserande aktörerna i kombination med ett spirande samarbete dem emellan utgör ett växande hot inför det amerikanska valet i november.

Irans cyber- och påverkansoperationer har genomgått flera faser sedan Hamas terrorattack den 7 oktober. En del av deras verksamhet har dock varit genomgående konstant: kombinationen av opportunistiska cyberangrepp i kombination med påverkansoperationer som ofta vilseleder påverkans precision och omfattning.

Den här rapporten fokuserar på iransk påverkan och cyberaktiverade påverkansoperationer från den 7 oktober till slutet av 2023, samtidigt som den täcker trender och operationer som går tillbaka till våren 2023.

Ett diagram som visar de olika faserna i Irans cyberaktiverade påverkansoperationer i Israel-Hamas-kriget

Fas 1: Reaktiv och missledande

De iranska grupperna var reaktiva under den inledande fasen av kriget mellan Israel och Hamas. De iranska statliga medierna publicerade vilseledande detaljer om påstådda cyberattacker och iranska grupper återanvände daterat material från historiska operationer, återanvände åtkomst de hade före kriget och överdrev den övergripande omfattningen och effekten av de påstådda cyberattackerna.

Nästan fyra månader in i kriget har Microsoft fortfarande inte sett några tydliga bevis från våra data som tyder på att iranska grupper hade samordnat sina cyber- eller påverkansoperationer med Hamas planer på att attackera Israel den 7 oktober. Snarare tyder merparten av våra data och fynd på att de iranska cyberaktörerna var reaktiva och sedan snabbt ökade sina cyber- och påverkansoperationer efter Hamas-attackerna för att bemöta Israel.

Vilseledande detaljer om påstådda attacker genom statliga medier: 
Samma dag som kriget bröt ut, hävdades felaktigt av Tasnim News Agency, en iransk kanal kopplad till Irans islamiska revolutionsgarde, att en grupp som kallade sig för ”Cyber Avengers” genomförde cyberattacker mot ett israeliskt kraftverk “samtidigt” som Hamas genomförde sina attacker. 2 Cyber ​​Avengers, en cyberprofil som drivs av IRGC, påstod sig faktiskt ha utfört en cyberattack mot ett israeliskt elbolag kvällen före Hamas intrång.3 Deras bevis: flera veckor gammal pressrapportering om strömavbrott "under de senaste åren" och en skärmdump av ett odaterat tjänstavbrott på företagets webbplats. 4
Återanvända gammalt material: 
Efter Hamas attacker mot Israel påstod sig Cyber Avengers ha genomfört en serie cyberattacker mot Israel, av vilka den första visade sig vara falsk enligt våra undersökningar. Den 8 oktober hävdade de att de hade läckt dokument från ett israeliskt kraftverk, fastän dessa dokument hade publicerats tidigare, redan i juni 2022, av en annan cyberprofil, med kopplingar till det islamiska revolutiongardet, nämligen ”Moses Staff”.5
Återanvända åtkomst: 
En annan cyberprofil, "Malek Team", som vi förmodar drivs av Irans underrättelse- och säkerhetsministerium (MOIS), läckte personuppgifter från ett israeliskt universitet den 8 oktober utan någon tydlig koppling till den spirande konflikten där, vilket tyder på att målet var opportunistiskt och kanske valdes ut därför att det råkade vara tillgängligt innan kriget bröt ut. Snarare än att skapa kopplingar mellan de läckta uppgifterna och stödet för Hamas verksamhet, så använde Malek Team till en början hashtaggar på X (tidigare Twitter) för att stödja Hamas, för att bara några dagar senare ändra meddelandena till en typ av förringande meddelanden om Israels premiärminister Benjamin Netanyahu, vilka tidigare setts i andra Iranska påverkansoperationer.
Iransk propagandakonsumtion över hela världen illustrerad med en tidslinje och en graf över trafikproportioner
Bild 2: Microsoft Threat Intelligence – Iransk propagandaförbrukning efter land, Hamas attacker mot Israel. En graf som visar aktiviteten från april till december 2023.
Irans påverkansoperationer var mest effektiva i början av kriget 
Räckvidden för medierna med anknytning till den iranska staten ökade efter det att Israel-Hamas-kriget hade brutit ut. Under konfliktens första vecka kunde vi notera en ökning på 42 % i Microsoft AI for Good Labs iranska propagandaindex, som övervakar konsumtionen av nyheter från den iranska staten och nyhetskanaler med anknytning till den iranska staten (se bild 1). Indexet mäter andelen trafik på dessa webbplatser med den övergripande trafiken på Internet. Den ökningen var särskilt uttalad i engelsktalande länder som är nära allierade med USA (bild 2), vilket belyser Irans förmåga att nå västerländsk publik med sin rapportering om konflikter i Mellanöstern. En månad in i kriget låg räckvidden för dessa iranska källors globala räckvidd fortfarande 28-29 % över de nivåer de hade före kriget.
Irans inflytande utan cyberattacker uppvisar smidighet 
Irans påverkansoperationer verkade mer smidiga och effektiva under början av kriget jämfört med deras kombinerade cyberpåverkansoperationer senare under konflikten. Några dagar efter Hamas attack mot Israel inledde en trolig iransk statsaktör, som vi identifierat som Storm-1364, en påverkansoperation med hjälp av en onlineprofil kallad ”Tears of War”, som gav sken av att vara israeliska aktivister, och vars syfte var att sprida uttalanden riktade mot Netanyahu till israeliska mottagare över hela världen på olika sociala medier och meddelandeplattformar. Den hastighet med vilken Storm-1364 lanserade den här kampanjen efter attackerna den 7 oktober visar tydligt hur smidigt den här gruppen agerar och belyser samtidigt fördelarna med kampanjer som är rena påverkanskampanjer, då de kan genomföras mycket snabbare eftersom de inte behöver vänta på cyberaktivitet från någon cyberaktiverad påverkansoperation.

Fas 2: Alle man på däck

Från mitten till slutet av oktober flyttade ett växande antal iranska grupper sitt fokus till Israel, och Irans cyberaktiverade påverkansoperationer gick från att till stor del vara reaktiva, fabricerade eller bådadera till att även omfatta destruktiva cyberattacker och utveckla intressanta mål för operationer. Dessa attacker omfattade dataradering, utpressningstrojaner och justering av en IoT-enhet.6 Vi såg också bevis på ökad samordning bland de iranska grupperna.

Under krigets första vecka spårade Microsoft Threat Intelligence nio iranska grupper som var aktiva med att angripa Israel. Det antalet hade efter 15 dagar vuxit till 14 grupper. I vissa fall kunde vi observera flera IRGC- eller MOIS-grupper som fokuserade på samma organisation eller militärbas med cyber- eller påverkansaktivitet, vilket tydde på samordning och gemensamma mål fastställda i Teheran, eller bådadera.

Cyberaktiverade påverkansoperationer tilltog också. Vi observerade fyra snabbt implementerade cyberaktiverade påverkansoperationer som riktades mot Israel under krigets första vecka. I slutet av oktober mer än fördubblades antalet sådana operationer, vilket tydligt markerade en avsevärt accelererande utveckling klart snabbare än vad som hade kunnat observeras fram tills dess (se bild 4).

Illustration: Irans cyber- och påverkansförbindelse, med symboler, hotinformation och revolutionsgarde
Tidslinje för Irans cyberpåverkansoperationer: Ökning under Hamas-kriget 2021-2023

Den 18 oktober använde IRGC:s Shahid Kaveh Group, som Microsoft identifierat som Storm-0784, en anpassad utpressningstrojan för att utföra cyberattacker mot säkerhetskameror i Israel. Den använde sedan en av sina cyberprofiler, ”Soldiers of Solomon”, för att felaktigt hävda att de hade komprometterat säkerhetskameror och data vid Nevatim Air Force Base. En undersökning av säkerhetsfilmerna som Soldiers of Solomon läckte visade dock att filmerna hade hämtats från en stad norr om Tel Aviv med en gata som heter Nevatim. Det handlade alltså inte om flygbasen med samma namn. Faktum är att analysen av platserna visade att ingen låg i närheten av militärbasen (se bild 5). Även om de iranska grupperna hade påbörjat sina destruktiva attacker, så förblev deras operationer till stor del opportunistiska och fortsatte att utnyttja påverkansaktiviteter för att överdriva attackernas precision och effekt.

Den 21 oktober delade en annan cyberprofil, som drivs av IRGC-gruppen Cotton Sandstorm, (allmänt känd som Emennet Pasargad) en video med angripare som förstör digitala skärmar vid synagogor med meddelanden som refererade till Israels operationer i Gaza som ”folkmord”. 7 Detta indikerade en metod där man bäddade in påståenden direkt i cyberattackerna mot ett relativt mjukt mål.

Under denna fas använde Irans påverkansaktiviteter mer omfattande och sofistikerade former av inautentisk förstärkning. Under krigets första två veckor upptäckte vi minimala avancerade former av inautentisk förstärkning – vilket återigen tydde på att operationerna var reaktiva. Efter tre veckors krig trädde Irans mest produktiva påverkansaktör, Cotton Sandstorm, in på scenen och lanserade den 21 oktober tre cyberaktiverade påverkansoperationer. Som vi så ofta kan se från den här gruppen, så använde de ett nätverk av sockpuppet-profiler i sociala medier med vilka de förstärkte operationerna, även om många verkade återanvändas hastigt utan autentiska förklädnader som maskerade dem som israeler. Vid flera tillfällen genomförde Cotton Sandstorm massutskick av textmeddelanden eller e-postmeddelanden i syfte att förstärka eller skryta om sina operationer, och man förstärkte intrycket av äkthet genom att utnyttjade komprometterade konton.8

Irans cyberattacksanspråk avslöjade: Falska utpressningstrojaner och övervakningsfilmer, missvisande påverkansoperationer avslöjade

Fas 3: Utöka det geografiska området

Mot slutet av november började iranska grupper att utöka sitt cyberaktiverade inflytande utanför Israel till att även omfatta länder som Iran anser hjälper Israel, vilket med stor sannolikhet kommer att undergräva det internationella politiska, militära och ekonomiska stöd som Israel får för sina militära operationer. Denna utökade inriktning sammanföll med att attackerna mot internationell sjöfart länkad till Israel tog sin början – attacker kopplade till houthirebellerna, en shiitisk militant grupp i Jemen som stöds av Iran (se bild 8).9

  • Den 20 november varnade den Iran-stödda cyberprofilen "Homeland Justice" för omfattande attacker mot Albanien, varefter de, i slutet av december, förstärkte destruktiva cyberattacker från MOIS-grupper mot Albaniens parlament, nationella flygbolag och telekommunikationsleverantörer.10
  • Den 21 november angrep den Cotton Sandstorm-kopplade cyberprofilen Al-Toufan bahrainska myndigheter och finansiella organisationer för att de normaliserade banden med Israel.
  • Den 22 november började IRGC-anslutna grupper angripa Israeltillverkade programmerbara logiska styrenheter (PLC) i USA, och möjligen även Irland, varvid en sådan enhet hos en vattenmyndighet i Pennsylvania togs offline den 25 november (bild 6).11 PLC:er är industridatorer avsedda att styra tillverkningsprocesser, t.ex. monteringslinjer, maskiner och robotenheter.
  • Tidigt i december hävdade profilen Cyber Toufan Al-Aksa, som MTAC bedömer vara sponsrad av Iran, att man hade läckt data från ett par amerikanska företag som stöttar Israel ekonomiskt och förser den israeliska militären med utrustning.12 De har tidigare hävdat att de har raderat data i attacker mot företagen den 16 november.13 På grund av brist på stark kriminalteknisk bevisning som visar gruppens koppling till Iran, så är det möjligt att profilen drivs av en iransk partner utanför landet i samarbete med Iran.
PLC hos Pennsylvanias vattenmyndighet vanställd med Cyber Avengers logotyp den 25 november

I den här senare fasen blev Irans cyberaktiverade påverkansoperationer även mer sofistikerade. De kamouflerade sina sockpuppet-profiler bättre genom att byta namn på några av dem och ändra deras profilfoton, så att de framstod som mer autentiskt israeliska. Samtidigt använde de sig av nya tekniker som vi tidigare inte har sett hos iranska aktörer, t.ex. användning av AI som en nyckelkomponent deras meddelanden. Vi har kommit fram till att Cotton Sandstorm störde tv-direktuppspelningstjänster i Förenade Arabemiraten och på andra håll under december under täckmantel som profilen ”For Humanity”. For Humanity publicerade videor på Telegram som visar hur gruppen hackar tre onlinestreamingtjänster och stör flera nyhetskanaler med en falsk nyhetssändning med ett helt klart AI-genererat ankare som visar bilder på palestinier som påståtts ha skadats och dödats i samband med israeliska militära operationer (bild 7).14 Nyhetskanaler, som BBC, och tittare i Förenade Arabemiraten, Kanada och Storbritannien rapporterade störningar i direktuppspelade tv-program, vilka överensstämde med For Humanitys påståenden.15

HUMANITY 2023: 8 oktober, 180 dödade, 347 skadade. Bild 7: Avbrott i direktuppspelad TV med AI-genererad sändning
Iran utökar angreppen mot dem som stöder Israel med cyberattacker, varningar och skändande aktiviteter.

Irans operationer arbetar med fyra breda mål i sikte: destabilisering, vedergällning, hot och undergrävande av det internationella stödet för Israel. Alla dessa fyra mål syftar också till att undergräva Israels och dess anhängares informationsmiljöer, så att det skapas allmän förvirring och brist på förtroende.

Destabilisering genom polarisering 
Irans attacker mot Israel under Israel-Hamas-kriget har i allt högre grad kommit att fokuseras på att förstärka de inhemska konflikterna kring den israeliska regeringens hantering av kriget. Flera iranska påverkansoperationer har maskerat sig som israeliska aktivistgrupper som skickat provocerande meddelanden med kritik mot regeringens hantering av dem som kidnappades och togs som gisslan den 7 oktober.17 Netanyahu har varit ett primärt mål för de här meddelandena, och krav på att han måste avgå har varit ett vanligt tema i Irans påverkansoperationer.18
AVENGERS – Ingen elektricitet, mat, vatten eller bränsle. Cyber Avengers delade video om Israels blockad
Vedergällning 
Irans budskap och val av mål lyfter i hög grad fram dessa operationers vedergällningsmotiv. Exempelvis släppte profilen med det träffande namnet Cyber ​​Avengers en video som visar Israels försvarsminister som säger att Israel skulle stänga av elektricitet, mat, vatten och bränsle till Gaza City (se bild 9), följt av en serie påstådda Cyber ​​Avengers-attacker mot israelisk infrastruktur för el, vatten och bränsle.19 Deras påståenden några dagar tidigare om attacker mot Israels nationella vattensystem innehöll meddelandet ”Öga för öga” och Tasnim News Agency, med kopplingar till det islamiska revolutionsgardet, rapporterade att gruppen hävdade att attackerna mot vattensystemen var en vedergällning för belägringen av Gaza.20 En grupp med kopplingar till MOIS som vi identifierat som Pink Sandstorm (även kallad Agrius) genomförde ett hacknings- och läckage-attack mot ett israeliskt sjukhus i slutet av november, vilket framstod som en vedergällning för Israels flera dagar långa belägring av al-Shifa-sjukhuset i Gaza två veckor tidigare.21
Hotelser 
Irans operationer bidrar också till att undergräva den israeliska säkerheten och skrämma Israels medborgare och anhängare genom att skicka ut hotfulla meddelanden och övertyga målgrupperna om att den israeliska statens infrastruktur och regeringssystem är osäkra. En del av Irans hot verkar syfta till att undergräva Israels vilja att fortsätta kriget, som meddelanden som försöker övertyga IDF-soldater om att de borde ”lämna kriget och åka hem” (bild 10).22 En iransk cyberprofil, som såg ut att vara maskerad som Hamas, påstod sig ha skickat hotfulla textmeddelanden till israeliska soldaters familjer med tillägget ”Soldaterna i IDF [Israel Defense Forces] bör vara medvetna om att så länge våra familjer inte är säkra, så är inte heller deras familjer det”.23 Sockpuppet-profiler som förstärker Hamas-profilens budskap spred meddelanden på X om att IDF ”inte har någon makt att skydda sina egna soldater” och hänvisade till en serie meddelanden som påstods ha skickats från IDF-soldater som bad Hamas att skona deras familjer.24
Ett hotfullt meddelande från en påstått Cotton Sandstorm-länkad sockpuppet-profil, hänvisar till åtkomst till personuppgifter och uppmuntrar soldaterna att lämna kriget.
Undergräva det internationella stödet för Israel 
Irans påverkansoperationer som riktade sig mot internationell publik innehöll ofta meddelanden med avsikt att försvaga det internationella stödet för Israel genom att lyfta fram de skador som Israels attacker mot Gaza orsakar. En profil som utger sig för att vara en pro-palestinsk grupp kallade Israels agerande i Gaza som ”folkmord”.25 Under december körde Cotton Sandstorm flera påverkansoperationer under namnen ”For Palestinians” och ”For Humanity”, där man uppmanade det internationella samfundet att fördöma Israels attacker mot Gaza.26

För att uppnå sina mål i informationsrymden har Iran i hög grad förlitat sig på fyra taktiker, tekniker och procedurer (TTP) för påverkan under de senaste nio månaderna. Dessa omfattar användning av identitetsstöld och förbättrade förmågor när det gäller att aktivera sina målgrupper, tillsammans med en ökad användning av textmeddelandekampanjer och av IRGC-anknutna media i syfte att förstärka dessa påverkansoperationer.

Utge sig för att representera israeliska aktivistgrupper och iranska partner 
Iranska grupper har sedan länge utvecklat en imitationsteknik genom att ta fram mer specifika och övertygande profiler som kan utge sig vara såväl Irans vänner som dess fiender. Många av Irans tidigare operationer och profiler har gett sken av att verka till förmån för den palestinska saken.27 De senaste operationerna från en profil som vi bedömer drivs av Cotton Sandstorm har gått längre, genom att helt enkelt använda namnet och logotypen för al-Qassam-brigaderna, Hamas militära gren, för att sprida falska meddelanden om gisslan som hålls i Gaza och skicka hotfulla meddelanden till israeler. En annan Telegram-kanal som har hotat IDF:s personal och läckt deras personuppgifter, och som vi bedömer drivs av en MOIS-grupp, använde också al-Qassam-brigadernas logotyp. Det är oklart huruvida Iran agerar med Hamas samtycke eller inte.

Iran har på liknande sätt skapat allt mer övertygande fiktiva israeliska aktivistorganisationer såväl till höger som vänster i det israeliska politiska spektrumet. Genom dessa falska aktivister försöker Iran infiltrera det israeliska samhället genom att vinna förtroende hos olika grupper och så oenighet.

Få israelerna att handla 
I april och november kunde Iran vid upprepade tillfällen visa hur man nådde framgångar med att rekrytera intet ont anande israeler i att engagera sig i lokala aktiviteter som främjade falska operationer. I den nyligen genomförda operationen Tears of War lyckades iranska agenter enligt uppgift övertyga israeler att hänga upp Tears of War-banderoller i israeliska kvarter med en till synes Al-genererad bild av Netanyahu och kräva att han avsätts som president (se bild 11).28
Förstärkning genom text och e-post med ökad frekvens och sofistikation 
Samtidigt som iranska påverkansoperationer fortsätter att i hög grad förlita sig på samordnad inautentisk förstärkning via sociala medier för att nå målgrupperna, så har Iran i allt större utsträckning kommit att utnyttja massutskick av meddelanden och e-postmeddelanden för att förstärka de psykologiska effekterna av deras cyberaktiverade påverkansoperationer. Förstärkning via sockpuppet-profiler på sociala medier har inte samma effekt som meddelanden som bara dyker upp i ens inkorg, eller än mindre i ens telefon. Cotton Sandstorm byggde vidare på tidigare framgångar med den här tekniken från och med 2022,29 och har gjort massutskick av textmeddelanden, e-postmeddelanden eller bådadera i samband med minst sex operationer sedan augusti. Gruppens ökade användning av denna teknik tyder på att man har finslipat den och ser den som effektiv. Cotton Sandstorms Cyber ​​Flood-operation i slutet av oktober omfattade upp till tre uppsättningar massutskick av text- och e-postmeddelanden till israeler, och förstärkte därigenom effekten av påstådda cyberattacker eller distribuerade falska varningar om Hamas-attacker mot Israels kärnkraftsanläggning i närheten av Dimona.30 I åtminstone ett av fallen använde de sig av ett komprometterat konto och kunde därigenom stärka illusionen av äkthet i e-postmeddelandena.
Bild 11: Tears of War-banderoll i Israel med en Al-genererad bild av Netanyahu, med texten ”åtala nu”.
Utnyttja statliga medier 
Iran har använt medier med såväl öppna som dolda kopplingar till det islamiska revolutionsgardet för att förstärka påstådda cyberoperationer och emellanåt överdriva deras effekter. I september, efter det att Cyber ​​Avengers hade påstått att cyberattacker hade riktats mot Israels järnvägssystem, så förstärkte och överdrev medier med kopplingar till det islamiska revolutionsgardet nästan omedelbart dessa påståenden. Tasnim News Agency, med kopplingar till det islamiska revolutionsgardet, felciterade den israeliska nyhetsrapporteringen av en annan händelse som bevis på att cyberattacken hade inträffat.31 Denna rapportering förstärktes ytterligare av andra iranska kanaler och kanaler med kopplingar till Iran på ett sätt som ytterligare kamouflerade avsaknaden av bevis som stöder dessa påståenden om en cyberattack.32
Ökad användning av AI i påverkansoperationer 
MTAC har observerat att iranska aktörer har börjat använda sig av AI-genererade bilder och videor efter det att Israel-Hamas-kriget bröt ut. Cotton Sandstorm och Storm-1364, såväl som nyhetskanaler med kopplingar till Hizbollah och Hamas, har använt sig av Al för att förstärka sina hot och ta fram förnedrande bilder på Netanyahu och det israeliska ledarskapet.
Bild 12: Cotton Sandstorms påverkansoperationer under augusti-december 2023, med beskrivningar av olika metoder och aktiviteter.
1. Spirande samarbete 
Några veckor in i kriget mellan Israel och Hamas började vi se tecken på samarbete mellan olika grupper med Iran-kopplingar, vilket medförde att de kunde åstadkomma mycket mer. Samarbete sänker barriären för att ta sig in, eftersom varje grupp bidrar med sina olika befintliga kunskaper, vilket tar bort behovet att varje enskild grupp måste utveckla ett komplett spektrum av verktyg och färdigheter.

Enligt vår uppskattning har ett par grupper med MOIS-koppling, Storm-0861 och Storm-0842, samarbetet kring en cyberattack i Israel sent i oktober och sedan på nytt i Albanien sent i december. I båda fallen tillhandahöll Storm-0861 sannolikt åtkomst till nätverket innan Storm-0842 genomförde en rensningsattack. Storm-0842 genomförde på motsvarande sätt en rensningsattack mot albanska myndigheter i juli 2022 efter det att Storm-0861 skaffat åtkomst.

I oktober kan även en annan grupp med MOIS-kopplingar, Storm-1084, ha haft åtkomst till en organisation i Israel där Storm-0842 distribuerade rensningsprogrammet BiBi, som fått sitt namn eftersom den skadliga programvaran ändrar namn på de rensade filerna med strängen ”BiBi”. Det är oklart vilken roll Storm-1084 spelade, om ens någon, i den destruktiva attacken. Storm-1084 genomförde destruktiva cyberattacker mot en annan israelisk organisation i början av 2023, vilket möjliggjordes av en annan grupp med MOIS-anknytning, nämligen Mango Sandstorm (även känd som MuddyWater).33

Efter krigsutbrottet har Microsoft Threat Intelligence även identifierat samarbete mellan en MOIS-anknuten grupp, Pink Sandstorm, och Hizbollahs cyberenheter. Microsoft har kunnat se hur deras infrastrukturer överlappar varandra och delar verktyg. Det iranska samarbetet med Hizbollah kring cyberoperationer innebär, även om det inte saknar motsvarigheter, en oroande utveckling, eftersom kriget kan få dessa grupper att komma närmare varandra och samarbeta operativt över nationsgränserna i tilltagande utsträckning.34 Eftersom Irans cyberattacker i det här kriget alla har kombinerats med påverkansoperationer, kan man anta att det är sannolikt att Iran kommer att förbättra sina påverkansoperationer och deras räckvidd genom att använda sig av arabiska som modersmål, vilket förhöjer skenet av äkthet hos dessa falska profiler.

2. Hyperfokus på Israel 
De iranska cyberaktörernas fokus på Israel har intensifierats. Iran har haft ett långvarigt fokus på Israel, som Teheran ser som sin främsta fiende vid sidan av USA. Därför har, baserat på Microsoft Threat Intelligence-data, Irans fokus nästan hela tiden legat på israeliska och amerikanska företag under de senaste åren. Under perioden närmast för kriget fokuserade de iranska aktörerna mest på Israel, följt av Förenade Arabemiraten och USA. Efter krigsutbrottet har fokuset på Israel uppnått nya höjder. 43 % procent av cyberaktiviteten hos de iranska nationella statsaktörernas som spårades av Microsoft riktade sig mot Israel, vilket motsvarade mer än de 14 följande länderna tillsammans.
Procentuell uppdelning av Mogult Threat Intelligence-data efter land och iranskt fokus före kriget respektive 75 dagar in i kriget

Vi förväntar oss att hotet från Irans cyber- och påverkansoperationer kommer att växa i takt med att Israel-Hamas-konflikten fortsätter, särskilt med tanke på den ökande potentialen för en eskalering utmed nya fronter. Medan iranska grupper skyndade sig med att genomföra operationer, eller rent av bara fabricera dem, under krigets första dagar, så har de bromsat in sina senaste operationer, vilket givit dem mer tid att få den åtkomst de vill ha eller utveckla mer genomarbetade påverkansoperationer. Vad som står klart genom beskrivningen av krigets olika faser i denna rapport är att iranska cyber- och påverkansoperationer har utvecklats gradvis, och blivit alltmer målinriktade, samarbetspräglade och destruktiva.

De iranska aktörerna har dessutom blivit alltmer djärva i sina attacker, vilket i synnerhet har märkts i ett cyberangrepp mot ett sjukhus och testandet av Washingtons röda linjer till synes utan att bekymra sig om konsekvenserna. Det islamiska revolutionsgardets attacker mot amerikanska vattenförsörjningssystem framstår, även om de var opportunistiska, som ett smart knep för att testa Washington samtidigt som man hävdade att det var ett legitimt mål eftersom utrustningen var tillverkad i Israel.

Inför valet i USA i november 2024 innebär det ökade samarbetet mellan iranska och Iran-trogna grupper en större utmaning för dem som engagerar sig i att försvara valets integritet. Nu kan man inte längre finna trygghet i att spåra några enskilda grupper. Det är snarare så att det växande antalet åtkomstagenter, påverkansgrupper och cyberaktörer skapar en mer komplex och sammanflätad hotmiljö.

Mer expertinsikter om Irans påverkansoperationer

Hör vad experterna har att säga om Irans cyberaktiverade påverkansoperationer, med fokus på Irans handlingar i ljuset av presidentvalet i USA 2020 och Israel-Hamas-kriget i Microsoft Threat Intelligence-podcasten. Diskussionen täcker in de taktiker som de iranska aktörerna använder, t.ex. identitetsstöld, rekrytering ur lokalbefolkningen och utnyttjande av e-post och textmeddelanden i förstärkande syfte. Det förklarar också de intrikata sammanhangen kring de iranska cyberaktiviteterna, deras samarbeten, propagandakonsumtion, kreativa taktiker och utmaningar kring tillskrivandet av påverkansoperationer.

Relaterade artiklar

De ryska hotaktörerna jobbar ihärdigt vidare, och förbereder sig på att utnyttja krigströttheten 

Ryska cyber- och påverkansoperationer fortsätter medan kriget i Ukraina fortskrider. Microsoft Threat Intelligence beskriver de senaste cyberhots- och påverkansaktiviteterna under de närmast föregående sex månaderna.

Iran satsat på cyberaktiverade påverkansåtgärder eftersom de ger större effekt

Microsoft Threat Intelligence har avslöjat ett växande antal cyberaktiverade påverkanskampanjer från Iran. Få hotinsikter med information om nya tekniker och var potentialen för framtida hot ligger.

Cyber- och påverkansoperationer under kriget på Ukrainas digitala slagfält

Microsoft Threat Intelligence undersöker ett år av cyber- och påverkansoperationer i Ukraina, avslöjar nya trender inom cyberhot och vad vi kan vänta oss när kriget går in på sitt andra år.