伊朗激增網路影響力作戰以支援哈馬斯
定義的按鍵條款
- 網路啟用的影響力作業
以座標和操縱的方式將攻擊性計算機網路作業與傳訊和放大相結合,以改變目標受眾的看法、行為或決定,促進一個群體或一個國家的利益和目標。 - 網路角色
一個面向公眾的虛構群組或個人,負責網路作業,同時為負責的潛在群組或國家提供合理的推卸理由。 - 傀儡帳戶
以欺騙為目的使用虛構或被盜身份的虛假線上角色。
隨著戰爭的進行,社交媒體「傀儡帳戶」得到部署,影響力作業變得愈發複雜和不真實。在整個戰爭期間,這些影響力作業一直試圖恐嚇以色列人,同時批評以色列政府對人質的處理和軍事行動,以分化並最終破壞以色列的穩定。政府對人質的處理和軍事行動使以色列兩極分化並最終破壞穩定。
最終,伊朗將其網路攻擊和影響力作業轉向以色列的政治盟友和經濟夥伴,以破壞對以色列軍事行動的支援。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。伊朗和與伊朗有關聯的執行者日漸肆無忌憚,加上他們之間迅速發展的合作,預示著在 11 月美國大選之前,威脅越來越大。
自 10 月 7 日哈馬斯恐怖襲擊以來,伊朗的網路和影響力作業經歷了多個階段。他們作業的一個元素始終保持不變:機會主義的網路目標與影響力作業相結合,這些行動往往會誤導影響的精確度或範圍。
本報告重點關注 10 月 7 日至 2023 年底期間伊朗的影響力和網路影響力作業,同時涵蓋可追溯到 2023 年春季的趨勢和作業。
階段 1:反應性和誤導性
伊朗群組在以色列 - 哈馬斯戰爭的初始階段是被動的。伊朗官方媒體發佈了據稱網路攻擊的誤導性細節,伊朗群組重複使用了以往行動中的過時材料,重新利用了他們在戰前的存取權,並誇大了據稱網路攻擊的整體範圍和影響。
戰爭已經持續了近四個月,Microsoft 仍然沒有從我們的資料中看到明確的證據表明,伊朗群組已經將其網路或影響力作業與哈馬斯在 10 月 7 日襲擊以色列的計劃加以協調。相反,我們的資料和調查結果的大多數表明,伊朗網路執行者是被動的,在哈馬斯襲擊后,其迅速激增網路和影響力作業以對抗以色列。
在哈馬斯襲擊以色列之後,網路復讎者聯盟聲稱對以色列進行了一系列網路攻擊,我們的調查顯示,其中最早的攻擊是不實的。10 月 8 日,他們宣告洩露了以色列發電廠的文件,儘管這些文件此前已於 2022 年 6 月由另一個伊斯蘭革命衛隊運營的網路角色「摩西人員」發佈。 5
我們存取的由伊朗情報和安全部(MOIS)運營的另一個網路角色「馬利克團隊」於 10 月 8 日洩露了以色列一所大學的個人資料,但與那裡迅速爆發的衝突沒有任何明確的連結,這表明其目標是機會主義的,可能是根據戰爭爆發前預先存在的存取所選擇的。馬利克團隊最初沒有在洩露的資料和對哈馬斯行動的支持之間建立聯繫,而是在 X(前身為 Twitter)上使用主題標籤來支援哈馬斯,幾天后才改變了傳訊方式,以與在其他伊朗影響力行動中看到的詆毀以色列總理本雅明·內塔尼亞胡的信息類型對齊。
以色列-哈馬斯戰爭爆發后,伊朗國家附屬媒體的觸達人數激增。在衝突的第一周,我們觀察到 Microsoft AI for Good 實驗室的伊朗宣傳索引增加了 42%,該索引監測伊朗國家和國家附屬新聞媒體的新聞使用量(見圖 1)。該索引衡量訪問這些網站的流量佔網際網路整體流量的比例。這種激增在與美國關係密切的英語國家/地區尤為明顯(圖 2),凸顯了伊朗通過對中東衝突的報告觸達西方受眾的能力。戰爭開始一個月後,這些伊朗消息來源的觸達面仍比全域戰前水準高出 28-29%。
與衝突後期的合併網路影響力行動相比,伊朗的影響力行動在戰爭初期顯得更加敏捷和有效。在哈馬斯襲擊以色列的幾天內,我們追蹤的疑似伊朗國家行為者 Storm-1364 使用一個名為「戰爭之淚」的在線角色發起了一項影響力作業,該角色冒充以色列活動家,通過多個社交媒體和傳訊平臺向以色列受眾傳播反內塔尼亞胡的資訊。在 10 月 7 日攻擊後,Storm-1364 發起這一活動的速度凸顯了該群組的敏捷性,並指出了僅影響力活動的優勢,這些活動可能形成得更快,因為無需等待網路影響力行動的網路動向。
階段 2:全員參與
從 10 月中旬到下旬,越來越多的伊朗群組將注意力轉移到以色列,伊朗的網路影響力作業從以被動的、捏造的或兩者兼有為主,轉變為包括破壞性網路攻擊和開發關注的作業目標。這些攻擊包括資料刪除、勒索軟體,以及顯然調整物聯網(IoT)設備。6我們還看到伊朗各群組之間加強協調的證據。
在戰爭的第一周,Microsoft 威脅情報部門追蹤了九個積極針對以色列的伊朗群組;到第 15 天,這個數位增加到 14 組。在某些情況下,我們觀察到多個伊斯蘭革命衛隊或 MOIS 團體通過網路或影響力活動針對同一組織或軍事基地,這表明存在協調,或在德黑蘭設定的共同目標,或兩者兼而有之。
網路啟用的影響力作業也在激增。在戰爭的第一周,我們觀察到了針對以色列的四次倉促實施的網路影響作業。到 10 月底,此類作業的數量增加了一倍多,標誌著這些作業以迄今為止最快的速度顯著加速(見圖 4)。
10 月 18 日,伊斯蘭革命衛隊的 Shahid Kaveh 群組(Microsoft 將其追蹤為 Storm-0784)使用定製的勒索軟體對以色列的安全性相機進行網路攻擊。然後,它使用其網路角色之一「所羅門士兵」虛假地宣告已經贖回了內瓦蒂姆空軍基地的安全性相機和資料。對所羅門士兵洩露的安全性錄像的檢查顯示,它來自特拉維夫以北的一個小鎮,那裡有一條內瓦蒂姆街,而不是同名的空軍基地。事實上,對受害者位置的分析表明,沒有人在軍事基地附近(見圖 5)。雖然伊朗群組已經開始進行破壞性襲擊,但他們的行動在很大程度上仍然是機會主義的,並繼續利用影響力活動來誇大襲擊的精確度或效果。
10 月 21 日,伊斯蘭革命衛隊組織 Cotton Sandstorm(俗稱 Emennet Pasargad)運營的另一個網路角色分享了一段視頻,視頻中攻擊者破壞了猶太教堂的數位顯示器,並將以色列在加沙的行動稱為「種族滅絕」。 7 這標誌著一種將傳訊直接內嵌到針對相對軟目標的網路攻擊中的方法。
在這個階段,伊朗的影響力活動使用了更廣泛和更複雜的不真確放大形式。在戰爭的前兩周,我們檢測到了最低限度的不真確放大的進階形式——再次表明作業是被動的。到戰爭的第三周,伊朗最多產的影響力執行者 Cotton Sandstorm 於 10 月 21 日上場,發起了三項網路影響力作業。正如我們經常從該群組中看到的那樣,他們使用社交媒體傀儡帳號來擴大作業,儘管許多似乎是匆忙中重新利用的,而沒有偽裝成以色列人的真實身分。Cotton Sandstorm 多次批量發送簡訊或電子郵件,以放大或吹噓他們的作業,利用遭入侵的帳戶來增強真確性。8
階段 3:擴大地理範圍
從 11 月下旬開始,伊朗群組將其網路影響力擴大到以色列以外,包括伊朗認為正在援助以色列的國家/地區,這些國家/地區很可能會破壞對以色列軍事行動的國際政治、軍事或經濟支援。這種目標的擴大與伊朗支援的葉門什葉派激進組織胡塞武裝開始襲擊與以色列有關的國際航運相一致(見圖 8)。9
- 11 月 20 日,伊朗運營的網路機構「國土正義」警告說,阿爾巴尼亞即將遭受重大攻擊,然後在 12 月下旬放大了 MOIS 群組對阿爾巴尼亞議會、國家航空公司和電信供應商的破壞性網路攻擊。 10
- 11 月 21 日,Cotton Sandstorm 執行的網路角色“Al-Toufan”因與以色列實現關係正常化針對巴林政府和金融機構。
- 到 11 月 22 日,伊斯蘭革命衛隊附屬群組開始在美國和愛爾蘭將目標瞄準以色列製造的可程式設計邏輯控制器 (PLC),包括 11 月 25 日離線追蹤賓夕法尼亞州一家水務局的一個控制器(圖 6)。11PLC 是適用於控制製造過程的工業計算機,例如裝配線、機器和機器人設備。
在最新階段,伊朗的網路影響力作業也繼續複雜化。他們通過重命名一些傀儡帳戶並更改其個人資料照片,以使其看起來更像真實的以色列人而更好地偽裝。與此同時,他們利用了我們從伊朗執行者處所未見的新技術,包括使用人工智慧作為其傳訊的關鍵組成部分。我們評估了 Cotton Sandstorm,其在 12 月以一個名為“For Humanity”的角色為幌子,擾亂了阿聯酋和其他地區的流媒體電視服務。“For Humanity”在 Telegram 上發佈了影片,顯示該組織入侵了三個線上流媒體服務,並通過一個虛假新聞廣播擾亂了幾個新聞頻道,該廣播以一個顯然是 AI 生成的主播為錨點,聲稱展示了巴勒斯坦人在以色列軍事行動中受傷和死亡的圖像(圖 7)。 14 阿聯酋、加拿大和英國的新聞媒體和觀眾報導了包括 BBC 在內的流媒體電視節目的中斷,這與“For Humanity”的說法相符。15
伊朗的大部分傳訊和目標選擇都強調了其作業的報復性質。例如,正式命名的網路復讎者聯盟發佈了一段視頻,顯示以色列國防部長表示以色列將切斷加沙城的電力、食物、水和燃料(見圖 9),隨後是一系列宣告針對以色列電力、水和燃料基礎設施的網路復讎者聯盟攻擊。19他們幾天前聲稱襲擊以色列國家供水系統包含「以眼還眼」的訊息,據伊斯蘭革命衛隊下屬的塔斯尼姆通訊社報導說,該組織表示,對供水系統的襲擊是對圍困加沙的報復。20一個與 MOIS 相關的團體,我們追蹤為粉紅沙塵暴(又名Agrius),其在 11 月下旬對一家以色列醫院進行了駭客攻擊和洩密,這似乎是對以色列兩周前對加沙 al-Shifa 醫院長達數天的圍困的報復。21
伊朗的作業還通過傳遞威脅性資訊,說服目標受眾其國家/地區的基礎結構和政府系統不安全,從而破壞以色列的安全並恐嚇以色列公民及其支援者。伊朗的一些恐嚇似乎旨在破壞以色列繼續戰爭的意願,例如試圖說服以色列國防軍士兵「離開戰爭並返回家園」的傳訊(圖 10)。22一名或偽裝成哈馬斯的伊朗網路人物聲稱向以色列士兵的家人發送威脅短信,並補充說:「IDF[以色列國防軍士兵]應該意識到,如果我們的家人不安全,那麼他們的家人也不會安全。」23傀儡帳戶放大了哈馬斯的形象,在 X 上散佈了以色列國防軍「沒有任何權力保護自己的士兵」的傳訊,並向觀眾指出了據稱是以色列國防軍士兵發出的一系列資訊,要求哈馬斯饒恕他們的家人。24
為了實現其在資訊空間的目標,伊朗在過去九個月中嚴重依賴四種影響力策略、技術和程式(TTP)。這些措施包括使用模擬和增強能力來啟動目標受眾,同時日漸使用簡訊活動和使用與伊斯蘭革命衛隊有聯繫的媒體來擴大影響力作業。
伊朗群組通過開發更具體和令人信服的角色來建立一種長期的模擬技術,這些角色不僅偽裝成伊朗的朋友,也偽裝成伊朗的敵人。伊朗過去的許多行動和角色都聲稱是支援巴勒斯坦事業的活動家。27我們所評估的 Cotton Sandstorm 執行角色的最近行動更進一步,借哈馬斯軍事部門 al-Qassam Brigades 的名義和標誌散佈有關在加沙被扣押的人質的虛假資訊,並向以色列人發送威脅資訊。另一個威脅以色列國防軍人員並洩露其個人資料的 Telegram 頻道(我們評估該頻道是由 MOIS 的一個團體運營)也使用了 al-Qassam Brigades 的標誌。目前尚不清楚伊朗是否在哈馬斯的同意下採取行動。
同樣,在以色列政治光譜的左右兩派中,伊朗所製造的對虛構以色列激進組織的冒充越來越令人信服。通過這些冒牌活動家,伊朗試圖滲透到以色列社區,以獲得他們的信任並挑撥離間。
在 4 月和 11 月,伊朗在招募不知情的以色列人從事宣傳其虛假行動的實地活動方面一再取得成功。據報導,在最近的一次名為「戰爭之淚」的作業中,伊朗特工成功地說服以色列人在以色列社區懸掛了「戰爭之淚」的品牌橫幅,上面似乎是內塔尼亞胡的 AI 生成形象,並呼籲將他免職(見圖 11)。28
雖然伊朗的影響力作業繼續嚴重依賴座標的虛偽社交媒體放大來觸達目標受眾,但伊朗愈發地利用大量文字簡訊和電子郵件,以此來啟用其網路影響力作業的心理影響。使用傀儡帳戶在社交媒體上放大,與收件匣中出現的訊息相比,其影響是不一樣的,更不用說電話了。從 2022 年開始,基於過去使用這種技術的成功基礎,29自 8 月以來,Cotton Sandstorm 在至少 6 次操作中批量發送了 29 條文字簡訊、電子郵件或兩者兼有。更多地使用這種技術表明該小組已經磨練了這種功能,並認為它是有效的。Cotton Sandstorm 在 10 月下旬的「網络洪水」行動包括向以色列人發送多達三組大量文字簡訊和電子郵件,放大聲稱的網路攻擊或散布哈馬斯襲擊以色列迪莫納附近核設施的虛假警告。30至少在一個案例中,他們利用一個遭入侵的帳戶來增強其電子郵件的真確性。
自以色列-哈馬斯戰爭爆發以來,MTAC 觀察到伊朗執行者使用人工智慧生成的圖像和影片。Cotton Sandstorm 和 Storm-1364 以及真主黨和哈馬斯附屬新聞媒體利用 Al,來加強恐嚇並塑造詆毀內塔尼亞胡和以色列領導層的映像。
在以色列-哈馬斯戰爭爆發幾周后,我們開始看到與伊朗有關聯的群組之間的合作示例,這增強了執行者所能取得的成就。共同作業降低了輸入門檻,允許每個群組貢獻現有能力,並移除了單一群組開發全方位工具或工藝的需要。
我們評估說,與 MOIS 有連結的一對群組 Storm-0861 和 Storm-0842 於 10 月下旬在以色列和 12 月下旬在阿爾巴尼亞合作進行了破壞性網路攻擊。在這兩種情況下,Storm-0861 都可能在 Storm-0842 執行抹除惡意軟體之前提供了對網路的存取。同樣,在 Storm-0861 獲得存取權后,Storm-0842 於 2022 年 7 月在阿爾巴尼亞政府實體執行了抹除器惡意軟體。
10 月,另一個與 MOIS 相關的組織 Storm-1084 也可能存取了以色列的一個組織,Storm-0842 在那裡部署了“BiBi”抹除器,該抹除器一名源自以惡意軟體使用字符串“BiBi”重新命名抹除的檔案。目前尚不清楚 Storm-1084 在破壞性攻擊中扮演了什麼角色。Storm-1084 於 2023 年初對另一個以色列組織進行了破壞性網路攻擊,該攻擊由另一個與 MOIS 相關的組織 Mango Sandstorm(又名MuddyWater)啟用。33
自戰爭爆發以來,Microsoft 威脅情報還偵測到與 MOIS 連結的組織 Pink Sandstorm 和真主黨網路部隊之間的合作。Microsoft 觀察到基礎結構重疊和共用工具。伊朗與真主黨在網路行動上的共同作業雖然不是史無前例的,但引起了一個令人擔憂的事態發展,即這場戰爭可能會使這些團體在行動上更加緊密地聯繫在一起。34由於伊朗在這場戰爭中的網路攻擊都與影響力作業相結合,因此伊朗更有可能通過利用以阿拉伯文為母語的人來增強其不真實角色的真確性,來改善其影響力作業及其影響力。
伊朗網路執行者對以色列的關注愈演愈烈。伊朗長期以來一直關注以色列,德黑蘭將其視為與美國並駕齊驅的主要敵人。因此,根據 Microsoft 威脅情報資料,在過去幾年中,以色列和美國企業幾乎一直是伊朗最常見的目標。在戰爭爆發之前,伊朗執行者最關注的是以色列,其次是阿聯酋和美國。戰爭爆發后,對以色列的關注激增。在 Microsoft 追蹤的伊朗民族國家網路活動中,有 43% 針對以色列,超過了接下來的 14 個目標國家/地區的總和。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。雖然伊朗群組在戰爭初期急於開展或簡單地捏造作業,但伊朗群組已經放慢了他們最近的作業,使他們能夠有更多時間獲得所需的存取或發展更複雜的影響力作業。本報告中概述的戰爭階段清楚地表明,伊朗的網路和影響力作業進展緩慢,變得更具針對性、協作性和破壞性。
伊朗執行者在瞄準目標方面也變得日益大膽,最引人注目的是針對一家醫院的網路攻擊,並測試華盛頓的底線,似乎不關心後果。伊斯蘭革命衛隊對美國水控制系統的攻擊雖然是見機行事,但似乎是一種聰明的策略,通過宣告攻擊以色列製造設備的合法性來測試華盛頓。
在 2024 年 11 月美國大選之前,伊朗和伊朗附屬群組之間加強合作,預示著那些參與選舉辯護的人將面臨更大的挑戰。防禦者再也無法從追蹤幾個群組中得到安慰。相反,越來越多的存取代理程式、影響群組和網路執行者使威脅環境更加複雜和相互交織。
更多專家對伊朗影響力作業的見解
從 Microsoft 威脅情報播客中聽取有關伊朗網路影響力行動的專家的更多資訊,重點關注伊朗與 2020 年美國總統大選和以色列-哈馬斯戰爭相關的行動。討論涵蓋了伊朗執行者使用的策略,例如冒充、招募當地人以及利用電子郵件和文字簡訊進行放大。它還為伊朗網路活動的複雜性、他們的合作努力、宣傳消費、創造性策略以及影響力作業的歸因挑戰帶來了執行內容。