Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Iran intensyfikuje operacje wywierania wpływu z wykorzystaniem cybertechnologii w celu wspierania Hamasu

Pobierz
Udostępnij

Wprowadzenie

Wraz z wybuchem wojny między Izraelem a Hamasem 7 października 2023 roku Iran natychmiast zintensyfikował wsparcie dla Hamasu, stosując swoją wypróbowaną technikę łączenia ukierunkowanych ataków hakerskich z operacjami wywierania wpływu nagłaśnianymi w mediach społecznościowych, co określamy jako operacje wywierania wpływu z wykorzystaniem cybertechnologii1. Operacje Iranu miały początkowo charakter reaktywny i oportunistyczny. Do końca października niemal wszystkie irańskie źródła wpływu i ważne źródła cyberzagrożeń skoncentrowały się na Izraelu w coraz bardziej ukierunkowany, skoordynowany i niszczycielski sposób, co doprowadziło do powstania zmasowanej i nie mającej widocznych ograniczeń kampanii przeciwko Izraelowi. Inaczej niż w przypadku niektórych przeszłych cyberataków Iranu, wszystkie jego niszczycielskie cyberataki przeciwko Izraelowi w trakcie tej wojny — rzeczywiste i sfabrykowane — były dopełniana operacjami wywierania wpływu w Internecie.

Definicje kluczowych pojęć

  • Operacje wywierania wpływu z wykorzystaniem cybertechnologii 
    Operacje łączące ofensywne działania w sieci komputerowej z przesłaniami informacyjnymi i ich nagłaśnianiem w sposób skoordynowany i manipulacyjny, mający na celu zmianę sposobu postrzegania, zachowań lub decyzji docelowych odbiorców w celu wspierania interesów i celów grupy lub narodu.
  • Cyberosoba 
    Sfabrykowana widoczna publicznie grupa lub osoba biorąca odpowiedzialność za operację cybernetyczną, zapewniająca w ten sposób grupie lub krajowi możliwość wiarygodnego zaprzeczenia własnej odpowiedzialności.
  • Marionetka 
    Fałszywa osoba internetowa posługująca się fikcyjną lub skradzioną tożsamością w celu wprowadzania w błąd.

W miarę postępu wojny operacje wywierania wpływu stawały się coraz bardziej wyrafinowane i oparte na nieautentycznych zasobach — wykorzystywano w nich sieci „marionetek” w mediach społecznościowych. W całym okresie trwania wojny te operacje wywierania wpływu mają na celu zastraszenie Izraelczyków, a jednocześnie krytykowanie sposobu, w jaki izraelski rząd zarządzał operacjami wojskowymi i sprawami dotyczącymi zakładników, w celu spolaryzowania i ostatecznie zdestabilizowania Izraela.

Wreszcie Iran skierował cyberataki i operacje wywierania wpływu przeciwko sojusznikom politycznym i partnerom gospodarczym Izraela, aby osłabić wsparcie dla jego operacji wojskowych.

Oczekujemy, że zagrożenie stwarzane przez irańskie operacje cybernetyczne i operacje wywierania wpływu będzie rosło w miarę trwania konfliktu, szczególnie w obliczu zwiększającego się ryzyka rozszerzenia wojny. Zwiększona agresja irańskich i powiązanych z Iranem grup w połączeniu z rozwijającą się między nimi współpracą zwiastuje rosnące zagrożenie przed listopadowymi wyborami w Stanach Zjednoczonych.

Od ataku terrorystycznego Hamasu 7 października irańskie operacje cybernetyczne i wywierania wpływu przeszły przez wiele etapów. Jeden element ich operacji pozostaje cały czas niezmienny: łączenie oportunistycznych cyberataków z operacjami wywierania wpływu, które często wprowadzają w błąd co do precyzji uderzenia lub zakresu jego skutków.

W tym raporcie skupiono się na irańskich operacjach wywierania wpływu i operacjach wywierania wpływu z wykorzystaniem cybertechnologii w okresie od 7 października do końca 2023 roku oraz omówiono trendy i operacje z okresu od wiosny 2023 roku.

Etap 1. Działania reaktywne i wprowadzające w błąd

Na początkowym etapie wojny między Izraelem a Hamasem irańskie grupy działały w sposób reaktywny. Irańskie media państwowe podawały wprowadzające w błąd informacje o rzekomych cyberatakach, a irańskie grupy używały starych materiałów z przeszłych operacji, wykorzystywały do nowych celów dostęp, jaki miały przed wojną, oraz wyolbrzymiały ogólny zakres i skutki rzekomych cyberataków.

Niemal cztery miesiące po rozpoczęciu wojny firma Microsoft nadal nie zaobserwowała w zebranych danych wyraźnych dowodów wskazujących na to, że irańskie grupy koordynowały operacje cybernetyczne lub operacje wywierania wpływu z planami Hamasu dotyczącymi ataku na Izrael, jaki miał miejsce 7 października. Nasze dane i ustalenia sugerują raczej, że irańskie źródła cyberzagrożeń działały w sposób reaktywny, szybko intensyfikując operacje cybernetyczne i wywierania wpływu po atakach Hamasu w celu przeciwstawienia się Izraelowi.

Wprowadzające w błąd informacje dotyczące rzekomych ataków podawane przez media państwowe: 
W dniu wybuchu wojny irańska agencja informacyjna Tasnim News Agency powiązana z Korpusem Strażników Rewolucji Islamskiej (KSRI) fałszywie twierdziła, że ​​grupa o nazwie „Cyber ​​Avengers” przeprowadziła cyberataki na izraelską elektrownię „w tym samym czasie”, w którym trwały ataki Hamasu. 2Grupa Cyber ​​Avengers, cyberosoba sterowana przez KSRI, wzięła odpowiedzialność za przeprowadzenie cyberataku na izraelską firmę energetyczną wieczorem przed uderzeniem Hamasu3. Przedstawione przez tę grupę dowody: doniesienia prasowe sprzed kilku tygodni na temat przerw w dostawie prądu „w ostatnich latach” oraz zrzut ekranu dotyczący przerwy w działaniu strony internetowej tej firmy bez oznaczenia daty. 4
Ponowne używanie starych materiałów: 
Po atakach Hamasu na Izrael grupa Cyber ​​Avengers twierdziła, że ​​przeprowadziła serię cyberataków na Izrael — z naszych ustaleń wynika, że najwcześniejszy z nich był fałszywy. W dniu 8 października grupa ta twierdziła, że upubliczniła dokumenty izraelskiej elektrowni, mimo że te dokumenty zostały opublikowane już wcześniej, w czerwcu 2022 roku, przez inną sterowaną przez KSRI cyberosobę — „Moses Staff”.5
Wykorzystywanie dostępu do nowych celów: 
W dniu 8 października inna cyberosoba, „Malek Team”, w naszej opinii sterowana przez Ministerstwo Wywiadu i Bezpieczeństwa Iranu, ujawniła dane osobowe z izraelskiego uniwersytetu, który zaatakowano bez wyraźnego powiązania z narastającym konfliktem w tym regionie, co sugeruje, że wybór celu ataku miał charakter oportunistyczny i być może wybrano go na podstawie dostępu istniejącego przed wybuchem wojny. Zamiast tworzyć powiązania między ujawnionymi danymi a wsparciem dla działań Hamasu, grupa Malek Team początkowo wspierała Hamas, używając hasztagów w serwisie X (dawniej: Twitter), a dopiero kilka dni później zmieniła przekaz, dostosowując go do przesłań oczerniających izraelskiego premiera Benjamina Netanjahu obserwowanych w ramach innych irańskich operacji wywierania wpływu.
Operacje wywierania wpływu Iranu były najskuteczniejsze w pierwszych dniach wojny 
Zasięg irańskich mediów powiązanych z państwem wzrósł po wybuchu wojny między Izraelem a Hamasem. W pierwszym tygodniu konfliktu zaobserwowaliśmy wzrost indeksu irańskiej propagandy Laboratorium AI for Good firmy Microsoft o 42%, który monitoruje konsumpcję wiadomości z irańskich państwowych i powiązanych z państwem serwisów informacyjnych (zobacz: Ilustracja 1). Ten indeks mierzy proporcję ruchu odwiedzin w tych witrynach do całkowitego ruchu w Internecie. Ten wzrost był szczególnie wyraźny w krajach anglojęzycznych blisko sprzymierzonych ze Stanami Zjednoczonymi (Ilustracja 2), co uwydatniło zdolność Iranu do docierania do zachodnich odbiorców z własnymi wiadomościami na temat konfliktów na Bliskim Wschodzie. Miesiąc po rozpoczęciu wojny zasięg tych irańskich źródeł na całym świecie utrzymywał się na poziomie 28–29% powyżej poziomu sprzed wojny.
Sprawne działanie wpływu Iranu bez cyberataków 
Prowadzone przez Iran operacje wywierania wpływu wyglądały na sprawniejsze i skuteczniejsze w pierwszych dniach wojny w porównaniu z jego połączonymi operacjami wywierania cyberwpływu w późniejszym okresie konfliktu. W ciągu kilku dni od ataku Hamasu na Izrael prawdopodobna irańska państwowa grupa hakerska, śledzona przez nas pod nazwą Storm-1364, rozpoczęła operację wywierania wpływu z użyciem osoby internetowej o nazwie „Tears of War”, która podszywała się pod izraelskich aktywistów, aby rozpowszechniać wśród izraelskich odbiorców przesłania skierowane przeciwko Netanjahu na wielu platformach mediów społecznościowych i komunikacyjnych. Szybkość, z jaką grupa Storm-1364 rozpoczęła tę kampanię po atakach z 7 października, dowodzi sprawności tej grupy i ilustruje zalety kampanii opartych wyłącznie na wywieraniu wpływu, których realizacja może być szybsza, ponieważ nie wymagają czekania na cyberdziałania prowadzone w ramach operacji wywierania wpływu z wykorzystaniem cybertechnologii.

Etap 2. Zmasowane działania

Od połowy do końca października coraz większa liczba irańskich grup koncentrowała się na Izraelu, a irańskie operacje wywierania wpływu z wykorzystaniem cybertechnologii, które na początku były w dużej mierze reaktywne, sfabrykowane lub i reaktywne, i sfabrykowane, zaczęły obejmować niszczycielskie cyberataki i mieć konkretne cele ataków. Ataki te obejmowały usuwanie danych, ataki z użyciem oprogramowania wymuszającego okup (ransomware) i najwyraźniej dostosowywanie urządzenia Internetu rzeczy (IoT)6. Zaobserwowaliśmy również dowody na zwiększoną koordynację między irańskimi grupami.

W pierwszym tygodniu wojny Centrum analizy zagrożeń Microsoft śledziło dziewięć irańskich grup aktywnie działających przeciw Izraelowi. Do 15 dnia liczba tych grup wzrosła do 14. W niektórych przypadkach zaobserwowaliśmy wiele grup sterowanych przez KSRI lub Ministerstwo Wywiadu i Bezpieczeństwa atakujących tę samą organizację lub bazę wojskową w ramach działań cybernetycznych lub wywierania wpływu, co wskazuje na koordynację lub wspólne cele wyznaczone w Teheranie albo na jedno i drugie.

Wzrosła też liczba operacji wywierania wpływu z wykorzystaniem cybertechnologii. W pierwszym tygodniu wojny zaobserwowaliśmy cztery pospiesznie wdrożone operacje wywierania wpływu z wykorzystaniem cybertechnologii skierowane przeciw Izraelowi. Do końca października liczba tego typu operacji wzrosła ponad dwukrotnie, co oznacza znaczne ich przyspieszenie — to zdecydowanie najszybsze tempo z dotychczas obserwowanych (zobacz: Ilustracja 4).

W dniu 18 października grupa Shahid Kaveh należąca do KSRI, którą firma Microsoft śledzi pod nazwą Storm-0784, użyła dostosowanego oprogramowania wymuszającego okup (ransomware) do przeprowadzenia cyberataków na kamery wideonadzoru w Izraelu. Następnie grupa ta wykorzystała jedną ze swoich cyberosób, „Soldiers of Solomon”, do ogłoszenia fałszywego twierdzenia, że zapłaciła okup za dostęp do kamer wideonadzoru i danych w bazie sił powietrznych Nevatim. Z analizy ujawnionego przez Soldiers of Solomon materiału z kamery wideonadzoru wynika, że ​​pochodzi on z miasta na północ od Tel Awiwu, przy ulicy Nevatim, a nie z bazy lotniczej o tej samej nazwie. Co więcej, analiza lokalizacji ofiar wykazała, że ​​żadna z nich nie znajdowała się w pobliżu bazy wojskowej (zobacz: Ilustracja 5). Mimo że irańskie grupy rozpoczęły niszczycielskie ataki, ich działania pozostawały w dużej mierze oportunistyczne i w dalszym ciągu obejmowały wywieranie wpływu w celu wyolbrzymiania precyzji lub skutków ataków.

W dniu 21 października kolejna cyberosoba sterowana przez należącą do KSRI grupę Cotton Sandstorm (powszechnie znaną jako Emennet Pasargad) udostępniła film przedstawiający napastników zmieniających treści na cyfrowych wyświetlaczach w synagogach na przekazy, w których działania Izraela w Gazie określano jako „ludobójstwo”. 7 To przykład metody osadzania przekazu informacyjnego bezpośrednio w cyberatakach na stosunkowo łatwy cel.

Na tym etapie w irańskich działaniach wywierania wpływu wykorzystywano bardziej rozbudowane i wyrafinowane metody nieautentycznego nagłaśniania. W ciągu pierwszych dwóch tygodni wojny wykryliśmy minimalne użycie metod nieautentycznego nagłaśniania, co ponownie sugeruje, że prowadzone operacje miały charakter reaktywny. W trzecim tygodniu wojny do gry wkroczyła grupa Cotton Sandstorm, najbardziej aktywne irańskie źródło wywierania wpływu, rozpoczynając 21 października trzy operacje wywierania wpływu z wykorzystaniem cybertechnologii. Jak często obserwujemy w przypadku tej grupy, wykorzystała ona sieć marionetek w mediach społecznościowych, aby nagłaśniać te operacje, choć wiele z nich najwyraźniej pospiesznie przydzielono z innych zadań bez maskowania ich jako prawdziwych osób mających być Izraelczykami. Grupa Cotton Sandstorm wielokrotnie wysyłała zbiorczo wiadomości SMS lub wiadomości e-mail, aby nagłaśniać swoje operacje lub chwalić się nimi, wykorzystując przy tym konta z naruszonymi zabezpieczeniami w celu zwiększenia wrażenia autentyczności8.

Etap 3. Rozszerzanie zakresu geograficznego

Od końca listopada irańskie grupy rozszerzyły wywieranie wpływu z wykorzystaniem cybertechnologii poza Izrael, obejmując nim kraje, które według Iranu pomagają Izraelowi, najprawdopodobniej w celu osłabienia międzynarodowego wsparcia politycznego, wojskowego lub gospodarczego dla izraelskich operacji wojskowych. To rozszerzenie celów działań zbiegło się z początkiem ataków na międzynarodową żeglugę połączoną z Izraelem prowadzonych przez Huti, wspieraną przez Iran szyicką grupę bojowników w Jemenie (zobacz: Ilustracja 8)9.

  • W dniu 20 listopada sterowana przez Iran cyberosoba „Homeland Justice” ostrzegła przed zbliżającymi się poważnymi atakami na Albanię, a następnie nagłaśniała niszczycielskie cyberataki przeprowadzone przez grupy Ministerstwa Wywiadu i Bezpieczeństwa pod koniec grudnia przeciwko parlamentowi, państwowym liniom lotniczym i dostawcom usług telekomunikacyjnych Albanii.10
  • W dniu 21 listopada sterowana przez grupę Cotton Sandstorm cyberosoba „Al-Toufan” wzięła na cel organizacje finansowe i rząd Bahrajnu w odwecie za znormalizowanie stosunków z Izraelem.
  • Do 22 listopada grupy powiązane z KSRI zaczęły atakować wyprodukowane w Izraelu sterowniki programowalne (PLC) w Stanach Zjednoczonych i być może w Irlandii — w dniu 25 listopada jeden z nich wyłączono w urzędzie ds. gospodarki wodnej w Pensylwanii (Ilustracja 6)11. Sterowniki PLC to komputery przemysłowe przystosowane do sterowania procesami produkcyjnymi, takimi jak linie montażowe, maszyny i urządzenia zrobotyzowane.
  • Na początku grudnia grupa „Cyber ​​Toufan Al-Aksa” — osoba, która według Centrum analizy zagrożeń Microsoft jest sponsorowana przez Iran — twierdziła, że ujawniła dane pochodzące z dwóch amerykańskich firm w odwecie za finansowe wspieranie Izraela i dostarczanie sprzętu dla jego wojska12. Wcześniej grupa ta twierdziła, że 16 listopada przeprowadziła przeciwko tym firmom ataki obejmujące usuwanie danych13. Ze względu na brak solidnego materiału dowodowego łączącego tę grupę z Iranem możliwe jest, że osobą tą steruje irański partner poza granicami kraju przy zaangażowaniu Iranu.

Na tym najnowszym etapie irańskie operacje wywierania wpływu z wykorzystaniem cybertechnologii w dalszym ciągu stawały się coraz bardziej wyrafinowane. Lepiej maskowano używane marionetki, zmieniając nazwy niektórych z nich oraz ich zdjęcia profilowe, aby bardziej przypominały autentycznych Izraelczyków. Jednocześnie wykorzystywano nowe techniki, których nie obserwowaliśmy dotąd u irańskich źródeł zagrożeń, w tym używanie sztucznej inteligencji jako elementu kluczowego dla przekazu informacyjnego. W naszej ocenie w grudniu grupa Cotton Sandstorm zakłóciła usługi telewizji strumieniowej w Zjednoczonych Emiratach Arabskich i w innych miejscach pod przykrywką osoby o nazwie „For Humanity”. Grupa For Humanity opublikowała na komunikatorze Telegram filmy, w których pokazano, jak ta grupa włamuje się do trzech usług transmisji strumieniowej online i zakłóca działanie kilku kanałów informacyjnych, publikując fałszywą transmisję informacyjną z prowadzącym najwyraźniej wygenerowanym przez sztuczną inteligencję, w której przedstawiono rzekome zdjęcia Palestyńczyków rannych i zabitych w wyniku izraelskich operacji wojskowych (Ilustracja 7)14. Serwisy informacyjne i widzowie w Zjednoczonych Emiratach Arabskich, Kanadzie i Zjednoczonym Królestwie zgłaszali zakłócenia w przesyłaniu strumieniowym programów telewizyjnych, w tym BBC, zgodne z twierdzeniami grupy For Humanity15.

Operacje Iranu miały ​​cztery cele ogólne: destabilizację, odwet, zastraszenie i osłabienie międzynarodowego wsparcia dla Izraela. Wszystkie te cztery cele mają też służyć podważeniu środowisk informacyjnych Izraela i jego zwolenników, aby wywołać ogólne zamieszanie i brak zaufania.

Destabilizacja przez polaryzację 
Wymierzone w Izrael ataki Iranu podczas wojny między Izraelem a Hamasem w coraz większym stopniu skupiały się na podsycaniu konfliktu wewnętrznego dotyczącego podejścia rządu izraelskiego do wojny. Wiele irańskich operacji wywierania wpływu obejmowało udawanie izraelskich grup aktywistów w celu rozpowszechniania podburzających przekazów informacyjnych z krytyką podejścia rządu do osób, które 7 października porwano i wzięto jako zakładników17. Głównym celem tych przekazów był Netanjahu, a wezwania do jego usunięcia były powtarzającym się motywem irańskich operacji wywierania wpływu18.
Odwet 
Znaczna część przekazów informacyjnych Iranu i jego wybór celów oddaje odwetowy charakter jego operacji. Na przykład znacząco nazwana osoba Cyber ​​Avengers opublikowała film, w którym izraelski Minister Obrony stwierdza, że Izrael odetnie prąd, żywność, wodę i paliwo dla miasta Gaza (zobacz: Ilustracja 9), po czym nastąpiła seria rzekomych ataków grupy Cyber ​​Avengers wymierzonych w izraelską infrastrukturę energetyczną, wodną i paliwową19. Poprzednie twierdzenia tej grupy o atakach na krajowe systemy gospodarki wodnej Izraela sprzed kilku dni wcześniej zawierały przekaz „Oko za oko”, a powiązana z KSRI agencja informacyjna Tasnim News Agency podała, że według tej ​​grupy ​​ataki na systemy gospodarki wodnej były odwetem za oblężenie Gazy20. Grupa powiązana z Ministerstwem Wywiadu i Bezpieczeństwa, którą śledzimy pod nazwą Pink Sandstorm (czyli Agrius), przeprowadziła pod koniec listopada atak polegający na zhakowaniu i upublicznieniu informacji (tzw. „hack and leak”) przeciwko izraelskiemu szpitalowi, który wyglądał na odwet za wielodniowe oblężenie szpitala Al-Shifa w Gazie przez Izrael dwa tygodnie wcześniej21.
Zastraszanie 
Operacje Iranu służą też podważaniu bezpieczeństwa Izraela oraz zastraszaniu obywateli Izraela i jego zwolenników za pomocą przekazów z groźbami i przez przekonywanie odbiorców, że infrastruktura ich państwa i systemy administracji publicznej nie są bezpieczne. Niektóre działania zastraszające Iranu najwyraźniej mają na celu osłabienie chęci Izraela do kontynuowania wojny, jak na przykład przekazy informacyjne mające przekonać żołnierzy Sił Obronnych Izraela, że powinni „opuścić wojnę i wrócić do domu” (Ilustracja 10)22. Jedna z irańskich cyberosób, mogąca udawać Hamas, twierdziła, że wysyła wiadomości SMS z groźbami do rodzin izraelskich żołnierzy, dodając stwierdzenie: „Żołnierze IDF [Sił Obronnych Izraela] powinni wiedzieć, że dopóki nasze rodziny nie będą bezpieczne, ich rodziny też nie będą”23. Marionetki nagłaśniające przekazy tej osoby Hamasu rozpowszechniały w serwisie X przekazy informacyjne, zgodnie z którymi Siły Obronne Izraela „w żaden sposób nie są w stanie chronić swoich własnych żołnierzy” i które kierowały odbiorców do serii wiadomości rzekomo wysyłanych przez żołnierzy Sił Obronnych Izraela z prośbami do Hamasu o oszczędzenie ich rodzin24.
Osłabianie międzynarodowego wsparcia dla Izraela 
Operacje wywierania wpływu Iranu skierowane do odbiorców międzynarodowych często obejmowały przekazy informacyjne mające osłabić międzynarodowe wsparcie dla Izraela przez podkreślanie szkód wyrządzonych przez izraelskie ataki na Gazę. Pewna osoba udająca grupę propalestyńską nazwała działania Izraela w Gazie „ludobójstwem”25. W grudniu grupa Cotton Sandstorm przeprowadziła wiele operacji wywierania wpływu — pod nazwami „For Palestinians” i „For Humanity” — w ramach których wzywano społeczność międzynarodową do potępienia ataków Izraela na Gazę26.

Aby realizować cele w przestrzeni informacyjnej, w ciągu ostatnich dziewięciu miesięcy Iran w dużym stopniu polegał na czterech taktykach, technikach i procedurach wywierania wpływu. Obejmują one podszywanie się pod osoby i podmioty oraz rozszerzone możliwości aktywizowania odbiorców docelowych w połączeniu z coraz częstszym wykorzystywaniem kampanii z użyciem wiadomości SMS oraz wykorzystywaniem mediów powiązanych z KSRI do nagłaśniania operacji wywierania wpływu.

Podszywanie się pod izraelskie grupy aktywistów i irańskich partnerów 
Irańskie grupy rozwijają od dawna używaną technikę podszywania się, tworząc bardziej skonkretyzowane i przekonujące osoby, które udają zarówno sojuszników, jak i wrogów Iranu. W przypadku wielu wcześniejszych operacji i osób Iranu udawano aktywistów wspierających sprawę palestyńską27. W niedawnych operacjach prowadzonych przez osobę, którą według nas steruje grupa Cotton Sandstorm, posunięto się dalej, wykorzystując nazwę i logo wojskowego skrzydła Hamasu, Brygad Al-Kassam, do rozpowszechniania fałszywych informacji na temat zakładników przetrzymywanych w Gazie i wysyłania Izraelczykom wiadomości z groźbami. Na kolejnym kanale komunikatora Telegram, na którym grożono pracownikom Sił Obronnych Izraela i ujawniano ich dane osobowe, a który według nas prowadziła grupa Ministerstwa Wywiadu i Bezpieczeństwa, również wykorzystywano logo Brygad Al-Kassam. Nie jest jasne, czy Iran działa za zgodą Hamasu.

Ponadto Iran coraz bardziej przekonująco podszywa się pod fikcyjne izraelskie organizacje aktywistów z prawej i lewej strony izraelskiego spektrum politycznego. Za pośrednictwem tych fałszywych aktywistów Iran próbuje infiltrować społeczności izraelskie, aby zdobyć ich zaufanie i siać niezgodę.

Aktywizowanie Izraelczyków do działania 
W kwietniu i listopadzie Iran wielokrotnie pomyślnie werbował nieświadomych Izraelczyków do angażowania się w działania tradycyjne promujące jego fałszywe operacje. W ramach jednej z niedawnych operacji, „Tears of War”, irańskim agentom udało się podobno przekonać Izraelczyków do wywieszenia w izraelskich dzielnicach znakowanych sztandarów „Tears of War” z wyglądającym na wygenerowany przez sztuczną inteligencję wizerunkiem Netanjahu i wezwaniami do usunięcia go ze stanowiska (zobacz: Ilustracja 11)28.
Nagłaśnianie za pomocą wiadomości tekstowych i e-mail z większą częstotliwością i wyrafinowaniem 
Mimo że irańskie operacje wywierania wpływu nadal w dużym stopniu opierają się na skoordynowanym nagłaśnianiu za pomocą nieautentycznych zasobów w mediach społecznościowych w celu docierania do odbiorców docelowych, Iran w coraz większym stopniu wykorzystuje masowe wysyłanie wiadomości SMS i wiadomości e-mail, aby podbić skutki psychologiczne swoich operacji wywierania wpływu z wykorzystaniem cybertechnologii. Nagłaśnianie w mediach społecznościowych za pomocą marionetek nie daje takiego efektu, jak wiadomość w osobistej skrzynce odbiorczej, nie mówiąc już o wiadomości na telefonie. Grupa Cotton Sandstorm rozwinęła działania na bazie wcześniejszych pomyślnych przypadków wykorzystania tej techniki na początku 2022 r.29, masowo wysyłając wiadomości SMS i wiadomości e-mail lub jedne i drugie w ramach co najmniej sześciu operacji od sierpnia. Intensywniejsze wykorzystanie tej techniki sugeruje, że grupa ta ją udoskonaliła i uważa ją za skuteczną. Operacja „Cyber ​​Flood” przeprowadzona przez grupę Cotton Sandstorm pod koniec października obejmowała do trzech zestawów masowych wiadomości SMS i e-mail kierowanych do Izraelczyków, w których nagłaśniano rzekome cyberataki lub rozpowszechniano fałszywe ostrzeżenia przed atakami Hamasu na izraelski obiekt nuklearny w pobliżu Dimony30. W co najmniej jednym przypadku grupa ta wykorzystała konto z naruszonymi zabezpieczeniami, aby uwiarygodnić swoje wiadomości e-mail.
Wykorzystywanie mediów państwowych 
Iran wykorzystuje media jawnie i niejawnie powiązane z KSRI do nagłaśniania rzekomych operacji cybernetycznych, a czasami do wyolbrzymiania ich skutków. We wrześniu, po tym jak grupa Cyber Avengers przyznała się do cyberataków na izraelską sieć kolejową, media powiązane z KSRI niemal natychmiast nagłośniły i wyolbrzymiły te twierdzenia. Powiązana z KSRI agencja informacyjna Tasnim News Agency niepoprawnie przytoczyła izraelskie doniesienia prasowe dotyczące innego wydarzenia jako dowód na to, że ten cyberatak miał miejsce31. Inne irańskie i powiązane z Iranem media dodatkowo nagłośniły te przekazy informacyjne w sposób jeszcze bardziej maskujący brak dowodów potwierdzających twierdzenia o cyberataku32.
Coraz częstsze wykorzystywanie sztucznej inteligencji w operacjach wywierania wpływu 
Centrum analizy zagrożeń Microsoft zaobserwowało, że od wybuchu wojny między Izraelem a Hamasem irańskie źródła zagrożeń korzystają ze zdjęć i filmów wygenerowanych przez sztuczną inteligencję. Grupy Cotton Sandstorm i Storm-1364, a także serwisy informacyjne powiązane z Hezbollahem i Hamasem wykorzystują sztuczną inteligencję do skuteczniejszego zastraszania oraz do tworzenia obrazów oczerniających Netanjahu i izraelskie przywództwo.
1. Rozwijająca się współpraca 
Kilka tygodni po rozpoczęciu wojny między Izraelem a Hamasem zaczęły pojawiać się przykłady współpracy między grupami powiązanymi z Iranem, zwiększającej ich potencjalne osiągnięcia. Współpraca obniża tzw. barierę wejścia, umożliwiając poszczególnym grupom wnoszenie do współpracy ich istniejących umiejętności i eliminuje potrzebę rozwijania przez pojedynczą grupę pełnego spektrum metod lub narzędzi.

W naszej ocenie dwie grupy powiązane z Ministerstwem Wywiadu i Bezpieczeństwa, Storm-0861 i Storm-0842, współpracowały przy niszczycielskim cyberataku w Izraelu pod koniec października, a potem ponownie przy ataku w Albanii pod koniec grudnia. W obu przypadkach grupa Storm-0861 prawdopodobnie zapewniła dostęp do sieci, a następnie grupa Storm-0842 uruchomiła złośliwe oprogramowanie typu wiper. Podobnie w lipcu 2022 roku grupa Storm-0842 uruchomiła złośliwe oprogramowanie typu wiper w albańskich jednostkach administracji publicznej po uzyskaniu dostępu przez grupę Storm-0861.

W październiku również inna grupa powiązana z Ministerstwem Wywiadu i Bezpieczeństwa, Storm-1084, mogła mieć dostęp do systemu organizacji w Izraelu, w którym grupa Storm-0842 wdrożyła oprogramowanie typu wiper „BiBi”, nazwanego tak, ponieważ zmienia ono nazwy wymazywanych plików na ciąg „BiBi”. Nie jest jasne, jaką rolę odegrała grupa Storm-1084 w tym niszczycielskim ataku i czy w ogóle brała w nim udział. Na początku 2023 roku grupa Storm-1084 przeprowadziła niszczycielskie cyberataki na inną izraelską organizację przy wsparciu innej grupy powiązanej z Ministerstwem Wywiadu i Bezpieczeństwa — Mango Sandstorm (czyli MuddyWater)33.

Od wybuchu wojny Centrum analizy zagrożeń Microsoft wykryło też współpracę między powiązaną z Ministerstwem Wywiadu i Bezpieczeństwa grupą Pink Sandstorm i jednostkami cybernetycznymi Hezbollahu. Firma Microsoft zaobserwowała pokrywanie się ich infrastruktur i wspólne narzędzia. Współpraca Iranu z Hezbollahem w zakresie operacji cybernetycznych, choć nie bezprecedensowa, jest niepokojącym sygnałem, ponieważ wojna może jeszcze bardziej operacyjnie zbliżyć te reprezentujące różne narodowości grupy34. W obliczu tego, że wszystkie cyberataki Iranu związane z tą wojną łączono z operacjami wywierania wpływu, istnieje dodatkowe prawdopodobieństwo, że Iran usprawni swoje operacje wywierania wpływu i ich zasięg, wykorzystując osoby natywnie posługujące się językiem arabskim w celu zwiększenia wiarygodności wykorzystywanych nieautentycznych osób.

2. Wysoki poziom koncentracji na Izraelu 
Irańskie źródła zagrożeń zintensyfikowały koncentrację działań na Izraelu. Iran od dawna koncentruje się na Izraelu, który obok Stanów Zjednoczonych jest w Teheranie uważany za głównego przeciwnika. W związku z tym, jak wynika z danych Centrum analizy zagrożeń Microsoft, w ciągu ostatnich kilku lat niemal zawsze najczęstszymi celami Iranu były izraelskie i amerykańskie przedsiębiorstwa. Krótko przed wojną irańskie źródła zagrożeń koncentrowały się najbardziej na Izraelu, a następnie na Zjednoczonych Emiratach Arabskich i Stanach Zjednoczonych. Po wybuchu wojny ta koncentracja na Izraelu wzrosła. Czterdzieści trzy procent cyberdziałań irańskich grup państwowych śledzonych przez firmę Microsoft było wymierzonych w Izrael — więcej niż w przypadku kolejnych 14 atakowanych krajów łącznie.

Oczekujemy, że zagrożenie stwarzane przez irańskie operacje cybernetyczne i operacje wywierania wpływu będzie rosło w miarę trwania konfliktu między Izraelem a Hamasem, szczególnie w obliczu zwiększającego się ryzyka eskalacji na dodatkowych frontach. Mimo że na początku wojny irańskie grupy pośpiesznie ruszały do działań lub po prostu fabrykowały operacje, w przypadku ostatnich operacji zwolniły tempo, zapewniając sobie więcej czasu na uzyskanie pożądanego dostępu lub opracowanie bardziej wyrafinowanych operacji wywierania wpływu. Etapy ​​wojny przedstawione w tym raporcie jasno ilustrują stopniowy postęp irańskich operacji cybernetycznych i operacji wywierania wpływu, w wyniku którego stały się bardziej ukierunkowane, oparte na współpracy i niszczycielskie.

Ponadto ataki irańskich źródeł zagrożeń są coraz śmielsze, co szczególnie dobrze zobrazowały cyberuderzenie na szpital i testowanie czerwonych linii Waszyngtonu — najwyraźniej bez przejmowania się konsekwencjami. Ataki KSRI na amerykańskie systemy gospodarki wodnej, choć oportunistyczne, najwyraźniej były przemyślnym posunięciem mającym przetestować reakcję Waszyngtonu przy jednoczesnym usprawiedliwianiu atakowania sprzętu wyprodukowanego w Izraelu.

Przed wyborami w Stanach Zjednoczonych w listopadzie 2024 roku wzmożona współpraca między irańskimi i powiązanymi z Iranem grupami stanowi większe wyzwanie dla osób i podmiotów odpowiedzialnych za obronę wyborów. Obrońcy nie mogą już poprzestawać na śledzeniu kilku grup. Zamiast tego rosnąca liczba agentów zajmujących się uzyskiwaniem dostępu, grup działających w celu wywierania wpływu i źródeł cyberzagrożeń powoduje, że środowisko zagrożeń staje się bardziej złożone i powiązane wewnętrznie.

Więcej szczegółowych informacji od ekspertów na temat irańskich operacji wywierania wpływu

Dowiedz się więcej od ekspertów na temat irańskich operacji wywierania wpływu z wykorzystaniem cybertechnologii ze szczególnym uwzględnieniem działań Iranu związanych z wyborami prezydenckimi w Stanach Zjednoczonych w 2020 roku i wojną między Izraelem a Hamasem, z podkastu Centrum analizy zagrożeń Microsoft (Microsoft Threat Intelligence). W dyskusji omówiono taktyki stosowane przez irańskie źródła zagrożeń, takie jak podszywanie się, rekrutowanie lokalnych mieszkańców oraz wykorzystywanie wiadomości e-mail i SMS do nagłaśniania przekazów informacyjnych. Przedstawiono też kontekst dla zawiłości irańskich cyberdziałań, wspólnych irańskich operacji, konsumpcji propagandy, taktyk kreatywnych i wyzwań związanych z ustalaniem autorów operacji wywierania wpływu.

  1. [1]
    https://go.microsoft.com/fwlink/?linkid=2263156
  2. [2]
    t[.]me/Tasnimnews/270431;
    https://go.microsoft.com/fwlink/?linkid=2263324
  3. [3]
    t[.]me/CyberAveng3rs/95;t[.]me/CyberAveng3rs/96;t[.]me/CyberAveng3rs/94
  4. [4]
    https://go.microsoft.com/fwlink/?linkid=2263158; t[.]me/CyberAveng3rs/108
  5. [5]
    https://go.microsoft.com/fwlink/?linkid=2263325
  6. [6]
    t.me/Jewish Peace/4
  7. [7]
    t[.]me/Jewish Peace/4; t[.]me/Jewish_Peace/11
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2263159
  9. [9]
    https://go.microsoft.com/fwlink/?linkid=2263326
  10. [10]
    https://go.microsoft.com/fwlink/?linkid=2263327
  11. [11]
    https://go.microsoft.com/fwlink/?linkid=2262793
  12. [12]
    t[.]me/CvberToufan/49; t[.]me/CvberToufan/57
  13. [13]
    t[.]me/CvberToufan/13;
  14. [14]
    khaleejtimes.com/uae/uae-cyberattack-disrupts-tv-services-rattles-some-residents-with-graphic-content-from-gaza; theemiratestimes.com/ 
    uae-a-cyberattack-imitates/;    tiktok.com/@elias.j.2006/video/7311031767031500037;youtube.com/watch?v=otqvuDwwviM 
  15. [15]
    web.archive.org/web/20231214162547/khaleejtimes.com/uae/uae-cyberattack-disrupts-tv-services-rattles-some-residents-with-graphiccontent- 
    from-gaza;    youtube.com/watch?v=otqvuDwwviM;tiktok.com/@elias.j.2006/video/7311031767031500037 
  16. [16]
    x.com/khamenei_ir/status/1721469381253726615?s=20
  17. [17]
    twitter.com/heartbreak91671/status/1720412482815070654;t[.]me/demaothamelkhama/1363
  18. [18]
    t[.]me/Jewish_Peace/5;t[.]me/bbmovements/1919
  19. [19]
    t[.]me/CyberAveng3rs/181
  20. [20]
    t[.]me/CyberAveng3rs/166
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2263400
  22. [22]
    twitter.com/cuakv2/status/1727659660990365927
  23. [23]
    t[.]me/kataeb_Al_Qassam/16
  24. [24]
    twitter.com/dennis09733448/status/1727662612874211332
  25. [25]
    t[.]me/cyber_flood/39
  26. [26]
    t[.]me/For_Humanity2023/11
  27. [27]
    microsoft.com/en-us/security/business/security-insider/wp-content/uploads/2023/05/Iran-turning-to-cyber-enabled-influence-operationsfor-greater-effect-05022023.pdf, pg 5.
  28. [28]
    https://go.microsoft.com/fwlink/?linkid=2263328;t[.]me/demaothamelkhama/1082
  29. [29]
    sport5.co.il/articles.aspx?FolderlD=10796&docID=422369;ashdodi.com/hackers-are-threatening-an-ashdod-resident-not-to-fly-to-theemirates/
  30. [30]
    ynet.co.il/digital/technews/article/hvjiwssfa
  31. [31]
    tasnimnews[.]com/fa/news/1402/06/25/2956908
  32. [32]
    mehrnews[.]com/x333VJ; english.almayadeen[.]net/news/technology/israels-railroad-network-targeted-by-cyberattack:-israeli-me
  33. [33]
    https://go.microsoft.com/fwlink/?linkid=2263329
  34. [34]
    https://go.microsoft.com/fwlink/?linkid=2263160
Cyberoperacje w zakresie wywierania wpływu informacyjnego Grupa państwowa Raporty dotyczące grup państwowych Źródła zagrożeń

Powiązane artykuły

Rosyjskie źródła zagrożeń okopują się i przygotowują do wykorzystania zmęczenia wojną 

Rosyjskie operacje cybernetyczne i wywierania wpływu nie ustają w obliczu kontynuacji wojny na Ukrainie. Centrum analizy zagrożeń Microsoft udostępnia szczegółowe informacje na temat najnowszych cyberzagrożeń i działań wywierania wpływu w ciągu ostatnich sześciu miesięcy.
Dowiedz się więcej

Iran zwraca się w stronę cyberataków, aby przeprowadzać działania w zakresie wywierania wpływu informacyjnego o większym zasięgu

Analiza zagrożeń Microsoft ujawniła wzmożone działania w zakresie wywierania wpływu informacyjnego oparte na cyberatakach ze strony Iranu. Uzyskaj szczegółowe informacje o zagrożeniach, w tym o nowych technikach i potencjalnych źródłach przyszłych zagrożeń.
Dowiedz się więcej

Operacje cybernetyczne i działania w zakresie wywierania wpływu informacyjnego na cyfrowym polu bitwy wojny w Ukrainie

Centrum analizy zagrożeń Microsoft analizuje rok operacji cybernetycznych oraz działań w zakresie wywierania wpływu informacyjnego w Ukrainie, przedstawia nowe trendy w zakresie cyberzagrożeń i ujawnia, czego można spodziewać się w obliczu wkroczenia w drugi rok wojny.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft