簡介
2023 年 10 月 7 日以色列-哈馬斯戰爭爆發,伊朗隨即增加了對哈馬斯的支援,目前成熟的技術針對駭客攻擊,結合社交媒體放大的影響力操作,我們稱為網路支援的影響力作戰。1伊朗最初採取被動和投機取巧的行動。到 10 月下旬,幾乎所有伊朗的影響力和主要網路行為者都日益增加針對性、協調性和破壞性的方式瞄準以色列,發動了一場看似永無止際的「全員參與」行動。與伊朗過去的一些網路攻擊不同,在這場戰爭中,伊朗對以色列的所有破壞性網路攻擊都得到了在線影響力作業的補充,無論是真實的還是捏造的。
立刻註冊 按需型網路研討會,了解 2024 年 Microsoft 數位防禦報告深入解析。
伊朗激增網路影響力作戰以支援哈馬斯
定義的按鍵條款
- 網路啟用的影響力作業
以座標和操縱的方式將攻擊性計算機網路作業與傳訊和放大相結合,以改變目標受眾的看法、行為或決定,促進一個群體或一個國家的利益和目標。 - 網路角色
一個面向公眾的虛構群組或個人,負責網路作業,同時為負責的潛在群組或國家提供合理的推卸理由。 - 傀儡帳戶
以欺騙為目的使用虛構或被盜身份的虛假線上角色。
隨著戰爭的進行,社交媒體「傀儡帳戶」得到部署,影響力作業變得愈發複雜和不真實。在整個戰爭期間,這些影響力作業一直試圖恐嚇以色列人,同時批評以色列政府對人質的處理和軍事行動,以分化並最終破壞以色列的穩定。政府對人質的處理和軍事行動使以色列兩極分化並最終破壞穩定。
最終,伊朗將其網路攻擊和影響力作業轉向以色列的政治盟友和經濟夥伴,以破壞對以色列軍事行動的支援。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。伊朗和與伊朗有關聯的執行者日漸肆無忌憚,加上他們之間迅速發展的合作,預示著在 11 月美國大選之前,威脅越來越大。
自 10 月 7 日哈馬斯恐怖襲擊以來,伊朗的網路和影響力作業經歷了多個階段。他們作業的一個元素始終保持不變:機會主義的網路目標與影響力作業相結合,這些行動往往會誤導影響的精確度或範圍。
本報告重點關注 10 月 7 日至 2023 年底期間伊朗的影響力和網路影響力作業,同時涵蓋可追溯到 2023 年春季的趨勢和作業。
階段 1:反應性和誤導性
伊朗群組在以色列 - 哈馬斯戰爭的初始階段是被動的。伊朗官方媒體發佈了據稱網路攻擊的誤導性細節,伊朗群組重複使用了以往行動中的過時材料,重新利用了他們在戰前的存取權,並誇大了據稱網路攻擊的整體範圍和影響。
戰爭已經持續了近四個月,Microsoft 仍然沒有從我們的資料中看到明確的證據表明,伊朗群組已經將其網路或影響力作業與哈馬斯在 10 月 7 日襲擊以色列的計劃加以協調。相反,我們的資料和調查結果的大多數表明,伊朗網路執行者是被動的,在哈馬斯襲擊后,其迅速激增網路和影響力作業以對抗以色列。
重複使用舊資料:
在哈馬斯攻擊以色列之後,網路復仇者聯盟聲稱對以色列進行了一系列網路攻擊,我們的調查顯示,最早攻擊的資訊並非事實。10 月 8 日,他們聲稱洩露了以色列發電廠的文件,儘管這些文件已於 2022 年 6 月由另一個伊斯蘭革命衛隊營運的網路角色「Moses Staff」發佈。 5
在哈馬斯攻擊以色列之後,網路復仇者聯盟聲稱對以色列進行了一系列網路攻擊,我們的調查顯示,最早攻擊的資訊並非事實。10 月 8 日,他們聲稱洩露了以色列發電廠的文件,儘管這些文件已於 2022 年 6 月由另一個伊斯蘭革命衛隊營運的網路角色「Moses Staff」發佈。 5
重新調整存取用途:
我們存取的由伊朗情報和安全部(MOIS)運營的另一個網路角色「馬利克團隊」於 10 月 8 日洩露了以色列一所大學的個人資料,但與那裡迅速爆發的衝突沒有任何明確的連結,這表明其目標是機會主義的,可能是根據戰爭爆發前預先存在的存取所選擇的。馬利克團隊最初沒有在洩露的資料和對哈馬斯行動的支持之間建立聯繫,而是在 X(前身為 Twitter)上使用主題標籤來支援哈馬斯,幾天后才改變了傳訊方式,以與在其他伊朗影響力行動中看到的詆毀以色列總理本雅明·內塔尼亞胡的信息類型對齊。
我們存取的由伊朗情報和安全部(MOIS)運營的另一個網路角色「馬利克團隊」於 10 月 8 日洩露了以色列一所大學的個人資料,但與那裡迅速爆發的衝突沒有任何明確的連結,這表明其目標是機會主義的,可能是根據戰爭爆發前預先存在的存取所選擇的。馬利克團隊最初沒有在洩露的資料和對哈馬斯行動的支持之間建立聯繫,而是在 X(前身為 Twitter)上使用主題標籤來支援哈馬斯,幾天后才改變了傳訊方式,以與在其他伊朗影響力行動中看到的詆毀以色列總理本雅明·內塔尼亞胡的信息類型對齊。
伊朗的影響力作業在戰爭初期最為有效
以色列-哈馬斯戰爭爆發后,伊朗國家附屬媒體的觸達人數激增。在衝突的第一周,我們觀察到 Microsoft AI for Good 實驗室的伊朗宣傳索引增加了 42%,該索引監測伊朗國家和國家附屬新聞媒體的新聞使用量(見圖 1)。該索引衡量訪問這些網站的流量佔網際網路整體流量的比例。這種激增在與美國關係密切的英語國家/地區尤為明顯(圖 2),凸顯了伊朗通過對中東衝突的報告觸達西方受眾的能力。戰爭開始一個月後,這些伊朗消息來源的觸達面仍比全域戰前水準高出 28-29%。
以色列-哈馬斯戰爭爆發后,伊朗國家附屬媒體的觸達人數激增。在衝突的第一周,我們觀察到 Microsoft AI for Good 實驗室的伊朗宣傳索引增加了 42%,該索引監測伊朗國家和國家附屬新聞媒體的新聞使用量(見圖 1)。該索引衡量訪問這些網站的流量佔網際網路整體流量的比例。這種激增在與美國關係密切的英語國家/地區尤為明顯(圖 2),凸顯了伊朗通過對中東衝突的報告觸達西方受眾的能力。戰爭開始一個月後,這些伊朗消息來源的觸達面仍比全域戰前水準高出 28-29%。
伊朗在沒有網路攻擊的情況下發揮影響力,展示出敏捷性
與衝突後期的合併網路影響力行動相比,伊朗的影響力行動在戰爭初期顯得更加敏捷和有效。在哈馬斯襲擊以色列的幾天內,我們追蹤的疑似伊朗國家行為者 Storm-1364 使用一個名為「戰爭之淚」的在線角色發起了一項影響力作業,該角色冒充以色列活動家,通過多個社交媒體和傳訊平臺向以色列受眾傳播反內塔尼亞胡的資訊。在 10 月 7 日攻擊後,Storm-1364 發起這一活動的速度凸顯了該群組的敏捷性,並指出了僅影響力活動的優勢,這些活動可能形成得更快,因為無需等待網路影響力行動的網路動向。
與衝突後期的合併網路影響力行動相比,伊朗的影響力行動在戰爭初期顯得更加敏捷和有效。在哈馬斯襲擊以色列的幾天內,我們追蹤的疑似伊朗國家行為者 Storm-1364 使用一個名為「戰爭之淚」的在線角色發起了一項影響力作業,該角色冒充以色列活動家,通過多個社交媒體和傳訊平臺向以色列受眾傳播反內塔尼亞胡的資訊。在 10 月 7 日攻擊後,Storm-1364 發起這一活動的速度凸顯了該群組的敏捷性,並指出了僅影響力活動的優勢,這些活動可能形成得更快,因為無需等待網路影響力行動的網路動向。
階段 2:全員動員
從 10 月中旬到下旬,越來越多的伊朗群組將注意力轉移到以色列,伊朗的網路影響力作戰以被動、偽造或兩者兼有為主,轉變為包括破壞性網路攻擊和開發有興趣的攻擊目標。這些攻擊包括資料刪除、勒索軟體,以及顯然調整物聯網 (IoT) 裝置。6我們還看到伊朗各群組之間加強協調的證據。
在戰爭的第一周,Microsoft 威脅情報部門追蹤了 9 個針對以色列為目標的活躍伊朗群組;到第 15 天數字增加到 14 組。在某些情況下,我們觀察到多個伊斯蘭革命衛隊或 MOIS 團體通過網路或影響力活動針對同一組織或軍事基地,這表明存在協調,或在德黑蘭設定的共同目標,或兩者兼而有之。
網路啟用的影響力作業也在激增。在戰爭的第一周,我們觀察到了針對以色列的四次倉促實施的網路影響作業。到 10 月底,此類作業的數量增加了一倍多,標誌著這些作業以迄今為止最快的速度顯著加速(見圖 4)。
10 月 18 日,伊斯蘭革命衛隊的 Shahid Kaveh 群組(Microsoft 將其追蹤為 Storm-0784)使用定製的勒索軟體對以色列的安全性相機進行網路攻擊。然後,它使用其網路角色之一「所羅門士兵」虛假地宣告已經贖回了內瓦蒂姆空軍基地的安全性相機和資料。對所羅門士兵洩露的安全性錄像的檢查顯示,它來自特拉維夫以北的一個小鎮,那裡有一條內瓦蒂姆街,而不是同名的空軍基地。事實上,對受害者位置的分析表明,沒有人在軍事基地附近(見圖 5)。雖然伊朗群組已經開始進行破壞性攻擊,但他們的行動在很大程度上仍然是採投機取巧的態度,並繼續利用影響力活動來誇大攻擊的精確度或效果。
10 月 21 日,IRGC 組織 Cotton Sandstorm (俗稱 Emennet Pasargad) 營運的另一個網路角色分享了一段影片,影片中攻擊者破壞了猶太教堂的數位顯示器,並將以色列在加薩的行動稱為「Genocide」。 7這是一種直接將傳訊內嵌到軟目標的網路攻擊方法。
在這個階段,伊朗的影響力作戰使用了更廣泛且更複雜的非真實放大手法。在戰爭的前兩周,我們檢測到了最低限度的不真確放大的進階形式——再次表明作業是被動的。到戰爭的第三周,伊朗最多產的影響力執行者 Cotton Sandstorm 於 10 月 21 日上場,發起了三項網路影響力作業。正如我們經常從這些群組中看到的那樣,他們在社交媒體使用傀儡帳號來擴大行動,儘管許多行動似乎是匆忙中重複利用,也沒有偽裝成以色列人的真實身分。Cotton Sandstorm 多次大量發送簡訊或電子郵件,以放大或吹噓他們的作戰成果,並利用遭入侵的帳戶來增強真確性。8
階段 3:擴大地理範圍
從 11 月下旬開始,伊朗群組將網路影響力行動擴大到以色列之外,包括伊朗認為正在援助以色列的國家/地區,這些國家/地區很可能會破壞對以色列軍事行動的國際政治、軍事或經濟支援。這個目標範圍的擴大,造成與以色列有關的國際航運遭受攻擊。這是伊朗支持的葉門什葉派激進組織胡希武裝進行的攻擊 (見圖 8)。9
- 11 月 20 日,伊朗營運的網路角色「Homeland」發出警告,阿爾巴尼亞即將遭受重大攻擊,然後在 12 月下旬放大了 MOIS 群組對阿爾巴尼亞議會、國家航空公司和電信供應商的破壞性網路攻擊。 10
- 11 月 21 日,Cotton Sandstorm 營運的網路角色「Al-Toufan」為了與以色列關係正常化,將目標對準了巴林政府和金融機構。
- 到 11 月 22 日,IRGC 附屬群組開始針對美國 (可能還有愛爾蘭) 的以色列製造可程式設計邏輯控制器 (PLC),包括 11 月 25 日離線了賓夕法尼亞州水務局的一個控制器 (圖 6)。11PLC 是適用於控制製造過程的工業計算機,例如裝配線、機器和機器人裝置。
在最新階段,伊朗的網路影響力作戰也繼續變得愈複雜。他們通過重命名一些傀儡帳戶並更改其個人資料照片,以使其看起來更像真實的以色列人而更好地偽裝。與此同時,他們利用了我們從伊朗執行者處所未見的新技術,包括使用人工智慧作為其傳訊的關鍵組成部分。我們評估 Cotton Sandstorm 在 12 月以名為「For Humanity」的角色為幌子,擾亂了阿聯酋和其他地區的串流媒體電視內容服務。「For Humanity」在 Telegram 上發佈了影片,顯示了它們入侵了三個線上串流媒體服務,並透過虛假新聞廣播擾亂了幾個新聞頻道,這個廣播以一個顯然是 AI 生成的主播為特色,聲稱展示了巴勒斯坦人在以色列軍事行動中受傷和死亡的圖像 (圖 7)。14 阿聯酋、加拿大和英國的新聞媒體和觀眾揭發了包括 BBC 在內的串流媒體電視節目已中斷,這與「For Humanity」的說法相符。15
報復
伊朗大部分的傳訊和目標選擇,都強調了報復性質的作戰目的。例如,正式命名的網路復仇者聯盟發佈了一段影片,揭露以色列國防部長表示以色列將切斷加薩的電力、食物、水和燃料 (見圖 9),隨後是一系列聲稱針對以色列電力、水和燃料基礎結構的網路復仇者聯盟攻擊。19他們幾天前聲稱攻擊以色列的國家供水系統,以及「以眼還眼」的訊息。根據伊斯蘭革命衛隊附屬的塔斯尼姆通訊社的報導,該組織表示對供水系統的攻擊是對圍困加薩的報復。20我們追蹤的一個與 MOIS 相關的群組 Pink Sandstorm (又名Agrius),在 11 月下旬對一家以色列醫院進行了駭客攻擊和洩密,這似乎是對以色列兩周前圍困加薩 al-Shifa 醫院長達數天的報復。21
伊朗大部分的傳訊和目標選擇,都強調了報復性質的作戰目的。例如,正式命名的網路復仇者聯盟發佈了一段影片,揭露以色列國防部長表示以色列將切斷加薩的電力、食物、水和燃料 (見圖 9),隨後是一系列聲稱針對以色列電力、水和燃料基礎結構的網路復仇者聯盟攻擊。19他們幾天前聲稱攻擊以色列的國家供水系統,以及「以眼還眼」的訊息。根據伊斯蘭革命衛隊附屬的塔斯尼姆通訊社的報導,該組織表示對供水系統的攻擊是對圍困加薩的報復。20我們追蹤的一個與 MOIS 相關的群組 Pink Sandstorm (又名Agrius),在 11 月下旬對一家以色列醫院進行了駭客攻擊和洩密,這似乎是對以色列兩周前圍困加薩 al-Shifa 醫院長達數天的報復。21
恐嚇
伊朗的行動還透過傳遞威脅性資訊,說服目標受眾相信國家/地區的基礎結構和政府系統不安全,破壞以色列的安全並恐嚇以色列公民與支援者。伊朗的恐嚇有些似乎在於破壞以色列繼續戰爭的意願,例如試圖傳訊說服以色列國防軍士兵「離開戰爭並返回家園」(圖 10)。22一名像是偽裝成哈馬斯的伊朗網路角色聲稱向以色列士兵的家人發送威脅簡訊,並補充說:「IDF (以色列國防軍) 士兵應該意識到,如果我們的家人不安全,那麼他們的家人也不會安全。」23傀儡帳戶放大了哈馬斯的形象,在 X 上散佈了以色列國防軍「沒有任何權力保護自己的士兵」的傳訊,並向觀眾聲稱是以色列國防軍士兵發出的一系列訊息,要求哈馬斯效過他們的家人。24
伊朗的行動還透過傳遞威脅性資訊,說服目標受眾相信國家/地區的基礎結構和政府系統不安全,破壞以色列的安全並恐嚇以色列公民與支援者。伊朗的恐嚇有些似乎在於破壞以色列繼續戰爭的意願,例如試圖傳訊說服以色列國防軍士兵「離開戰爭並返回家園」(圖 10)。22一名像是偽裝成哈馬斯的伊朗網路角色聲稱向以色列士兵的家人發送威脅簡訊,並補充說:「IDF (以色列國防軍) 士兵應該意識到,如果我們的家人不安全,那麼他們的家人也不會安全。」23傀儡帳戶放大了哈馬斯的形象,在 X 上散佈了以色列國防軍「沒有任何權力保護自己的士兵」的傳訊,並向觀眾聲稱是以色列國防軍士兵發出的一系列訊息,要求哈馬斯效過他們的家人。24
為了實現其在資訊空間的目標,伊朗在過去九個月中嚴重依賴四種影響力策略、技術和程式(TTP)。這些措施包括使用模擬和增強能力來啟動目標受眾,同時日漸使用簡訊活動和使用與伊斯蘭革命衛隊有聯繫的媒體來擴大影響力作業。
冒充以色列行動群組和伊朗合作夥伴
伊朗群組透過開發更具體和令人信服的角色並建立長期的模仿技術,這些角色不僅偽裝成伊朗的朋友,也偽裝成伊朗的敵人。伊朗過去的許多行動和角色都聲稱是支持巴勒斯坦的行動主義者。27我們評估的 Cotton Sandstorm 營運角色最近的行動更進一步,利用哈馬斯軍事部門 al-Qassam Brigades 的名義和標誌,散佈有關在加薩被扣押人質的虛假資訊,並向以色列人發送威脅訊息。另一個 Telegram 頻道也使用了 al-Qassam Brigades 標誌。這個頻道以洩露個人資料來威脅以色列國防軍人員,我們評估營運者是 MOIS 群組。目前尚不清楚伊朗是否在哈馬斯的同意下採取行動。
伊朗群組透過開發更具體和令人信服的角色並建立長期的模仿技術,這些角色不僅偽裝成伊朗的朋友,也偽裝成伊朗的敵人。伊朗過去的許多行動和角色都聲稱是支持巴勒斯坦的行動主義者。27我們評估的 Cotton Sandstorm 營運角色最近的行動更進一步,利用哈馬斯軍事部門 al-Qassam Brigades 的名義和標誌,散佈有關在加薩被扣押人質的虛假資訊,並向以色列人發送威脅訊息。另一個 Telegram 頻道也使用了 al-Qassam Brigades 標誌。這個頻道以洩露個人資料來威脅以色列國防軍人員,我們評估營運者是 MOIS 群組。目前尚不清楚伊朗是否在哈馬斯的同意下採取行動。
同樣,在以色列政治光譜的左右兩派中,伊朗所製造的對虛構以色列激進組織的冒充越來越令人信服。通過這些冒牌活動家,伊朗試圖滲透到以色列社區,以獲得他們的信任並挑撥離間。
動員以色列人採取行動
在 4 月和 11 月,伊朗招募不知情的以色列人參與宣傳其虛假行動,在實地活動方面一再取得成功。據報導,在最近的一次名為「戰爭之淚」的行動中,伊朗特工成功地說服以色列人在以色列社區懸掛了「戰爭之淚」的品牌橫幅,上面似乎是納坦雅胡的 AI 生成圖像,並呼籲將他免職 (見圖 11)。28
在 4 月和 11 月,伊朗招募不知情的以色列人參與宣傳其虛假行動,在實地活動方面一再取得成功。據報導,在最近的一次名為「戰爭之淚」的行動中,伊朗特工成功地說服以色列人在以色列社區懸掛了「戰爭之淚」的品牌橫幅,上面似乎是納坦雅胡的 AI 生成圖像,並呼籲將他免職 (見圖 11)。28
透過文字簡訊和電子郵件放大,增加頻率和複雜性
伊朗的影響力行動繼續重度依賴協調一致的虛假社交媒體,持續擴大觸達目標受眾的範圍,同時伊朗愈發地利用大量文字簡訊和電子郵件,來增強網路影響力作戰的心理影響。使用傀儡帳戶在社交媒體上放大影響力,與收件匣中出現的訊息不同,更不用說電話了。從 2022 年開始,Cotton Sandstorm 基於過去使用這種技術的成功基礎,自 8 月以來在至少 6 次行動中大量29傳送了文字簡訊、電子郵件或兩者兼有。他們越來越多地使用這種技術表明群組已經磨練了這種能力,並認為它是有效的。Cotton Sandstorm 在 10 月下旬的「Cyber Flood」行動中,向以色列人發送多達三組大量文字簡訊和電子郵件,放大聲稱網路攻擊,或散布哈馬斯攻擊以色列迪莫納附近核能設施的虛假警告。30至少在一個案例中,他們利用遭入侵的帳戶來增強電子郵件的真確性。
伊朗的影響力行動繼續重度依賴協調一致的虛假社交媒體,持續擴大觸達目標受眾的範圍,同時伊朗愈發地利用大量文字簡訊和電子郵件,來增強網路影響力作戰的心理影響。使用傀儡帳戶在社交媒體上放大影響力,與收件匣中出現的訊息不同,更不用說電話了。從 2022 年開始,Cotton Sandstorm 基於過去使用這種技術的成功基礎,自 8 月以來在至少 6 次行動中大量29傳送了文字簡訊、電子郵件或兩者兼有。他們越來越多地使用這種技術表明群組已經磨練了這種能力,並認為它是有效的。Cotton Sandstorm 在 10 月下旬的「Cyber Flood」行動中,向以色列人發送多達三組大量文字簡訊和電子郵件,放大聲稱網路攻擊,或散布哈馬斯攻擊以色列迪莫納附近核能設施的虛假警告。30至少在一個案例中,他們利用遭入侵的帳戶來增強電子郵件的真確性。
新興 AI 在影響力作戰中的應用
自以色列-哈馬斯戰爭爆發以來,MTAC 觀察到伊朗執行者使用人工智慧生成的圖像和影片。Cotton Sandstorm 和 Storm-1364 以及真主黨和哈馬斯附屬新聞媒體利用 Al 來加強恐嚇,並塑造詆毀納坦雅胡和以色列領導層的圖像。
自以色列-哈馬斯戰爭爆發以來,MTAC 觀察到伊朗執行者使用人工智慧生成的圖像和影片。Cotton Sandstorm 和 Storm-1364 以及真主黨和哈馬斯附屬新聞媒體利用 Al 來加強恐嚇,並塑造詆毀納坦雅胡和以色列領導層的圖像。
1. 蓬勃發展的共同作業
在以色列-哈馬斯戰爭爆發幾周后,我們開始看到與伊朗有關聯的群組之間的合作示例,這增強了執行者所能取得的成就。共同作業降低了輸入門檻,允許每個群組貢獻現有能力,並移除了單一群組開發全方位工具或工藝的需要。
在以色列-哈馬斯戰爭爆發幾周后,我們開始看到與伊朗有關聯的群組之間的合作示例,這增強了執行者所能取得的成就。共同作業降低了輸入門檻,允許每個群組貢獻現有能力,並移除了單一群組開發全方位工具或工藝的需要。
我們評估說,與 MOIS 有連結的一對群組 Storm-0861 和 Storm-0842 於 10 月下旬在以色列和 12 月下旬在阿爾巴尼亞合作進行了破壞性網路攻擊。在這兩種情況下,Storm-0861 都可能在 Storm-0842 執行抹除惡意軟體之前提供了對網路的存取。同樣,在 Storm-0861 獲得存取權後,Storm-0842 於 2022 年 7 月在阿爾巴尼亞政府實體執行了抹除器惡意程式碼。
10 月,另一個與 MOIS 相關的組織 Storm-1084 也可能存取了以色列的一個組織,Storm-0842 在那裡部署了「BiBi」抹除器,這是以惡意程式碼中使用字串「BiBi」重新命名抹除的檔案而命名。目前尚不清楚 Storm-1084 在破壞性攻擊中扮演了什麼角色。Storm-1084 於 2023 年初對另一個以色列團體進行了破壞性網路攻擊,該攻擊由另一個與 MOIS 相關的群組 Mango Sandstorm (又名 MuddyWater)。33
自戰爭爆發以來,Microsoft 威脅情報還偵測到與 MOIS 相關的群組 Pink Sandstorm 和真主黨網路部隊之間的合作。Microsoft 觀察到基礎結構重疊和共用工具。伊朗與真主黨在網路行動上的共同作業雖然不是史無前例,但引起了令人擔憂的發展,這場戰爭可能會使得這些跨國組織在行動上更加緊密地聯繫在一起。34由於伊朗在這場戰爭中的網路攻擊都結合了影響力行動,因此伊朗更有可能透過利用以阿拉伯文為母語的人來增強其不實角色的真確性,以改善影響力作戰及其影響力。
2. 高度關注以色列
伊朗網路執行者對以色列的關注愈演愈烈。伊朗長期以來一直關注以色列,德黑蘭將其視為與美國並駕齊驅的主要敵人。因此,根據 Microsoft 威脅情報資料,在過去幾年中,以色列和美國企業幾乎一直是伊朗最常見的目標。在戰爭爆發之前,伊朗執行者最關注的是以色列,其次是阿聯酋和美國。戰爭爆發后,對以色列的關注激增。在 Microsoft 追蹤的伊朗民族國家網路活動中,有 43% 針對以色列,超過了接下來的 14 個目標國家/地區的總和。
伊朗網路執行者對以色列的關注愈演愈烈。伊朗長期以來一直關注以色列,德黑蘭將其視為與美國並駕齊驅的主要敵人。因此,根據 Microsoft 威脅情報資料,在過去幾年中,以色列和美國企業幾乎一直是伊朗最常見的目標。在戰爭爆發之前,伊朗執行者最關注的是以色列,其次是阿聯酋和美國。戰爭爆發后,對以色列的關注激增。在 Microsoft 追蹤的伊朗民族國家網路活動中,有 43% 針對以色列,超過了接下來的 14 個目標國家/地區的總和。
我們預計,隨著衝突的持續,尤其是在戰爭擴大可能性不斷上升的情況之下,伊朗的網路和影響力作業構成的威脅將會增加。雖然伊朗群組在戰爭初期急於開展或簡單地捏造作業,但伊朗群組已經放慢了他們最近的作業,使他們能夠有更多時間獲得所需的存取或發展更複雜的影響力作業。本報告中概述的戰爭階段清楚地表明,伊朗的網路和影響力作業進展緩慢,變得更具針對性、協作性和破壞性。
伊朗執行者在瞄準目標方面也變得日益大膽,最引人注目的是針對一家醫院的網路攻擊,並測試華盛頓的底線,似乎不關心後果。伊斯蘭革命衛隊對美國水控制系統的攻擊雖然是見機行事,但似乎是一種聰明的策略,通過宣告攻擊以色列製造設備的合法性來測試華盛頓。
在 2024 年 11 月美國大選之前,伊朗和伊朗附屬群組之間加強合作,預示著那些參與選舉辯護的人將面臨更大的挑戰。防禦者再也無法從追蹤幾個群組中得到安慰。相反,越來越多的存取代理程式、影響群組和網路執行者使威脅環境更加複雜和相互交織。
更多專家對伊朗影響力作業的見解
從 Microsoft 威脅情報播客中聽取有關伊朗網路影響力行動的專家的更多資訊,重點關注伊朗與 2020 年美國總統大選和以色列-哈馬斯戰爭相關的行動。討論涵蓋了伊朗執行者使用的策略,例如冒充、招募當地人以及利用電子郵件和文字簡訊進行放大。它還為伊朗網路活動的複雜性、他們的合作努力、宣傳消費、創造性策略以及影響力作業的歸因挑戰帶來了執行內容。
關注 Microsoft 安全性