Trace Id is missing

Iran øger antallet af cyberdrevne påvirkningsoperationer til støtte for Hamas

Download
Del

Introduktion

Da krigen mellem Israel og Hamas brød ud den 7. oktober 2023, øgede Iran straks støtten til Hamas med sin nu veludviklede teknik til at kombinere målrettede hacks med forstærkede påvirkningsoperationer på sociale medier, det vi kalder cyberdrevne påvirkningsoperationer.1 Irans handlinger var oprindeligt reaktive og opportunistiske. I slutningen af oktober fokuserede næsten alle Irans indflydelsesrige og store cyberaktører på Israel på en stadig mere målrettet, koordineret og destruktiv måde, hvilket skabte en tilsyneladende grænseløs "alle mand på dæk"-kampagne mod Israel. I modsætning til nogle af Irans tidligere cyberangreb, blev alle deres destruktive cyberangreb mod Israel i denne krig – virkelige eller opdigtede – suppleret med online påvirkningsoperationer.

Definition af Nøglebegreber

  • Cyberdrevne påvirkningsoperationer 
    Handlinger, der kombinerer offensive handlinger på computernetværk med meddelelser og forstærkning på en koordineret og manipulerende måde for at ændre opfattelser, adfærd eller beslutninger hos målgrupper for at fremme en gruppes eller en nations interesser og mål.
  • Cyber-persona 
    En fremstillet offentlig gruppe eller person, der tager ansvaret for en cyberhandling, mens den underliggende gruppe eller nation, der er ansvarlig, kan benægte at have været involveret.
  • Sockpuppet 
    En falsk online karakter, der anvender fiktive eller stjålne identiteter med et formål om at bedrage andre.

Påvirkningsoperationer blev mere og mere sofistikerede og uægte, og der blev brugt netværk af "sockpuppets" på de sociale medier, efterhånden som krigen skred frem. Under hele krigen har disse påvirkningsoperationer forsøgt at skræmme israelere og samtidig kritisere den israelske regerings håndtering af gidsler og militære operationer med et formål om at polarisere og i sidste ende destabilisere Israel.

Til sidst vendte Iran sine cyberangreb og påvirkningsoperationer mod Israels politiske allierede og økonomiske partnere for at underminere støtten til Israels militære operationer.

Vi forventer, at truslen fra Irans cyber- og påvirkningsoperationer vil vokse, efterhånden som konflikten fortsætter, især i forbindelse med det stigende potentiale for en udvidelse af krigen. Den øgede dristighed hos iranske aktører og aktører med forbindelse til Iran kombineret med et spirende samarbejde mellem dem, varsler om en voksende trussel forud for det amerikanske valg i november.

Irans cyber- og påvirkningsoperationer har udviklet sig gennem flere faser siden Hamas-terrorangrebet den 7. oktober. Et element i deres handlinger har været konstant hele vejen igennem, og det er kombinationen af opportunistisk cybermålretning med påvirkningsoperationer, der ofte vildleder om præcisionen eller omfanget af påvirkningen.

Denne rapport fokuserer på iransk indflydelse og cyberdrevne påvirkningsoperationer fra 7. oktober til slutningen af 2023, mens den dækker tendenser og handlinger tilbage til foråret 2023.

Diagram over faserne i Irans cyberdrevne påvirkningsoperationer i krigen mellem Israel og Hamas

Fase 1: Reaktiv og misvisende

Iranske grupper var reaktive i den indledende fase af krigen mellem Israel og Hamas. Iranske statsmedier udsendte misvisende detaljer om påståede cyberangreb, og iranske grupper genbrugte gammelt materiale fra historiske handlinger, genbrugte adgang, de havde før krigen, og overdrev det overordnede omfang og effekten af påståede cyberangreb.

Næsten fire måneder inde i krigen har Microsoft stadig ikke set klare beviser fra vores data, der indikerer, at iranske grupper havde koordineret deres cyber- eller påvirkningsoperationer med Hamas planer om at angribe Israel den 7. oktober. Tværtimod tyder vores data og resultater på, at iranske cyberaktører var reaktive og hurtigt øgede deres cyber- og påvirkningsoperationer efter Hamas-angrebene for at modvirke Israel.

Misvisende detaljer om påståede angreb gennem statsmedier: 
Den dag krigen brød ud, hævdede Tasnim News Agency, et iransk medie med tilknytning til Den Islamiske Revolutionsgarde (IRGC), fejlagtigt, at en gruppe kaldet "Cyber Avengers" udførte cyberangreb mod et israelsk kraftværk "på samme tid" som Hamas angreb. 2 Cyber Avengers, en IRGC-drevet cyber-persona, hævdede faktisk at have udført et cyberangreb mod et israelsk elselskab aftenen før Hamas angreb.3 Deres beviser: flere uger gamle presserapporter om strømafbrydelser "i de seneste år" og et screenshot af en ikke-dateret afbrydelse af servicen på selskabets hjemmeside. 4
Genbrug af gammelt materiale: 
Efter Hamas angreb på Israel påstod Cyber Avengers, at de ville udføre en række cyberangreb mod Israel, hvoraf vores undersøgelser afslørede, at de tidligste var falske. Den 8. oktober hævdede de at have lækket dokumenter om et israelsk kraftværk, selvom dokumenterne tidligere var blevet offentliggjort i juni 2022 af en anden IRGC-drevet cyber-persona med navnet "Moses Staff".5
Genbrug af adgang: 
En anden cyber-persona, "Malek Team", som vi vurderer styres af Irans efterretnings- og sikkerhedsministerium (MOIS), lækkede persondata fra et israelsk universitet den 8. oktober uden nogen klar forbindelse til den spirende konflikt i landet, hvilket tyder på, at målet var opportunistisk og måske valgt ud fra en allerede eksisterende adgang før krigsudbruddet. Snarere end at drage en sammenhæng mellem de lækkede data og støtten til Hamas handlinger, brugte Malek Team i første omgang hashtags på X (tidligere Twitter) til at støtte Hamas, og kun få dage senere skiftede de budskab til at være på niveau med den type budskaber, der nedgør Israels premierminister Benjamin Netanyahu, som man har set i andre iranske påvirkningsoperationer.
Forbruget af iransk propaganda på verdensplan illustreret med en tidslinje og en graf over andelen af trafik
Figur 2: Microsoft Threat Intelligence - Iransk propagandaforbrug efter land, Hamas-angreb på Israel. Graf, der viser aktivitet fra april til december 2023.
Irans påvirkningsoperationer var mest effektive i de første dage i krigen 
De iranske statsmediers rækkevidde steg kraftigt efter udbruddet af krigen mellem Israel og Hamas. I den første uge af konflikten observerede vi en stigning på 42 % i Microsoft AI for Good Labs Iranian Propaganda Index, som overvåger forbruget af nyheder fra iranske statsnyheder og statstilknyttede nyhedskanaler (se figur 1). Indekset måler andelen af trafik, der besøger disse websteder, sammenlignet med den generelle trafik på internettet. Denne stigning var især tydelig i engelsktalende lande, der er tæt allieret med USA (figur 2), hvilket understreger Irans evne til at nå et vestligt publikum med sin rapportering om Mellemøstens konflikter. En måned inde i krigen lå rækkevidden af disse iranske kilder på verdensplan stadig 28-29 % over niveauet fra før krigen.
Irans indflydelse uden cyberangreb viser fleksibilitet 
Irans påvirkningsoperationer virkede mere fleksible og effektive i de tidlige dage i krigen sammenlignet med deres kombinerede cyber-påvirkningsoperationer senere i konflikten. Få dage efter Hamas angreb på Israel lancerede en sandsynlig iransk statslig aktør, som vi sporer som Storm-1364, en påvirkningsoperation ved hjælp af en online persona kaldet "Tears of War", som efterlignede israelske aktivister for at sprede anti-Netanyahu-budskaber til det israelske publikum på tværs af flere sociale medier og beskedplatforme. Den hastighed, hvormed Storm-1364 lancerede denne kampagne efter angrebene den 7. oktober, understreger denne gruppes fleksibilitet og peger på fordelene ved kampagner, der kun fokuserer på at påvirke, som kan være hurtigere at skabe, fordi de ikke behøver at vente på cyberaktivitet fra en cyberdreven påvirkningsoperationer.

Fase 2: Alle mand på dæk

Fra midten til slutningen af oktober flyttede et stigende antal iranske grupper deres fokus mod Israel, og Irans cyberdrevne påvirkningsoperationer gik fra at være overvejende reaktive, fabrikerede eller begge dele til at omfatte destruktive cyberangreb og udvikling af mål af interesse for handlinger. Disse angreb omfattede sletning af data, ransomware og tilsyneladende justering af en IoT-enhed (Tingenes internet).6 Vi så også tegn på øget koordinering blandt iranske grupper.

I den første uge af krigen sporede Microsoft Threat Intelligence ni iranske grupper, der var aktive i at angribe Israel. Dette tal voksede til 14 grupper på dag 15. I nogle tilfælde observerede vi flere IRGC- eller MOIS-grupper, der målrettede den samme organisation eller militærbase med cyber- eller påvirkningsoperationer, hvilket tyder på koordinering af fælles mål i Teheran eller begge dele.

Antallet af cyberdrevne påvirkningsoperationer steg også. Vi observerede fire hastigt implementerede cyberdrevne påvirkningsoperationer rettet mod Israel i den første uge af krigen. I slutningen af oktober var antallet af sådanne handlinger mere end fordoblet, hvilket markerer en betydelig acceleration i disse handlinger med langt det hurtigste tempo til dato (se figur 4).

Illustration: Irans cyber- og indflydelsesnetværk, med symboler, Threat Intelligence og Revolutionsgarden
Tidslinje for Irans cyber-påvirkningsoperationer: Stigning under Kamas-krigen, 2021-2023

Den 18. oktober brugte IRGC's Shahid Kaveh Group, som Microsoft sporer som Storm-0784, tilpasset ransomware til at udføre cyberangreb mod sikkerhedskameraer i Israel. Derefter brugte de en af deres cyber-personaer, "Soldiers of Solomon", til fejlagtigt at hævde, at de havde stjålet og fået adgang til sikkerhedskameraer og data på Nevatim Air Force Base. En undersøgelse af de sikkerhedsoptagelser, som Soldiers of Solomon lækkede, afslører, at de var fra en by nord for Tel Aviv med en Nevatim-gade, ikke fra Air Force-basen af samme navn. Faktisk afslører en analyse af ofrenes placering, at ingen af dem var i nærheden af militærbasen (se figur 5). Selvom iranske grupper havde påbegyndt destruktive angreb, forblev deres handlinger i vid udstrækning opportunistiske og fortsatte med at udnytte påvirkningsaktiviteter til at overdrive præcisionen eller effekten af angrebene.

Den 21. oktober delte en anden cyber-persona, der drives af IRGC-gruppen Cotton Sandstorm (almindeligvis kendt som Emennet Pasargad), en video af personer med ondsindede hensigter, der ødelagde digitale skærme ved synagoger med beskeder, der omtalte Israels handlinger i Gaza som "folkemord". 7 Dette markerede en metode til at indlejre budskaber direkte i cyberangreb mod et relativt blødt mål.

I denne fase brugte Irans påvirkningsaktiviteter mere omfattende og sofistikerede former for uægte forstærkning. I de første to uger af krigen opdagede vi minimale avancerede former for uægte forstærkning, hvilket igen tyder på, at handlingerne var reaktive. I krigens tredje uge trådte Irans mest produktive indflydelsesaktør, Cotton Sandstorm, ind i billedet og lancerede den 21. oktober tre cyberdrevne påvirkningsoperationer. Som vi ofte ser fra gruppen, brugte de et netværk af sockpuppets på de sociale medier til at forstærke handlingerne, selvom mange af dem så ud til at være hurtigt genskabte uden autentiske covers, der camouflerede dem som israelere. Ved flere lejligheder sendte Cotton Sandstorm sms'er eller mails i massevis for at forstærke eller prale af deres aktiviteter og udnyttede kompromitterede konti til at øge autenticiteten.8

Irans påstande om cyberangreb afkræftet: Falsk ransomware og CCTV-optagelser, vildledende påvirkningsoperationer afsløret

Fase 3: Udvidelse af geografisk rækkevidde

Fra slutningen af november udvidede iranske grupper deres cyberdrevne påvirkning uden for Israel til også at omfatte lande, som Iran mener hjælper Israel. Dette er med stor sandsynlighed for at underminere international politisk, militær eller økonomisk støtte til Israels militære handlinger. Denne udvidelse i målretning skete på samme tid som starten på angreb på international skibsfart med forbindelse til Israel fra houthierne, en militant shiamuslimsk gruppe i Yemen, der støttes af Iran. (se figur 8).9

  • Den 20. november advarede den Iran-styrede cyber-persona "Homeland Justice" om større forestående angreb på Albanien, inden MOIS-grupper i slutningen af december forstærkede destruktive cyberangreb mod Albaniens parlament, nationale flyselskab og telekommunikationsudbydere.10
  • Den 21. november angreb det Cotton Sandstorm-drevne cyberpersona "Al-Toufan" Bahrains regering og finansielle organisationer for at normalisere forbindelserne til Israel.
  • Den 22. november begyndte IRGC-tilknyttede grupper at angribe israelsk-fremstillede programmerbare logiske controllere (PLC'er) i USA og muligvis Irland. Dette omfattede også at deaktivere en hos en vandmyndighed i Pennsylvania den 25. november (figur 6).11 PLC'er er industrielle computere, der er tilpasset til styring af fremstillingsprocesser, såsom samlebånd, maskiner og robotenheder.
  • I begyndelsen af december hævdede en persona, "Cyber Toufan Al-Aksa" som MTAC vurderer er Iran-sponsoreret, at have lækket data fra et par amerikanske virksomheder, fordi de finansielt støtter Israel og leverer udstyr til dets militær.12 De hævdede tidligere, at de havde angrebet virksomhederne med datasletning den 16. november.13 På grund af mangel på stærke retstekniske beviser, der knytter gruppen til Iran, er det muligt, at denne persona drives af en iransk partner uden for landet, men med iransk involvering.
Hærværk mod PLC med Cyber Avengers-logo hos vandmyndighed i Pennsylvania, 25. november

Irans cyberdrevne påvirkningsoperationer blev også mere sofistikerede i denne seneste fase. De forklædte deres sockpuppets bedre ved at omdøbe nogle af dem og ændre deres profilbilleder, så de fremstod mere autentisk som israelere. I mellemtiden gjorde de brug af nye teknikker, som vi ikke har set fra iranske aktører før, herunder brugen af kunstig intelligens som en nøglekomponent i deres budskaber. Vi vurderer, at Cotton Sandstorm forstyrrede tv-streamingtjenester i De Forenede Arabiske Emirater og andre steder i december under dække af en persona kaldet "For Humanity". For Humanity offentliggjorde videoer på Telegram, der viste at gruppen hackede sig ind på tre online streamingtjenester og forstyrrede flere nyhedskanaler med en falsk nyhedsudsendelse med en tilsyneladende AI-genereret nyhedsvært, der påstod at vise billeder af sårede og dræbte palæstinensere fra israelske militæroperationer (figur 7).14 Nyhedsbureauer og seere i De Forenede Arabiske Emirater, Canada og Storbritannien rapporterede om afbrydelser i streaming af tv-programmer, herunder BBC, som stemte overens med For Humanitys påstande.15

HUMANITY 2023: 8. oktober, 180 dræbte, 347 sårede. Figur 7: Forstyrrelse af streaming-tv ved hjælp af AI-genereret udsendelse
Iran udvider målretningen til israelske støtter, cyberangreb, advarsler og aktiviteter med hærværk.

Irans handlinger arbejdede mod fire brede mål: destabilisering, gengældelse, intimidering og underminering af international støtte til Israel. Alle disse fire mål søger også at underminere Israel og landets støtters informationsmiljøer for at skabe generel forvirring og mangel på tillid.

Destabilisering gennem polarisering 
Irans angreb på Israel under krigen mellem Israel og Hamas har i stigende grad været fokuseret på at understøtte indenrigspolitiske konflikter om den israelske regerings tilgang til krigen. Flere iranske påvirkningsoperationer har udgivet sig for at være israelske aktivistgrupper for at sprede provokerende budskaber, der kritiserer regeringens håndtering af dem, der blev kidnappet og taget som gidsler den 7. oktober.17 Netanyahu har været et primært mål for sådanne budskaber, og opfordringer til at fjerne ham var et fælles tema i Irans påvirkningsoperationer.18
AVENGERS – Ingen elektricitet, mad, vand, brændstof. Cyber Avengers slår video om Israels blokade op igen
Retaliation 
Mange af Irans budskaber og valg af mål understreger deres handlingers karakter af gengældelse. For eksempel udgav den behørigt navngivne persona Cyber Avengers en video, der viser Israels forsvarsminister, som siger, at Israel vil lukke for elektricitet, mad, vand og brændstof til Gaza City (se figur 9), efterfulgt af en række påståede Cyber Avengers-angreb rettet mod israelsk infrastruktur for elektricitet, vand og brændstof.19 Deres tidligere påstande om angreb på Israels nationale vandsystemer dage forinden inkluderede budskabet "Et øje for et øje", og det IRGC-tilknyttede Tasnim News Agency rapporterede, at gruppen sagde, at angrebene på vandsystemerne var gengældelse for belejringen af Gaza.20 En MOIS-tilknyttet gruppe, som vi sporer som Pink Sandstorm (a.k.a. Agrius) gennemførte et hack og en lækage mod et israelsk hospital i slutningen af november, der så ud til at være gengældelse for Israels flere dage lange belejring af al-Shifa Hospital i Gaza to uger tidligere.21
Trusler 
Irans handlinger tjener også til at underminere Israels sikkerhed og skræmme borgerne i Israel og dets tilhængere ved at levere truende budskaber og overbevise målgrupperne om, at deres stats infrastruktur og regeringssystemer er usikre. Nogle af Irans trusler synes at have til formål at underminere Israels vilje til at fortsætte krigen, som f.eks. beskeder, der forsøger at overbevise IDF-soldater om, at de skal "forlade krigen og tage hjem" (figur 10).22  En iransk cyberpersona, som måske udgav sig for at være Hamas, hævdede at sende truende sms'er til israelske soldaters familier og tilføjede: "IDF-soldaterne [Israel Defense Forces] skal være klar over, at så længe vores familier ikke er i sikkerhed, så vil deres familier heller ikke være det."23  Sockpuppets, der forstærkede Hamas-personaen, spredte beskeder på X om, at IDF "ikke har nogen magt til at beskytte sine egne soldater" og henviste seerne til en række beskeder, der angiveligt var sendt fra IDF-soldater, der bad Hamas om at skåne deres familier.24
Truende besked fra påstået Cotton Sandstorm-drevet sockpuppet, der henviser til adgang til personlige data og opfordrer til at forlade krigen.
Underminering af international støtte til Israel 
Irans påvirkningsoperationer rettet mod internationale målgrupper omfattede ofte budskaber, der søgte at svække den internationale støtte til Israel ved at fremhæve de skader, som Israels angreb på Gaza har forårsaget. En persona der udgav sig for at være en pro-palæstinensisk gruppe omtalte Israels handlinger i Gaza som "folkemord".25 I december kørte Cotton Sandstorm flere påvirkningsoperationer under navnene "For Palestinians" og "For Humanity", der opfordrede det internationale samfund til at fordømme Israels angreb på Gaza.26

For at nå sine mål i informationsrummet har Iran i løbet af de sidste ni måneder i høj grad benyttet sig af fire indflydelsestaktikker, -teknikker og -procedurer (TTP'er). Disse omfatter brug af efterligning og forbedrede evner til at aktivere målgrupper, parret med stigende brug af sms-kampagner og brug af IRGC-tilknyttede medier til at forstærke påvirkningsoperationer.

Efterligning af israelske aktivistgrupper og iranske partnere 
Iranske grupper har bygget videre på en mangeårig teknik med efterligning ved at udvikle mere specifikke og overbevisende personligheder, der udgiver sig for at være både Irans venner og fjender. Mange af Irans tidligere handlinger og personaer har udgivet sig for at være aktivister som støtter den palæstinensiske sag.27 Nylige handlinger fra en persona, som vi vurderer styres af Cotton Sandstorm, er gået videre og har brugt navn og logo fra Hamas militære fløj, al-Qassam Brigades, til at sprede falske budskaber om gidslerne i Gaza og sende truende beskeder til israelerne. En anden Telegram-kanal, som har truet IDF-personale og lækket deres personlige data, og som vi vurderer blev drevet af en MOIS-gruppe, brugte også al-Qassam Brigades-logoet. Det er uklart, om Iran handler med samtykke fra Hamas.

På samme måde har Iran skabt stadig mere overbevisende efterligninger af fiktive israelske aktivistorganisationer på højre og venstre side af det israelske politiske spektrum. Gennem disse falske aktivister forsøger Iran at infiltrere israelske samfund for at vinde deres tillid og skabe splittelse.

Aktivering af israelere til handling 
I april og november havde Iran gentagne gange succes med at rekruttere uvidende israelere til at deltage i aktiviteter i byerne for at fremme sine falske handlinger. I en nylig handling med navnet "Tears of War", lykkedes det angiveligt iranske agenter at overbevise israelere om at hænge bannere med mærket Tears of War op i israelske kvarterer med et tilsyneladende Al-genereret billede af Netanyahu og en opfordring til at fjerne ham fra embedet (se figur 11).28
Forstærkning via sms og mail med øget hyppighed og raffinement 
Mens iranske påvirkningsoperationer fortsat er stærkt afhængige af koordineret uægte forstærkning af sociale medier for at nå ud til målgrupperne, har Iran i stigende grad udnyttet masse-sms'er og mails til at forbedre de psykologiske effekter af deres cyberdrevne påvirkningsoperationer. Forstærkning på sociale medier ved hjælp af sockpuppets har ikke den samme effekt som en besked, der dukker op i ens indbakke, endsige på ens telefon. Cotton Sandstorm byggede i 202229 videre på tidligere succeser ved at bruge denne teknik med at sende sms'er, mails eller begge dele i massevis i mindst seks operationer siden august. Deres øgede brug af denne teknik tyder på, at gruppen har finjusteret funktionaliteten og ser den som værende effektiv. Cotton Sandstorms "Cyber Flood"-handling i slutningen af oktober omfattede op til tre sæt af masse-sms'er og mails til israelere, der forstærkede påståede cyberangreb eller distribuerede falske advarsler om Hamas-angreb på Israels atomanlæg nær Dimona.30 I mindst ét tilfælde udnyttede de en kompromitteret konto til at forbedre autenticiteten af deres mails.
Figur 11: Tears of War-banner i Israel med Al-genereret billede af Netanyahu og teksten "impeachment now".
Udnyttelse af statsmedier 
Iran har brugt åbne og skjulte IRGC-tilknyttede medier til at forstærke påståede cyberhandlinger og til tider til at overdrive deres effekt. I september, da Cyber Avengers hævdede, at de havde udført cyberangreb mod Israels jernbanesystem, forstærkede og overdrev IRGC-tilknyttede medier næsten øjeblikkeligt deres påstande. Det IRGC-tilknyttede Tasnim News Agency citerede fejlagtigt israelsk nyhedsdækning af en anden begivenhed som bevis for, at cyberangrebet havde fundet sted.31 Denne rapportering blev yderligere forstærket af andre iranske og Iran-allierede medier på en måde, der yderligere tilslørede manglen på beviser, der understøttede påstandene om cyberangrebet.32
Begyndende brug af kunstig intelligens til påvirkningsoperationer 
MTAC har observeret, at iranske aktører har brugt billeder og videoer, der er generet af kunstig intelligens siden udbruddet af krigen mellem Israel og Hamas. Cotton Sandstorm og Storm-1364, såvel som Hizbollah- og Hamas-tilknyttede nyhedsmedier, har udnyttet kunstig intelligens til at øge intimideringen og udvikle billeder, der nedgør Netanyahu og den israelske ledelse.
Figur 12: Cotton Sandstorms påvirkningsoperationer fra august-december 2023, der viser forskellige metoder og aktiviteter.
1. Et spirende samarbejde 
Få uger inde i krigen mellem Israel og Hamas begyndte vi at se eksempler på samarbejde mellem grupper med tilknytning til Iran, hvilket forbedrede aktørernes muligheder for at opnå resultater. Samarbejde sænker adgangsbarrieren, så hver gruppe kan bidrage med eksisterende kapaciteter og fjerner behovet for, at en enkelt gruppe udvikler et fuldt spektrum af værktøjer eller håndværk.

Vi vurderer, at et par MOIS-tilknyttede grupper, Storm-0861 og Storm-0842, samarbejdede om et destruktivt cyberangreb i Israel i slutningen af oktober og igen i Albanien i slutningen af december. I begge tilfælde gav Storm-0861 sandsynligvis adgang til netværket, før Storm-0842 udførte wiper-malware. Ligeledes udførte Storm-0842 wiper-malware på albanske regeringsenheder i juli 2022, efter at Storm-0861 havde fået adgang.

I oktober kan en anden MOIS-relateret gruppe, Storm-1084, også have haft adgang til en organisation i Israel, hvor Storm-0842 implementerede "BiBi"-wiper, opkaldt efter malwarens omdøbning af slettede filer med strengen "BiBi". Det er ikke klart, hvilken rolle Storm-1084 eventuelt spillede i det destruktive angreb. Storm-1084 udførte destruktive cyberangreb mod en anden israelsk organisation i begyndelsen af 2023, muliggjort af en anden MOIS-relateret gruppe, Mango Sandstorm (a.k.a. MuddyWater).33

Siden udbruddet af krigen har Microsoft Threat Intelligence også registreret et samarbejde mellem en MOIS-relateret gruppe, Pink Sandstorm, og Hizbollahs cyberenheder. Microsoft har observeret overlapninger i infrastrukturen og fælles værktøjer. Selvom Irans samarbejde med Hizbollah om cyberhandlinger ikke er uden fortilfælde, er det en bekymrende udvikling, at krigen rent operationelt kan bringe disse grupper endnu tættere sammen på tværs af landegrænser.34 Da Irans cyberangreb i denne krig alle har været kombineret med påvirkningsoperationer, er der yderligere sandsynlighed for, at Iran forbedrer sine påvirkningsoperationer og deres rækkevidde ved at udnytte arabisktalende personer til at styrke autenticiteten af deres uægte personaer.

2. Hyperfokus på Israel 
Iranske cyberaktørers fokus på Israel blev intensiveret. Iran har længe haft fokus på Israel, som Teheran foruden USA ser som sin hovedmodstander. Baseret på Microsoft Threat Intelligence-data har israelske og amerikanske virksomheder i de seneste år næsten altid været Irans mest udbredte mål. Op til krigen fokuserede iranske aktører mest på Israel efterfulgt af De Forenede Arabiske Emirater og USA. Efter krigens udbrud steg dette fokus på Israel. Treogfyrre procent af den iranske nation-stats cyberaktivitet, som Microsoft har sporet, var rettet mod Israel, hvilket er mere end de næste 14 lande på listen tilsammen.
Procentvis fordeling af Mogult-data for oplysninger om trusler efter land og målretning fra Iran før krigen og 75 dage inde i krigen

Vi forventer, at truslen fra Irans cyber- og påvirkningsoperationer vil vokse, efterhånden som Israel-Hamas-konflikten fortsætter, især på grund af det stigende potentiale for optrapning på flere fronter. Mens iranske grupper skyndte sig at gennemføre eller blot fabrikere handlinger i krigens tidlige dage, har iranske grupper bremset deres seneste handlinger, hvilket giver dem mere tid til at få den ønskede adgang eller udvikle mere detaljerede påvirkningsoperationer. De krigsfaser, der er skitseret i denne rapport, gør det klart, at iranske cyber- og påvirkningsoperationer langsomt har udviklet sig og er blevet mere målrettede, samarbejdende og destruktive.

Iranske aktører er også blevet mere dristige i deres målretning, især i et cyberangreb mod et hospital, og de tester Washingtons røde linjer, tilsyneladende uden at bekymre sig om konsekvenserne. IRGC's angreb på amerikanske systemer til vandkontrol var opportunistiske, men tilsyneladende et smart trick for at teste Washington ved at hævde, at de havde ret til at angribe udstyr fremstillet i Israel.

Forud for det amerikanske valg i november 2024 varsler det øgede samarbejde mellem iranske og iransk-affilierede grupper om en større udfordring for dem, der beskæftiger sig med valgforsvar. Forsvarerne kan ikke længere trøste sig med at spore nogle få grupper. I stedet skaber et voksende antal adgangsagenter, indflydelsesgrupper og cyberaktører et mere komplekst og sammenflettet trusselsmiljø.

Flere ekspertindsigter om Irans påvirkningsoperationer

Hør mere fra eksperter i Microsoft Threat Intelligence Podcast om Irans cyberdrevne påvirkningsoperationer med fokus på Irans handlinger i forbindelse med det amerikanske præsidentvalg i 2020 og krigen mellem Israel og Hamas. Samtalen dækker taktikker, som iranske aktører bruger, såsom efterligning, rekruttering af lokale personer og udnyttelse af mail og sms til forstærkning. Det giver også kontekst til kompleksiteten i de iranske cyberaktiviteter, deres samarbejde, propagandaforbrug, kreative taktikker og udfordringer med attribution i forbindelse med påvirkningsoperationer.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Cyber- og påvirkningsoperationer Nationalstat Nation-stat-rapporter Trusselsaktører

Relaterede artikler

Russiske trusselsaktører forbereder sig på at udnytte krigstræthed 

Russiske cyber- og påvirkningsoperationer fortsætter, mens krigen i Ukraine fortsætter. Microsoft Threat Intelligence beskriver de seneste cybertrusler og påvirkningsaktiviteter i løbet af de sidste seks måneder.
Få mere at vide

Iran vender sig mod cyber-aktiverede påvirkningsoperationer for større effekt

Microsoft Threat Intelligence afslørede øgede cyberaktiverede påvirkningsoperationer fra Iran. Få indsigt i trusler med detaljer om nye teknikker, og hvor der er risiko for fremtidige trusler.
Få mere at vide

Cyber- og påvirkningsoperationer i krigen på Ukraines digitale slagmark

Microsoft Threat Intelligence undersøger et år med cyber- og påvirkningsoperationer i Ukraine, afdækker nye tendenser inden for cybertrusler, og hvad vi kan forvente, når krigen går ind i sit andet år.
Få mere at vide