Trace Id is missing

Iraan suurendab Hamasi toetuseks kübermõjutusoperatsioone

Laadige alla
Jaga

Sissejuhatus

Kui Iisraeli-Hamasi sõda 7. oktoobril 2023 puhkes, suurendas Iraan kohe Hamasi toetust oma praeguseks hästi välja töötatud tehnikaga, mis ühendab sihipäraseid häkkimisi sotsiaalmeedias võimendatud mõjuoperatsioonidega, mida me nimetame küberpõhiseks mõjutusoperatsiooniks.1Iraani operatsioonid olid algselt reaktsioonilised ja oportunistlikud. Oktoobri lõpuks keskendusid peaaegu kogu Iraani mõjuvõim ja peamised küberohustajad Iisraelile üha sihipärasemalt, koordineeritumalt ja hävitavamalt, luues näiliselt piiritu „kõik ressursid“ kampaania Iisraeli vastu. Erinevalt mõnest Iraani varasemast küberründest täiendati kõiki selle sõja ajal Iisraeli vastu sooritatud hävitavaid küberründeis – nii tegelikke kui väljamõelduid – veebipõhise mõjutustegevusega.

Määratletud võtmeterminid

  • Kübermõjuoperatsioonid 
    Toimingud, mis kombineerivad solvavaid arvutivõrgu toiminguid sõnumivahetuse ja võimendusega koordineeritult ja manipuleerival viisil, et muuta sihtrühma arusaamu, käitumist või otsuseid grupi või rahva huvide ja eesmärkide edendamiseks.
  • Tüüpkasutaja kübervaldkonnas 
    Avalikkusele suunatud rühm või üksikisik, kes võtab vastutuse küberoperatsiooni eest, tagades samas vastutava rühma või riigi usutava eitatavuse.
  • Käpiknukk 
    Vale võrguisik, kes kasutab petmise eesmärgil fiktiivseid või varastatud identiteete.

Mõjuoperatsioonid muutusid sõja edenedes üha keerukamaks ja ebaautentsemaks, võttes kasutusele sotsiaalmeedia „käpiknukkude“ võrgustikud. Kogu sõja vältel on need mõjutamisoperatsioonid püüdnud iisraellasi hirmutada, kritiseerides samal ajal Iisraeli valitsuse poolt pantvangide teema käsitlemist ja sõjalisi operatsioone, et Iisrael polariseerida ja lõpuks destabiliseerida.

Lõpuks pööras Iraan oma küberründed ja mõjutamisoperatsioonid Iisraeli poliitiliste liitlaste ja majanduspartnerite vastu, et õõnestada toetust Iisraeli sõjalistele operatsioonidele.

Eeldame, et Iraani küber- ja mõjuoperatsioonidest tulenev oht kasvab konflikti jätkudes, eriti üha suureneva sõjaohu tõttu. Iraani ja Iraaniga seotud ohustajate suurenenud jultumus koos kasvava koostööga nende vahel tähistab kasvavat ohtu novembris toimuvate USA valimiste eel.

Iraani küber- ja mõjuoperatsioonid on alates Hamasi terrorirünnakust 7. oktoobril edasi arenenud mitmes etapis. Üks nende tegevuse element on püsinud kogu aeg muutumatuna: oportunistliku kübersihtimise kombinatsioon mõjutoimingutega, mis sageli eksitavad mõju täpsuse või ulatuse osas.

See aruanne keskendub Iraani mõju- ja kübermõjutusoperatsioonidele alates 7. oktoobrist kuni 2023. aasta lõpuni, hõlmates samas suundumusi ja operatsioone, mis ulatuvad tagasi 2023. aasta kevadeni.

Diagramm, mis kujutab Iraani kübermõjutusoperatsioonide etappe Iisraeli-Hamasi sõjas

1. etapp: Reaktiivne ja eksitav

Iraani rühmitused reageerisid Iisraeli-Hamasi sõja algfaasis. Iraani riigimeedia avaldas väidetavate küberrünnete kohta eksitavaid üksikasju ja Iraani rühmitused kasutasid veelkord ajalooliste operatsioonide dateeritud materjali, kasutasid uuesti juurdepääsu, mis neil oli enne sõda, ning liialdasid väidetavate küberrünnete üldise ulatuse ja mõju osas.

Peaaegu neli kuud pärast sõda pole Microsoft ikka veel näinud meie andmetest selgeid tõendeid selle kohta, et Iraani rühmitused oleksid kooskõlastanud oma küber- või mõjuoperatsioonid Hamasi plaanidega rünnata Iisraeli 7. oktoobril. Pigem viitab meie andmete ja leidude ülekaal sellele, et Iraani küberohustajad olid reageerimisvõimelised, hoogustades kiiresti oma küber- ja mõjuoperatsioone pärast Hamasi rünnakuid Iisraeli vastu võitlemiseks.

Eksitavad andmed väidetavate rünnete kohta riigimeedia kaudu: 
Sõja puhkemise päeval väitis Iraani uudisteagentuur Tasnim, mis on seotud Islami revolutsioonilise kaardiväe korpusega (IRGC), ekslikult, et rühmitus nimega Cyber Avengers korraldas küberründeid Iisraeli elektrijaama vastu samal ajal kui Hamasi rühmitus ründas. 2IRGC juhitud küberisik Cyber Avengers väitis tegelikult, et korraldas Hamasi sissetungi eelõhtul küberründe Iisraeli elektriettevõtte vastu.3Nende tõendid: nädalaid vanad ajakirjandusteated elektrikatkestuste kohta „viimastel aastatel“ ja kuvatõmmis ettevõtte veebisaidil dateerimata teenuse katkestusest. 4
Vana materjali taaskasutamine: 
Pärast Hamasi rünnakuid Iisraeli vastu väitis Cyber Avengers, et korraldas Iisraeli vastu mitmeid küberründeid, millest varaseimad olid meie uurimuste põhjal valed. 8. oktoobril väitsid nad, et lekitasid Iisraeli elektrijaama dokumente, kuigi need dokumendid oli varem avaldanud 2022. aasta juunis teine IRGC juhitav küberisik „Moosese personal“.5
Juurdepääsu muutmine: 
Teine küberisik „Maleki meeskond“, mida meie hinnangul juhib Iraani luure- ja julgeolekuministeerium (MOIS), lekitas 8. oktoobril isikuandmed ühest Iisraeli ülikoolist, ilma et neil oleks olnud selget seost seal tekkiva konfliktiga, mis viitab sellele, et sihtmärk oli oportunistlik ja võib-olla valitud enne sõja puhkemist olemasoleva juurdepääsu alusel. Selle asemel, et luua seoseid lekkinud andmete ja Hamasi operatsioonide toetamise vahel, kasutas Malek Team alguses X-is (endine Twitter) Hamasi toetamiseks trellsilte ja alles mõni päev hiljem nihutas sõnumeid, et viia see vastavusse Iisraeli peaministrit Benjamin Netanyahut halvustava sõnumitüübiga, mida on nähtud teistes Iraani mõjuoperatsioonides.
Iraani propaganda tarbimist kogu maailmas illustreerib ajaskaala ja liiklusgraafik
Joonis 2. Microsofti ohuanalüüs – Iraani propaganda tarbimine riigiti, Hamasi rünnakud Iisraeli vastu. Graafik, mis näitab tegevust 2023. aasta aprillist detsembrini.
Iraani mõjuoperatsioonid olid kõige tõhusamad sõja algusaegadel 
Iraani riigiga seotud meedia haare kasvas pärast Iisraeli-Hamasi sõja puhkemist. Konflikti esimesel nädalal täheldasime Microsofti AI for Good Labi Iraani propaganda indeksi tõusu 42%, mis jälgib Iraani riigi ja riigiga seotud uudisväljaannete uudiste tarbimist (vt joonis 1). Indeks mõõdab neid saite külastava liikluse osakaaluna kogu internetiliiklusest. See tõus oli eriti märgatav inglise keelt kõnelevates riikides, mis on tihedalt seotud Ameerika Ühendriikidega (joonis 2), rõhutades Iraani suutlikkust jõuda Lähis-Ida konfliktidest teavitamisega lääne publikuni. Kuu pärast sõja algust oli nende Iraani allikate ulatuse tae maailmas 28–29% kõrgem kui sõjaeelne tase.
Iraani mõju ilma küberrünneteta näitab paindlikkust 
Iraani mõjutusoperatsioonid tundusid sõja esimestel päevadel kiiremad ja tõhusamad, võrreldes kombineeritud kübermõjutusoperatsioonidega konflikti hilisemas etapis. Mõne päeva jooksul pärast Hamasi rünnakut Iisraeli vastu algatas tõenäoliselt Iraani riiklikult mahitatud ohustaja, keda jälgitakse kui Storm-1364, mõjutamisoperatsiooni, kasutades veebipõhist isikut nimega „Tears of War“, mis kehastas Iisraeli aktiviste, et levitada Netanyahu-vastaseid sõnumeid Iisraeli publikule üle kogu maailma mitmes sotsiaalmeedia- ja sõnumiplatvormis. Kiirus, millega Storm-1364 pärast 7. oktoobri rünnakuid selle kampaania käivitas, toob esile selle rühmituse paindlikkuse ja viitab mõjuvõimuga kampaaniate eelistele, mis võivad olla kiiremad, kuna need ei pea ootama kübertoega mõjutegevust.

2. etapp: Kõik ressursid

Oktoobri keskpaigast kuni lõpuni keskendus üha suurem arv Iraani rühmitusi Iisraelile ning Iraani kübermõjutusoperatsioonid muutusid suures osas reaktiivsetest, fabritseeritud või mõlemast hävitavateks küberrünneteks ja operatsioonide jaoks huvipakkuvate sihtmärkide arendamiseks. Need ründed hõlmasid andmete kustutamist, lunavara ja ilmselt asjade interneti (IoT) seadme kohandamist.6Nägime ka tõendeid Iraani rühmituste vahelise koordineerimise suurenemisest.

Sõja esimesel nädalal jälgis Microsofti ohuanalüüs üheksat Iraani rühmitust, kes olid aktiivselt sihikule võtnud Iisraeli; 15. päevaks kasvas see arv 14 rühmituseni. Mõnel juhul täheldasime mitut IRGC või MOIS-i rühmitust, mis sihivad sama organisatsiooni või sõjaväebaasi küber- või mõjutamistegevusega, mis viitab koordineerimisele, Teheranis seatud ühistele eesmärkidele või mõlemale.

Samuti kasvasid kübermõjuoperatsioonid. Vaatlesime sõja esimesel nädalal nelja kiiruga rakendatud kübermõjutusoperatsiooni, mis olid suunatud Iisraelile. Oktoobri lõpuks kasvas selliste operatsioonide arv enam kui kahekordseks, mis tähistab nende seni kõige kiirema tempoga operatsioonide olulist kiirenemist (vt joonis 4).

Joonis: Iraani küber- ja mõjusuhe sümbolite, ohuluure ja revolutsioonilise kaardiväe korpusega
Iraani kübermõju operatsioonide ajakava: Tõus Kamase sõja ajal, 2021-2023

18. oktoobril kasutas IRGC Shahid Kaveh Group, mida Microsoft jälgib kui rühmitust Storm-0784, kohandatud lunavara, et korraldada küberründeid turvakaamerate vastu Iisraelis. Seejärel kasutas ta ühte oma küberisiksust, Solomoni sõdureid, et väita, et on Nevatimi õhuväebaasis turvakaamerad ja andmed välja lunastatud. Soldiers of Solomoni lekkinud turvakaadrite uurimisel selgub, et see pärineb Tel Avivist põhja pool asuvast Nevatimi tänavaga linnast, mitte samanimelisest lennuväebaasist. Tegelikult näitas ohvrite asukohtade analüüs, et ükski neist ei olnud sõjaväebaasi lähedal (vt joonis 5). Kuigi Iraani rühmitused olid alustanud hävitavaid ründeid, jäid nende operatsioonid suures osas oportunistlikuks, ja nad jätkasid mõjutustegevuse võimendamist, et liialdada rünnete täpsuse või mõju andmetega.

21. oktoobril jagas teine küberisik, mida juhib IRGC rühmitus Cotton Sandstorm (üldtuntud kui Emennet Pasargad), videot ründajatest, kes rikkusid sünagoogide digitaalseid ekraane sõnumitega, mis viitasid Iisraeli operatsioonidele Gazas kui „genotsiidile“. 7See tähistas meetodit, kuidas manustada sõnumeid otse küberrünnetesse suhteliselt kerge sihtmärgi vastu.

Selles faasis kasutati Iraani mõjutustegevuses ulatuslikumaid ja keerukamaid ebaautentse võimenduse vorme. Sõja esimese kahe nädala jooksul tuvastasime ebaautentse võimenduse minimaalseid arenenud vorme – jällegi viitas see, et operatsioonid olid reaktiivsed. Sõja kolmandaks nädalaks astus lavale Iraani viljakaim mõjutaja Cotton Sandstorm, alustades 21. oktoobril kolme kübermõjutusoperatsiooniga. Nagu rühmituse puhul tavaline, kasutasid nad operatsioonide võimendamiseks sotsiaalmeedia käpiknukkude võrgustikku, kuigi paljud näisid olevat kiiruga kasutusele võetud ilma autentse kaanepildita, mis maskeeriks neid iisraellasteks. Cotton Sandstorm saatis mitmel korral hulgi tekstsõnumeid või e-kirju, et oma tegevust võimendada või laiendada, kasutades autentsuse suurendamiseks turberikkega kontosid.8

Väited Iraani küberrünnete kohta lükati ümber: vale lunavara ja CCTV kaadrid, paljastatud eksitavad mõjutustegevused

3. etapp: Geograafilise ulatuse laiendamine

Alates novembri lõpust laiendasid Iraani rühmitused oma kübermõju Iisraelist väljapoole, hõlmates riike, mis Iraani arvates Iisraeli abistavad, õõnestades suure tõenäosusega rahvusvahelist poliitilist, sõjalist või majanduslikku toetust Iisraeli sõjalistele operatsioonidele. See sihtmärgi laiendamine oli kooskõlas rünnete algusega Iisraeliga seotud rahvusvahelise laevanduse vastu, mille oli korraldanud Iraani toetatud šiiitide rühmitus Jeemenis (vt joonis 8).9

  • 20. novembril hoiatas Iraani juhitud küberisik „Homeland Justice“ suurte eelseisvate rünnete eest Albaania vastu, enne kui võimendas detsembri lõpus MOIS-i rühmituste hävitavaid küberründeid Albaania parlamendi, riikliku lennufirma ja telekommunikatsiooniteenuste pakkujate vastu.10
  • 21. novembril võttis Cotton Sandstormi juhitud küberisik „Al-Toufan“ sihikule Bahreini valitsuse ja finantsorganisatsioonid, et need püüdsid normaliseerida suhteid Iisraeliga.
  • 22. novembriks hakkasid IRGC-ga seotud rühmitused sihikule võtma Iisraeli toodetud programmeeritavaid loogikakontrollereid (PLC-sid) USA-s ja võib-olla ka Iirimaal, sealhulgas rikkudes 25. novembril Pennsylvania veeametis ühe kontrolleri võrguühenduse (joonis 6).11PLC-d on tööstuslikud arvutid, mis on kohandatud tootmisprotsesside (nt koosteliinid, masinad ja robotseadmed) juhtimiseks.
  • Detsembri alguses väitis MTAC hinnangul Iraani sponsoreeritud isik „Cyber Toufan Al-Aksa“, et lekitas andmeid paarilt Ameerika ettevõttelt Iisraeli rahalise toetamise ja selle sõjaväele varustuse pakkumise eest.12Nad väitsid, et panid varem, 16. novembril, toime andmete kustutamise ründeid ettevõtete vastu.13Kuna puuduvad tugevad kohtuekspertiisi tõendid, mis seostaksid rühmitust Iraaniga, on võimalik, et isikut juhib Iraani partner väljaspool riiki, kaasates Iraani.
Rikutud PLC Pennsylvania veeametis Cyber Avengersi logoga, 25. november

Iraani kübermõjutusoperatsioonid muutusid selles viimases etapis ka keerukamaks. Nad maskeerisid oma käpiknukud paremini, nimetades mõned ümber ja muutes oma profiilifotosid nii, et need näeksid välja autentsemalt Iisraeli omad. Vahepeal kasutasid nad uusi tehnikaid, mida me Iraani ohustajatelt pole näinud, sealhulgas kasutasid TI-d sõnumivahetuse võtmekomponendina. Meie arvates häiris Cotton Sandstorm detsembris AÜE-s ja mujal televisiooni voogesituse teenuseid „For Humanity“ nimelise isiku varjus. For Humanity avaldas Telegramis videod, mis näitavad, kuidas rühmitus häkkis kolme võrgustriimimisteenusesse ja häiris mitme uudistekanali tööd võltsitud uudiste saatega, mis sisaldas ilmselt TI loodud ankrut, mis väidetavalt näitab pilte Iisraeli sõjalistes operatsioonides vigastatud ja tapetud palestiinlastest (Joonis 7).14Araabia Ühendemiraatide, Kanada ja Ühendkuningriigi uudisteväljaanded ja vaatajad teatasid telesaadete, sealhulgas BBC voogesitushäiretest, mis vastasid For Humanity väidetele.15

HUMANITY 2023: 8. oktoober, 180 hukkunut, 347 haavatut. Joonis 7. Televisiooni voogesituse katkemine TI loodud leviedastaja kaudu
Iraan laiendab sihtmärke, kaasates Iisraeli toetajad, küberründed, hoiatused ja rikkumistegevused.

Iraani operatsioonid hõlmasid nelja laiemat eesmärki: destabiliseerimine, kättemaks, hirmutamine ja Iisraeli rahvusvahelise toetuse õõnestamine. Kõik need neli eesmärki püüavad õõnestada ka Iisraeli ja selle toetajate infokeskkondi, tekitades üldist segadust ja usalduse puudumist.

Destabiliseerimine polarisatsiooni tõttu 
Iraan on Iisraeli-Hamasi sõja ajal võtnud sihikule Iisraeli ja on keskendunud üha enam siseriikliku konflikti õhutamisele Iisraeli valitsuse lähenemise tõttu sõjale. Mitmed Iraani mõjuoperatsioonide läbiviijad on maskeerunud Iisraeli aktivistide rühmitusteks, mille eesmärk on levitada sütitavaid sõnumeid, mis kritiseerivad valitsuse lähenemisviisi neile, kes 7. oktoobril rööviti ja pantvangi võeti.17Netanyahu on olnud sellise tegevuse peamine sihtmärk. Sõnumite saatmine ja üleskutsed tema eemaldamiseks olid Iraani mõjuoperatsioonides levinud teemad.18
AVENGERS – Ei ole elektrit, toitu, vett, kütust. Cyber Avengers postitab uuesti video Iisraeli blokaadist
Kättemaks 
Suur osa Iraani sõnumitest ja sihtmärkide valikust rõhutab, et tema operatsioonid on kättemaks. Näiteks avaldas õige nimega isik Cyber Avengers video, milles Iisraeli kaitseminister teatas, et Iisrael katkestab Gaza linna elektri, toidu, vee ja kütusega varustamise (vt joonis 9), millele järgneb rida väidetavaid küberkättemaksjate rünnakuid, mis on suunatud Iisraeli elektri-, vee- ja kütusetaristule.19Nende varasemad väited rünnakute kohta Iisraeli riiklike veesüsteemide vastu hõlmasid sõnumit „silm silma vastu“ ja IRGC-ga seotud Tasnimi uudisteagentuuri teatas, et rühmitus ütles, et rünnakud veesüsteemidele olid kättemaksuks Gaza piiramise eest.20MOIS-iga seotud rühmitus, mida jälgime nime all Pink Sandstorm (teise nimega Agrius) korraldas novembri lõpus häkkimise ja lekke Iisraeli haigla vastu, mis näis olevat kättemaksuks Iisraeli poolt kaks nädalat varem toimunud Gazas asuva al-Shifa haigla piiramise eest.21
Hirmutamine 
Iraani operatsioonid kahjustavad ka Iisraeli julgeolekut ning hirmutavad Iisraeli kodanikke ja tema toetajaid, edastades ähvardavaid sõnumeid ja veendes sihtrühmi, et nende riigi taristu ja valitsussüsteemid on ebaturvalised. Mõned Iraani hirmutamised näivad olevat suunatud Iisraeli valmisoleku õõnestamisele sõda jätkata, näiteks sõnumite saatmine, mille eesmärk on veenda IDF-i sõdureid, et nad peaksid „sõjast lahkuma ja koju tagasi minema“ (joonis 10).22Üks Iraani tüüpiline küberohustaja, kes võis end Hamasi liikmeks maskeerida, väitis, et saatis Iisraeli sõdurite perekondadele ähvardavaid tekstsõnumeid, lisades: „IDF-i (Iisraeli kaitsejõudude) sõdurid peaksid olema teadlikud, et kuni meie perekonnad pole kaitstud, ei saa ka nende pered olla.”23Hamasi tüüpkasutajat võimendavad käpiknukud levitasid X-ile sõnumi, et „IDF-il ei ole mingit võimet oma sõdureid kaitsta“ ja juhtisid vaatajate tähelepanu reale sõnumitele, mis väidetavalt saadeti IDF-i sõduritelt, kes palusid Hamasil nende perekondi säästa.24
Ähvardussõnum väidetavalt Cotton Sandstormi juhitud käpiknukult, mis viitab juurdepääsule isikuandmetele ja julgustab sõjast lahkuma.
Iisraelile antava rahvusvahelise toetuse õõnestamine 
Iraani rahvusvahelisele publikule suunatud mõjuoperatsioonid hõlmasid sageli sõnumite saatmist, mille eesmärk oli nõrgendada rahvusvahelist toetust Iisraelile, rõhutades Iisraeli poolt Gaza ründamisel tekitatud kahju. Palestiinameelseks rühmituseks maskeerunud isik nimetas Iisraeli tegevust Gazas „genotsiidiks“.25Detsembris korraldas Cotton Sandstorm mitmeid mõjuoperatsioone – nime all „Palestiinlaste jaoks“ ja „Inimkonna eest” – mis kutsusid rahvusvahelist üldsust üles mõistma hukka Iisraeli rünnakud Gaza sektorile.26

Oma eesmärkide saavutamiseks teaberuumis on Iraan viimase üheksa kuu jooksul suuresti tuginenud neljale mõjutaktikale, tehnikale ja protseduurile (TTP). Nende hulka kuuluvad kellegi teisena esinemise kasutamine ja täiustatud võimed sihtrühma aktiveerimiseks, mis on seotud tekstsõnumikampaaniate üha suureneva kasutamisega ja IRGC-ga seotud meedia kasutamisega mõjuoperatsioonide tugevdamiseks.

Iisraeli aktivistide rühmituste ja Iraani partnerite matkimine 
Iraani rühmitused on tuginenud pikaajalisele matkimise tehnikale, arendades välja spetsiifilisemad ja veenvamad isiksused, kes maskeeruvad nii Iraani sõpradeks kui ka vaenlasteks. Paljud Iraani varasemad operatsioonide läbiviijad ja tüüpkasutajad on väidetavalt olnud Palestiina eesmärkide pooldajad.27Hiljutised operatsioonid isikutelt, keda meie hinnangul juhib Cotton Sandstorm, on läinud kaugemale, kasutades Hamasi sõjaväelise tiiva al-Qassami brigaadide nime ja logo, et levitada valesõnumeid Gazas kinni peetud pantvangide kohta ja saata iisraellastele ähvardavaid sõnumeid. Teine Telegrami kanal, mis on ähvardanud IDF-i töötajaid ja lekitanud nende isikuandmeid, mida meie hinnangul juhtis MOIS-rühmitus, kasutas samuti al-Qassam Brigadesi logo. Pole selge, kas Iraan tegutseb Hamasi nõusolekul.

Samamoodi on Iraan loonud üha veenvamaid kehastusi fiktiivsetest Iisraeli aktivistide organisatsioonidest, mis asuvad Iisraeli poliitilisest spektrist paremal ja vasakul. Nende võltsaktivistide kaudu püüab Iraan imbuda Iisraeli kogukondadesse, et võita nende usaldus ja külvata lahkarvamusi.

Iisraellaste aktiveerimine tegevusele 
Aprillis ja novembris näitas Iraan korduvalt edu, värvates tahtmatult iisraellasi, et nad osaleksid kohapealsetes tegevustes, mis edendasid tema valeoperatsioone. Ühes hiljutises operatsioonis „Sõjapisarad“ õnnestus Iraani operatiivtöötajatel väidetavalt veenda iisraellasi riputama Iisraeli linnaosadesse üles märgistatud Tears of War plakatid, millel oli arvatavasti TI loodud Netanyahu kujutis ja kutsuti üles teda ametist kõrvaldama (vt joonis 11).28
Võimendamine teksti ja e-kirjade kaudu suurema sagedusega ja keerukamalt 
Kuigi Iraani mõjuoperatsioonid toetuvad sihtrühmani jõudmiseks jätkuvalt suuresti koordineeritud ebaautentse sotsiaalmeedia võimendusele, on Iraan üha enam kasutanud hulgitekstsõnumeid ja e-kirju, et tugevdada oma küberpõhise mõjutustegevuse psühholoogilist mõju. Sotsiaalmeedias käpiknuku abil võimendusel pole sama mõju kui postkastis ilmuval sõnumil, rääkimata telefonist. Cotton Sandstorm tugines varasematele õnnestumistele, kasutades seda tehnikat alates 2022. aastast,29saates alates augustist vähemalt kuue toiminguga hulgi tekstsõnumeid, e-kirju või mõlemaid. Selle tehnika sagenenud kasutamine viitab sellele, et rühmitus on oma võimet täiustanud ja peab seda tõhusaks. Cotton Sandstormi operatsioon „Cyber Flood“ oktoobri lõpus hõlmas kuni kolme komplekti masssõnumeid ja e-kirju iisraellastele, et võimendada väidetavaid küberründeid või levitada valehoiatusi Hamasi rünnakute kohta Iisraeli tuumarajatise vastu Dimona lähedal.30Vähemalt ühel juhul kasutasid nad oma meilide autentsuse parandamiseks ohustatud kontot.
Joonis 11. Tears of War bänner Iisraelis TI loodud Netanyahu kujutisega, tekst „Tagandage kohe“.
Riigimeedia võimendamine 
Iraan on kasutanud avalikke ja varjatud IRGC-ga seotud meediaväljaandeid väidetavate küberoperatsioonide võimendamiseks ja mõnikord nende mõju suurendamiseks. Septembris, pärast seda, kui Cyber Avengers võttis omaks küberründed Iisraeli raudteesüsteemi vastu, võimendas IRGC-ga seotud meedia peaaegu kohe oma väiteid. IRGC-ga seotud Tasnimi uudisteagentuur viitas ebaõigesti Iisraeli uudiste kajastustele muust sündmusest kui tõendist, et küberrünne aset leidis.31Seda teadet võimendasid ka teised Iraani ja Iraaniga seotud väljaanded viisil, mis varjutas veelgi tõendite puudumist, mis toetaksid väiteid küberründe kohta.32
Tekkiv tehisintellekti kasutuselevõtt mõjutamisoperatsioonide jaoks 
MTAC jälgis Iraani ohustajaid, kes kasutasid tehisintellektiga loodud pilte ja videoid alates Iisraeli-Hamasi sõja puhkemisest. Cotton Sandstorm ja Storm-1364, samuti Hezbollahi ja Hamasiga seotud uudiste väljaanded on kasutanud TI-d, et suurendada hirmutamist ja luua pilte, mis halvustavad Netanyahut ja Iisraeli juhtkonda.
Joonis 12. Cotton Sandstormi mõjuoperatsioonid august-detsember 2023, kujutades erinevaid meetodeid ja tegevusi.
1. Arenev koostöö 
Nädalaid pärast Iisraeli-Hamasi sõja algust hakkasime nägema näiteid koostööst Iraaniga seotud rühmituste vahel, mis suurendas ohustajate saavutusi. Koostöö alandab sisenemisbarjääri, võimaldades igal rühmal panustada olemasolevatesse võimalustesse ja kaotab vajaduse ühe rühma järele, et töötada välja kõik tööriistad või töövahendid.

Meie hinnangul tegi MOIS-iga seotud rühmituste paar Storm-0861 ja Storm-0842 koostööd hävitava küberründega Iisraelis oktoobri lõpus ja uuesti Albaanias detsembri lõpus. Mõlemal juhul tagas Storm-0861 tõenäoliselt juurdepääsu võrgule enne, kui Storm-0842 käivitas kustutava ründevara. Sarnaselt käivitas Storm-0842 2022. aasta juulis pärast Storm-0861 juurdepääsu saamist Albaania valitsusasutustes kustutava ründevara.

Oktoobris võis ka teisel MOIS-iga seotud rühmal Storm-1084 olla juurdepääs Iisraelis asuvale organisatsioonile, kus Storm-0842 juurutas kustutava ründevara BiBi, mis sai nime pärast seda, kui ründevara nimetas kustutatud failid ümber stringiga „BiBi“. Pole selge, millist rolli Storm-1084 hävitavas ründes mängis, kui üldse. Storm-1084 korraldas 2023. aasta alguses hävitavaid küberründeid teise Iisraeli organisatsiooni vastu, mille võimaldas teine MOIS-iga seotud rühmitus Mango Sandstorm (a.k.a. MuddyWater).33

Alates sõja puhkemisest on Microsofti ohuanalüüs tuvastanud koostöö MOIS-iga seotud rühma Pink Sandstormi ja Hezbollah küberüksuste vahel. Microsoft on täheldanud taristu kattumist ja jagatud tööriistu. Iraani koostöö Hezbollah’ga küberoperatsioonide alal, ehkki mitte enneolematu, tekitab murelikku arengut, sest sõda võib neid rühmitusi üksteisele operatiivselt veelgi lähemale tuua.34Kuna Iraani küberründed selles sõjas on kõik kombineeritud mõjuoperatsioonidega, on lisatõenäosus, et Iraan parandab oma mõjuoperatsioone ja nende ulatust, võimendades araabia keelt emakeelena kõnelejaid, et suurendada oma ebaautentsete isikute autentsust.

2. Tähelepanu keskpunkt Iisraelil 
Iraani küberohustajate keskendumine Iisraelile tugevnes. Iraan on pikka aega keskendunud Iisraelile, mida Teheran peab oma peamiseks vastaseks USA kõrval. Seetõttu on Microsofti ohuanalüüsi andmete põhjal viimastel aastatel peaaegu alati olnud Iraani kõige levinumad sihtmärgid Iisraeli ja USA ettevõtted. Enne sõda keskendusid Iraani ohustajad kõige enam Iisraelile, millele järgnesid AÜE ja USA. Pärast sõja puhkemist suurenes tähelepanu Iisraelile. 43 protsenti Microsofti jälgitud Iraani riiklikult mahitatud kübertegevusest oli suunatud Iisraelile, mis on rohkem kui järgmisele 14 sihtriigile kokku.
Mogult Threat Intelligence’i andmete protsentuaalne jaotus riikide ja Iraani järgi, mis on suunatud sõjaeelsele ajale ja 75 päeva pärast sõda

Ootame, et Iraani küber- ja mõjuoperatsioonidest tulenev oht kasvab Iisraeli-Hamasi konflikti jätkudes, eriti seoses suureneva potentsiaaliga eskaleerumiseks täiendavatel rinnetel. Kui Iraani rühmitused tormasid sõja algusaegadel operatsioone läbi viima või lihtsalt fabritseerisid, on Iraani rühmitused oma hiljutisi operatsioone aeglustanud, andes neile rohkem aega soovitud juurdepääsu saamiseks või keerukamate mõjuoperatsioonide arendamiseks. Selles aruandes kirjeldatud sõjafaasid näitavad selgelt, et Iraani küber- ja mõjuoperatsioonid on aeglaselt edenenud, muutudes sihipärasemaks, koostöövalmimaks ja hävitavamaks.

Iraani ohustajad on samuti muutunud üha julgemaks oma sihtimisel, eelkõige haigla vastu korraldatud küberründes ja Washingtoni punaste joonte katsetamises, mis näib olevat hoolimatu tagajärgedest. Kuigi IRGC rünnakud USA veejuhtimissüsteemide vastu olid oportunistlikud, olid need näiliselt kaval nipp Washingtoni proovilepanekuks, nõudes Iisraelis valmistatud seadmete ründamise legitiimsust.

Enne 2024. aasta novembris toimuvaid USA valimisi kujutab Iraani ja Iraaniga seotud rühmituste tihenenud koostöö suuremat väljakutset neile, kes osalevad valimiste kaitsmises. Kaitsjad ei saa enam piirduda mõne rühma jälgimisega. Pigem muudab üha suurenev juurdepääsuagentide, mõjurühmade ja küberohustajate arv keskkonna keerulisemaks ja läbipõimunumaks.

Rohkem ekspertülevaateid Iraani mõjuoperatsioonide kohta

Kuulake lisateavet ekspertidelt Iraani kübermõjutusoperatsioonide kohta, keskendudes Iraani tegevusele, mis on seotud 2020. aasta USA presidendivalimistega ning Iisraeli-Hamasi sõjaga, Microsoft Threat Intelligence Podcastist. Arutelu hõlmab taktikaid, mida Iraani ohustajad kasutavad, nagu kellegi teisena esinemine, kohalike värbamine ning e-kirjade ja tekstsõnumite võimendamine. Samuti loob see konteksti Iraani kübertegevuse keerukusele, nende koostööle, propagandatarbimisele, loomingulistele taktikatele ja mõjutusoperatsioonide omistamise väljakutsetele.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Kübermõjuoperatsioonid Riiklikult mahitatud Riiklikult mahitatud küberohtude aruanded Küberohustajad

Seotud artiklid

Venemaa küberohustajad on valmis sõjaväsimust ära kasutama 

Venemaa küber- ja mõjuoperatsioonid jätkuvad koos sõjaga Ukrainas. Microsofti ohuanalüüsi meeskond annab üksikasjaliku ülevaate viimase kuue kuu küberohtudest ja mõjutegevustest.
Lisateave

Iraan pöördub suurema mõju saavutamiseks kübertoega mõjuoperatsioonide poole

Microsofti ohuanalüüs on päevavalgele toonud Iraani senisest ulatuslikumad kübertoega mõjuoperatsioonid. Lisaks ohtudele saate ülevaate ka uutest tehnikatest ja sellest, kus on kõige suurem potentsiaal tulevaste ohtude tekkimiseks.
Lisateave

Sõja küber- ja mõjuoperatsioonid Ukraina digitaalsel lahinguväljal

Microsofti ohuanalüüs uurib aasta kestnud küber- ja mõjuoperatsioone Ukrainas, toob päevavalgele küberohtude uued trendid ja annab ülevaate sellest, mida oodata teise sõja-aasta alates.
Lisateave