Trace Id is missing

L'Iran intensifica le operazioni informatiche di influenza a sostegno di Hamas

Introduzione

Dallo scoppio della guerra tra Israele e Hamas il 7 ottobre 2023, l'Iran ha intensificato il suo supporto per Hamas utilizzando una tecnica, ora perfezionata, che combina attacchi mirati con operazioni di influenza amplificate sui social media, definite qui operazioni informatiche di influenza.1Inizialmente le operazioni dell'Iran erano reazionarie e opportunistiche. A partire dalla fine di ottobre, quasi tutti i principali attori di minacce informatiche e di influenza dell'Iran hanno concentrato la loro attenzione su Israele in modo sempre più mirato, coordinato e distruttivo, dando il via a una campagna generale di attacco contro Israele. A differenza di alcuni dei cyberattacchi precedenti dell'Iran, tutti quelli distruttivi che ha sferrato contro Israele in questa guerra (reali o falsificati) sono stati abbinati a operazioni di influenza online.

Definizione dei termini chiave

  • Operazioni di influenza informatica 
    Operazioni che combinano operazioni di reti di computer offensive con messaggi e amplificazione in modo coordinato e manipolatorio per cambiare le percezioni, i comportamenti o le decisioni dei target allo scopo di promuovere gli interessi e gli obiettivi di un gruppo o una nazione.
  • Utente tipo informatico 
    Una persona o un gruppo di persone per Internet costruite che si assumono la responsabilità di un'operazione informatica mentre forniscono negabilità plausibile per il gruppo o la nazione sottostante responsabile.
  • Sockpuppet 
    Un utente tipo online falso che usa identità finte o rubate per svolgere attività ingannevoli.

Le operazioni di influenza sono sempre più sofisticate e non autentiche, distribuendo reti di "sockpuppet" sui social media durante il conflitto. Durante la guerra, queste operazioni di influenza hanno cercato di intimidire gli israeliani criticando la gestione degli ostaggi e delle operazioni militari da parte del governo di Israele per polarizzare e quindi destabilizzare Israele.

Alla fine, l'Iran ha condotto cyberattacchi e operazioni di influenza contro i partner economici e gli alleati politici di Israele per indebolire il supporto alle operazioni militari israeliane.

Prevediamo che la minaccia creata dalle operazioni di influenza e informatiche iraniane aumenterà man mano che andrà avanti il conflitto, soprattutto con il rischio sempre più elevato che la guerra si estenda. L'aumentata sfrontatezza degli attori iraniani e affiliati all'Iran, unita alla promettente collaborazione tra di loro, preannuncia una crescente minaccia in vista delle elezioni di novembre degli Stati Uniti.

Le operazioni di influenza e informatiche dell'Iran sono proseguite in più fasi dall'attacco terroristico di Hamas del 7 ottobre. Un elemento di tali operazioni è rimasto costante: la combinazione del targeting informatico opportunistico con operazioni di influenza che spesso incidono negativamente sulla precisione o portata dell'impatto.

Questo report riguarda l'influenza e le operazioni di influenza informatiche iraniane dal 7 ottobre fino alla fine del 2023, illustrando tendenze e operazioni risalenti alla primavera del 2023.

Fase 1: Operazioni reattive e fuorvianti

I gruppi iraniani sono stati reattivi nella fase iniziale della guerra tra Israele e Hamas. I media statali iraniani hanno pubblicato dettagli fuorvianti dei cyberattacchi rivendicati e i gruppi iraniani hanno riutilizzato vecchi materiali di operazioni storiche, hanno convertito l'accesso che avevano prima della guerra e hanno ingigantito la portata e l'impatto generali dei cyberattacchi rivendicati.

Dopo quasi quattro mesi di guerra, Microsoft non ha ancora trovato prove certe del fatto che i gruppi iraniani abbiano coordinato le loro operazioni informatiche o di influenza con i piani di Hamas per attaccare Israele il 7 ottobre. Piuttosto, la maggioranza dei nostri dati e dei risultati delle nostre ricerche suggerisce che gli attori di minacce informatiche iraniani siano stati reattivi, intensificando rapidamente le loro operazioni informatiche e di influenza dopo gli attacchi di Hamas contro Israele.

Dettagli fuorvianti sugli attacchi rivendicati negli organi di informazione nazionali: 
Il giorno dello scoppio la guerra, Tasnim News Agency, un organo di stampa iraniano affiliato al Corpo delle guardie della rivoluzione islamica (Islamic Revolutionary Guard Corps, IRGC), ha falsamente dichiarato che un gruppo denominato "Cyber Avengers" avrebbe condotto cyberattacchi contro una centrale elettrica israeliana "contemporaneamente" agli attacchi di Hamas. 2Cyber Avengers, un utente tipo informatico guidato da IRGC, ha effettivamente sostenuto di aver condotto un attacco informatico contro una società elettrica israeliana la sera prima dell'incursione di Hamas.3 La prova: notizie vecchie di alcune settimane che parlavano di interruzioni di corrente "in anni recenti" e uno screenshot senza data di un’interruzione del servizio sul sito Web della società. 4
Riutilizzo di vecchi materiali: 
Dopo gli attacchi di Hamas contro Israele, Cyber Avengers ha dichiarato di aver condotto una serie di cyberattacchi ai danni di Israele, il primo dei quali, secondo le nostre indagini, si è rivelato falso. L'8 ottobre Cyber Avengers ha affermato di aver fatto trapelare alcuni documenti da una centrale elettrica israeliana, documenti che erano però già stati pubblicati nel giugno 2022 da un altro utente tipo informatico guidato da IRGC, "Moses Staff."5
Conversione dell'accesso: 
"Malek Team", un altro utente tipo informatico che riteniamo sia gestito dal Ministero delle informazioni e della sicurezza nazionale (Ministry of Intelligence and Security, MOIS) dell'Iran, l'8 ottobre ha fatto trapelare dati personali da un'università israeliana senza alcun collegamento chiaro con l'inasprirsi del conflitto, suggerendo che il target fosse opportunistico e forse scelto in base a un accesso esistente prima dello scoppio della guerra. Anziché stabilire collegamenti tra i dati sottratti e il supporto per le operazioni di Hamas, Malek Team all'inizio ha usato gli hashtag su X (in precedenza Twitter) per sostenere Hamas, e solo diversi giorni dopo ha cambiato i propri messaggi per allinearsi al tipo di propaganda denigratoria contro il Primo Ministro israeliano Benjamin Netanyahu riscontrata in altre operazioni di influenza iraniane.
Le operazioni di influenza dell'Iran sono state più efficaci durante i primi giorni della guerra 
La copertura dei media affiliati allo stato iraniano è aumentata dopo lo scoppio della guerra tra Israele e Hamas. Nella prima settimana del conflitto, abbiamo constatato un aumento del 42% nell'Iranian Propaganda Index di AI for Good Lab di Microsoft, che monitora l'utilizzo delle notizie degli organi di stampa statali e affiliati allo stato dell'Iran (Figura 1). L'indice misura la proporzione del traffico di utenti che visitano questi siti rispetto al traffico generale su Internet. Questo aumento è stato particolarmente notevole nei paesi anglofoni alleati degli Stati Uniti (Figura 2), cosa che evidenzia la capacità dell'Iran di raggiungere il pubblico occidentale con i suoi servizi giornalistici sui conflitti del Medio Oriente. A un mese dall'inizio della guerra, la copertura di queste fonti iraniane è rimasta il 28-29% al di sopra dei livelli precedenti al conflitto a livello globale.
L'influenza dell'Iran senza cyberattacchi evidenzia una certa agilità 
Le operazioni di influenza dell'Iran risultavano più agili ed efficaci agli inizi della guerra rispetto alle sue operazioni di influenza informatica combinate delle fasi successive del conflitto. A pochi giorni dall'attacco di Hamas contro Israele, un attore di stato probabilmente iraniano che abbiamo tracciato come Storm-1364 ha lanciato un'operazione di influenza usando un utente tipo online chiamato "Tears of War", che fingeva di essere un gruppo di attivisti israeliani per diffondere messaggi contro Netanyahu tra il pubblico israeliano attraverso molte piattaforme di messaggistica e social media. La velocità con cui Storm-1364 ha lanciato questa campagna dopo gli attacchi del 7 ottobre evidenzia l'agilità di questo gruppo e sottolinea i vantaggi delle campagne solo di influenza, che possono essere più veloci da creare perché non richiedono di aspettare l'attività informatica di un'operazione di influenza informatica.

Fase 2: All-hands-on-deck

Dalla metà alla fine di ottobre, un numero crescente di gruppi iraniani ha spostato l’attenzione su Israele, e le operazioni di influenza informatica iraniane sono passate dall'essere reattive, costruite (o entrambe) a includere cyberattacchi distruttivi e a individuare obiettivi di interesse per le operazioni. Questi attacchi includevano l'eliminazione di dati, ransomware e, apparentemente, modificavano un dispositivo IoT (Internet delle cose).6 Abbiamo inoltre constatato un maggiore coordinamento tra i vari gruppi iraniani.

Durante la prima settimana di guerra, Microsoft Threat Intelligence ha individuato nove gruppi iraniani attivi nei confronti di Israele; dopo 15 giorni, i gruppi erano 14. In alcuni casi, abbiamo riscontrato che più gruppi IRGC o MOIS colpivano la stessa organizzazione o base militare con attività informatica o di influenza, suggerendo coordinamento, obiettivi comuni a Teheran o entrambe le cose.

Si sono intensificate anche le operazioni di influenza informatica. Abbiamo osservato quattro operazioni di influenza informatica implementate in modo avventato contro Israele la prima settimana di guerra. Alla fine di ottobre, tali operazioni si sono più che raddoppiate, segnando una notevole accelerazione di queste operazioni con il ritmo più veloce finora (Figura 4).

Il 18 ottobre, il gruppo Shahid Kaveh di IRGC, che Microsoft traccia come Storm-0784, ha usato ransomware personalizzato per condurre cyberattacchi contro le telecamere di sicurezza in Israele. Poi ha utilizzato uno dei suoi utenti tipo informatici, "Soldiers of Solomon" per dichiarare falsamente che aveva chiesto un riscatto in cambio delle telecamere di sicurezza e dei dati presso la base aerea di Nevatim. Dall'esame dei video di sicurezza rubati da Soldiers of Solomon è emerso che l'attacco proveniva da un villaggio a nord di Tel Aviv con una strada intitolata Nevatim, non dall'omonima base aerea. Infatti, l'analisi delle posizioni delle vittime ha rivelato che nessuno si trovava vicino alla base militare (Figura 5). Mentre i gruppi iraniani avevano iniziato a sferrare attacchi distruttivi, le loro operazioni rimanevano sostanzialmente opportunistiche, continuando a sfruttare attività di influenza per amplificare la precisione o l'effetto degli attacchi.

Il 21 ottobre, un altro utente tipo informatico guidato dal gruppo di IRGC Cotton Sandstorm (conosciuto anche con il nome di Emennet Pasargad) ha condiviso un video in cui gli aggressori deturpavano pannelli digitali in alcune sinagoghe con messaggi che si riferivano alle operazioni di Israele a Gaza e parlavano di "genocidio." 7 Si trattava di un metodo in cui il messaggio veniva inserito direttamente negli attacchi informatici contro obiettivi relativamente secondari.

Durante questa fase, l'attività di influenza dell'Iran si è servita di forme più estese e sofisticate di amplificazione non autentica. Nelle prime due settimane della guerra, abbiamo rilevato piccole forme avanzate di amplificazione non autentica, cosa che conferma ulteriormente che le operazioni erano reattive. Nella terza settimana della guerra, l'attore di influenza più prolifico dell'Iran, Cotton Sandstorm, è entrato in scena lanciando tre operazioni di influenza informatica il 21 ottobre. Come in altre occasioni, il gruppo ha utilizzato una rete di sockpuppet di social media per amplificare le operazioni, anche se molte di esse sembravano essere state approntate in fretta e furia, senza reale sforzo per farle passare come israeliane. In diverse occasioni, Cotton Sandstorm ha inviato SMS o email in blocco per amplificare o vantarsi delle sue operazioni, sfruttando account compromessi per aumentare l'autenticità.8

Fase 3: Estensione dell'ambito geografico

A partire dalla fine di novembre, i gruppi iraniani hanno esteso la loro influenza informatica oltre i confini di Israele, includendo i Paesi che l'Iran considera alleati di Israele, molto probabilmente per indebolire il supporto politico, militare o economico internazionale alle operazioni militari di Israele. L’estensione degli obiettivi ha coinciso con l'inizio degli attacchi alle spedizioni internazionali collegate a Israele da parte degli Houthi, un gruppo di militanti sciiti supportato dall'Iran in Yemen (Figura 8).9

  • Il 20 novembre, l'utente tipo informatico guidato dall'Iran "Homeland Justice" ha segnalato imminenti attacchi contro l'Albania prima di amplificare, alla fine di dicembre, cyberattacchi distruttivi da parte del gruppo MOIS contro il Parlamento, la compagnia aerea nazionale e i provider di telecomunicazioni dell'Albania.10
  • Il 21 novembre, l'utente tipo informatico guidato da Cotton Sandstorm "Al-Toufan" ha colpito le organizzazioni pubbliche e finanziarie del Bahrein, accusate di aver normalizzato i rapporti con Israele.
  • Dal 22 novembre, i gruppi affiliati a IRGC hanno iniziato a colpire i controllori logici programmabili (PLC) prodotti da Israele negli Stati Uniti, e possibilmente in Irlanda, riuscendo, il 25 novembre, a interrompere la connessione alla rete di un'autorità del settore idrico in Pennsylvania (Figura 6).11 I PLC sono computer industriali adattati per il controllo dei processi di produzione, come linee di assemblaggio,macchinari e dispositivi robotici.
  • Agli inizi di dicembre, un utente tipo che MTAC reputa sponsorizzato dall'Iran, "Cyber Toufan Al-Aksa", ha dichiarato di aver sottratto alcuni dati da due società americane che finanziano Israele e forniscono attrezzature al suo esercito12Già in precedenza, il 16 novembre, il gruppo aveva rivendicato attacchi di eliminazione dei dati contro queste società.13 A causa della mancanza di prove forensi valide che colleghino il gruppo all'Iran, è possibile che l'utente tipo sia guidato da un partner iraniano che agisce dall’estero con il benestare dell'Iran.

In quest’ultima fase, il livello di sofisticazione delle operazioni di influenza informatica ha continuato ad aumentare. I loro sockpuppet sono stati mascherati rinominandone alcuni e cambiando le relative foto del profilo in modo da farli sembrare più autenticamente israeliani. Nel frattempo, hanno utilizzato nuove tecniche che non abbiamo mai visto prima tra gli attori iraniani, come l'uso dell'IA come componente chiave dei loro messaggi. Riteniamo che in dicembre, Cotton Sandstorm abbia interrotto le trasmissioni televisive negli Emirati Arabi Uniti e in altre località, sotto le spoglie di un utente tipo chiamato "For Humanity." For Humanity ha pubblicato video su Telegram che mostra il gruppo mentre danneggia tre servizi di streaming online e interrompe diversi canali d'informazione con una trasmissione di fake news in cui un conduttore apparentemente generato dall'IA afferma di mostrare immagini di Palestinesi feriti e uccisi dalle operazioni militari israeliane (Figura 7).14 Gli organi di informazione e il pubblico negli Emirati Arabi Uniti, in Canada e nel Regno Unito hanno segnalato interruzioni nelle trasmissioni televisive, tra cui quelle dalle BBC, che coincidevano con le dichiarazioni di For Humanity.15

Le operazioni dell'Iran avevano quattro obiettivi: destabilizzazione, ritorsione, intimidazione e indebolimento del sostegno internazionale per Israele. Questi quattro obiettivi puntavano anche a indebolire gli ambienti informatici di Israele e dei suoi sostenitori per creare confusione generale e mancanza di fiducia.

Destabilizzazione attraverso la polarizzazione 
Il targeting di Israele da parte dell'Iran durante la guerra tra Israele e Hamas si è concentrato in misura crescente sullo sfruttamento dei dissidi interni dovuti all’approccio alla guerra da parte del governo israeliano. Diverse operazioni di influenza iraniane si sono mascherate da gruppi di attivisti israeliani per diffondere messaggi provocatori che criticano l'approccio del governo alla gestione delle persone rapite il 7 ottobre e tenute in ostaggio.17 Netanyahu è stato uno dei principali obiettivi di questi messaggi e le pressioni per una sua rimozione hanno rappresentato un tema comune nelle operazioni di influenza dell'Iran.18
Ritorsione 
Molti dei messaggi e degli obiettivi scelti dall'Iran enfatizzano la natura di rappresaglia delle sue operazioni. Ad esempio, l'utente tipo debitamente nominato Cyber Avengers ha pubblicato un video in cui il Ministro della difesa israeliano afferma che Israele avrebbe tagliato l'elettricità, il cibo, l'acqua e il carburante a Gaza City (Figura 9), dichiarazioni seguite da una serie di attacchi rivendicati da Cyber Avengers contro le infrastrutture per l'elettricità, l'acqua e il carburante.19 Le rivendicazioni degli attacchi al sistema idrico nazionale di Israele di qualche giorno prima includevano il messaggio "Occhio per occhio" e Tasnim News Agency, organo di stampa affiliato a IRGC, ha riferito che il gruppo ha dichiarato che gli attacchi ai sistemi idrici erano una ritorsione per l'assedio a Gaza. 20Un gruppo collegato a MOIS definito come Pink Sandstorm (alias Agrius) ha condotto un attacco hack-and-leak contro un ospedale israeliano alla fine di novembre come ritorsione per il lungo assedio israeliano all'ospedale al-Shifa di Gaza di due settimane prima.21
Intimidazione 
Le operazioni dell'Iran puntano anche a indebolire la sicurezza di Israele e a intimidire i cittadini israeliani e i loro sostenitori diffondendo messaggi minacciosi e convincendo il pubblico target che l’infrastruttura e i sistemi pubblici statali non sono sicuri. Parte dell'intimidazione dell'Iran ha lo scopo di minare la volontà di Israele di portare avanti la guerra, ad esempio con messaggi che tentano di convincere i soldati dell'IDF ad “abbandonare il campo di battaglia e tornare a casa" (Figura 10).22Un utente tipo informatico iraniano, dietro il quale potrebbe celarsi Hamas, ha dichiarato di inviare messaggi di minaccia alle famiglie dei soldati israeliani, aggiungendo che "i soldati dell'IDF (Israel Defense Forces, Forze di difesa di Israele) devono essere consapevoli del fatto che finché le nostre famiglie non saranno al sicuro, non lo saranno nemmeno le loro".23 I sockpuppet che amplificano l'utente tipo di Hamas diffondono messaggi su X in cui sostengono che l'IDF "non è in grado di proteggere i propri soldati" e mostrano al pubblico una serie di messaggi presumibilmente inviati dai soldati dell'IDF che chiedono ad Hamas di risparmiare le loro famiglie.24
Indebolimento del supporto internazionale per Israele 
Le operazioni di influenza dell'Iran rivolte al pubblico internazionale spesso includevano messaggi volti a indebolire il supporto internazionale a Israele evidenziando i danni causati dagli attacchi contro Gaza. Un utente tipo mascherato da gruppo pro-palestinese ha fatto riferimento alle azioni di Israele a Gaza parlando di "genocidio".25 A dicembre, Cotton Sandstorm ha condotto molte operazioni di influenza (sotto il nome di "For Palestinians" e "For Humanity") che richiamavano la comunità internazionale per condannare gli attacchi di Israele su Gaza.26

Per raggiungere i suoi obiettivi nello spazio dell'informazione, l'Iran ha usato molto quattro tattiche, tecniche e procedure (TTP) di influenza negli ultimi nove mesi. Queste TTP includono l'uso di imitazione e funzionalità avanzate per attivare gruppi di pubblico target, oltre a un crescente utilizzo di campagne di messaggi di testo e dei media collegati a IRGC per amplificare le operazioni di influenza.

Imitazione di gruppi di attivisti di Israele e partner iraniani 
I gruppi iraniani hanno utilizzato una vecchia tecnica di imitazione volta a creare caratteri più specifici e convincenti che posano sia come nemici sia come alleati dell’Iran. In passato, varie operazioni e utenti tipo dell'Iran affermavano di essere attivisti a favore della causa palestinese.27 Le recenti operazioni da parte di un utente tipo che riteniamo sia guidato da Cotton Sandstorm si sono spinte oltre, utilizzando il nome e il logo del braccio armato di Hamas, al-Qassam Brigades, per diffondere messaggi fasulli sugli ostaggi imprigionati a Gaza e inviare messaggi di minaccia a cittadini israeliani. Un altro canale Telegram, che ha minacciato il personale dell'IDF e sottratto dati personali e che riteniamo sia stato guidato da un gruppo MOIS, ha utilizzato il logo di al-Qassam Brigades. Non è chiaro se l'Iran stia agendo con il consenso di Hamas.

Analogamente, l'Iran ha creato imitazioni sempre più convincenti di organizzazioni di attivisti israeliane finte a destra e a sinistra dello spettro politico israeliano. Attraverso questi falsi attivisti, l'Iran cerca di infiltrarsi nelle comunità israeliane per ottenere la loro fiducia e seminare discordia.

Spingere gli israeliani a passare all’azione 
In aprile e in novembre, l'Iran è riuscito a reclutare, sulla base di false operazioni, inconsapevoli cittadini israeliani in attività sul campo. Nella recente operazione "Tears of War", gli agenti iraniani sono riusciti a convincere alcuni cittadini israeliani a mostrare striscioni con il marchio Tears of War in quartieri israeliani con un'immagine di Netanyahu apparentemente generata dall'IA e la richiesta della sua rimozione dal ministero (Figura 11).28
Amplificazione tramite testo ed email con maggiore frequenza e sofisticazione 
Mentre le operazioni di influenza iraniane continuano ad affidarsi in larga misura all'amplificazione su social media non autentici coordinati per raggiungere il pubblico target, l'Iran sfrutta in modo crescente i messaggi e le email in blocco per aumentare gli effetti psicologici delle sue operazioni di influenza informatica. L'amplificazione sui social media tramite sockpuppet ha un impatto maggiore di un singolo messaggio mostrato in una cartella di posta in arrivo o su un telefono. Cotton Sandstorm ha utilizzato questa tecnica con successo nell’agosto del 2022,29 inviando messaggi di testo e messaggio di posta elettronica in blocco in almeno sei operazioni. Il crescente utilizzo di questa tecnica suggerisce che il gruppo ha perfezionato le sue capacità e la considera efficace. L'operazione "Cyber Flood" di Cotton Sandstorm a fine ottobre includeva fino a tre insiemi di messaggi di testo e di posta elettronica in blocco inviati a cittadini israeliani, che amplificavano i cyberattacchi rivendicati o distribuivano falsi avvisi di attacchi di Hamas alla centrale nucleare israeliana vicino a Dimona.30 In almeno un caso, è stato sfruttato un account compromesso per aumentare l'autenticità dei messaggi.
Utilizzo di organi di comunicazione nazionali 
L'Iran ha utilizzato organi di comunicazione, alcuni occulti, altri dichiarati, collegati a IRGC per amplificare presunte operazioni informatiche e ingigantire dove possibile i loro effetti. A settembre, dopo che Cyber Avengers ha rivendicato i cyberattacchi contro il sistema ferroviario di Israele, i mezzi di comunicazione collegati a IRGC hanno immediatamente amplificato e ingigantito le sue rivendicazioni. Tasnim News Agency, un organo di stampa collegato a IRGC, ha erroneamente citato la copertura mediatica israeliana di un evento diverso come prova di cyberattacco.31 Questa notizia è stata amplificata in misura ancora maggiore da altri mezzi di comunicazione iraniani e allineati all'Iran in un modo che oscurava ulteriormente la mancanza di prove a supporto delle rivendicazioni del cyberattacco.32
Emergente adozione dell'IA nelle operazioni di influenza 
MTAC ha rilevato attori iraniani che usano immagini e video generati dall'IA dallo scoppio della guerra tra Israele e Hamas. Cotton Sandstorm e Storm-1364, oltre a organi di stampa affiliati ad Hamas e Hezbollah, hanno sfruttato l'IA per aumentare le intimidazioni e produrre immagini che denigrano Netanyahu e la leadership israeliana.
1. Collaborazione promettente 
Dopo qualche settimana dall'inizio della guerra tra Israele e Hamas, abbiamo iniziato a vedere esempi di collaborazione tra gruppi affiliati all'Iran, con un conseguente potenziamento delle attività degli attori. La collaborazione riduce le barriere, consentendo a ogni gruppo di dare il proprio contributo, ed elimina la necessità che un singolo gruppo sviluppi una gamma completa di strumenti o tradecraft.

Riteniamo che due gruppi collegati a MOIS, Storm-0861 e Storm-0842, hanno collaborato a un cyberattacco distruttivo in Israele alla fine di ottobre e poi di nuovo in Albania alla fine di dicembre. In entrambi i casi, probabilmente Storm-0861 ha fornito l'accesso alla rete prima che Storm-0842 eseguisse malware wiper. In modo analogo, Storm-0842 ha eseguito malware wiper contro enti pubblici albanesi nel luglio del 2022 dopo che Storm-0861 ha ottenuto l'accesso.

A ottobre, un altro gruppo collegato a MOIS, Storm-1084, sembra aver ottenuto accesso a un'organizzazione israeliana in cui Storm-0842 ha distribuito il wiper "BiBi", chiamato così perché il malware aveva rinominato i file colpiti dal wiper con la stringa "BiBi." Non è chiaro che ruolo abbia avuto Storm-1084, eventualmente, nell'attacco distruttivo. Storm-1084 ha condotto cyberattacchi distruttivi contro un'altra organizzazione israeliana agli inizi del 2023 con l'aiuto dell'altro gruppo collegato a MOIS, Mango Sandstorm (alias MuddyWater).33

Dall’inizio della guerra, Microsoft Threat Intelligence ha rilevato anche una collaborazione tra un gruppo collegato a MOIS, Pink Sandstorm, e le unità informatiche di Hezbollah. Microsoft ha constatato sovrapposizioni delle infrastrutture e strumenti condivisi. La collaborazione iraniana con Hezbollah nelle operazioni informatiche, anche se utilizzata in precedenza, suggerisce una possibilità preoccupante, ovvero che la guerra possa ulteriormente avvicinare questi gruppi a livello operativo.34Considerato che tutti i cyberattacchi dell'Iran in questa guerra sono stati combinati con operazioni di influenza, esiste la probabilità che in futuro l'Iran migliori le operazioni di influenza e la relativa copertura sfruttando madrelingua arabi per aumentare l'autenticità dei suoi utenti tipo non autentici.

2. Iperconcentrazione su Israele 
L'attenzione degli attori di minacce informatiche iraniani su Israele si è intensificata. L'Iran tiene da tempo sotto controllo Israele, che Teheran considera il principale nemico insieme agli Stati Uniti. Di conseguenza, in base ai dati di Microsoft Threat Intelligence, negli ultimi anni le aziende israeliane e statunitensi sono state quasi sempre i target più comuni dell'Iran. Prima della guerra, gli attori iraniani si sono concentrati prima di tutto su Israele e poi sugli Emirati Arabi Uniti e sugli Stati Uniti. Dopo lo scoppio della guerra, l'attenzione verso Israele è aumentata ancora di più. Il 43% dell'attività informatica stato-nazione iraniana tracciata da Microsoft ha interessato Israele, più del totale degli altri 14 paesi colpiti.

Prevediamo che la minaccia delle operazioni di influenza e informatiche iraniane aumenterà man mano che andrà avanti il conflitto tra Israele e Hamas, soprattutto con il rischio sempre più elevato che la guerra si estenda su altri fronti. Mentre si affrettavano a condurre, o semplicemente costruire, operazioni nei primi giorni della guerra, i gruppi iraniani hanno rallentato le loro operazioni recenti in modo da avere più tempo per ottenere l'accesso desiderato o sviluppare operazioni di influenza più elaborate. Quello che le fasi della guerra illustrate in questo report hanno chiarito è che le operazioni di influenza e informatiche iraniane sono migliorate lentamente, diventando più mirate, collaborative e distruttive.

Gli attori iraniani sono diventati anche sempre più sfrontati nel targeting, cosa particolarmente evidente in un cyberattacco contro un ospedale e testando le linee rosse di Washington apparentemente indifferenti rispetto alle ripercussioni. Gli attacchi di IRGC contro i sistemi di controllo dell'acqua degli Stati Uniti, anche se opportunistici, sembravano una strategia intelligente per mettere alla prova Washington rivendicando la legittimità nell'attacco delle apparecchiature prodotte in Israele.

In vista delle elezioni degli Stati Uniti di novembre del 2024, la maggiore collaborazione tra gruppi iraniani e affiliati all'Iran preannuncia una sfida più grande per chi dovrà occuparsi della difesa delle elezioni. Ai difensori non può più bastare il monitoraggio di qualche gruppo. Al contrario, sempre più agenti di accesso, gruppi di influenza e attori di minacce informatiche formano un ambiente caratterizzato da minacce più complesse e correlate.

Altri dati di esperti sulle operazioni di influenza dell'Iran

Ascolta gli esperti sulle operazioni di influenza informatica iraniane, con particolare attenzione alle azioni dell'Iran correlate alle elezioni presidenziali degli Stati Uniti del 2020 e alla guerra tra Israele e Hamas dal Podcast di Microsoft Threat Intelligence. Verranno approfondite le tattiche usate dagli attori di minacce iraniani, come l'imitazione, il reclutamento della gente del posto e l'utilizzo di email e messaggi di testo per raggiungere più persone. Viene inoltre fornito un contesto per le complessità delle attività informatiche iraniane, le iniziative di collaborazione, l'utilizzo della propaganda, le tattiche creative e le difficoltà relative all'attribuzione delle campagne di influenza.

Articoli correlati

Gli attori di minacce russi sono in trincea, pronti a sfruttare la stanchezza del conflitto 

Le operazioni informatiche e di influenza russe persistono durante la guerra in Ucraina. Microsoft Threat Intelligence descrive in modo dettagliato le minacce informatiche e le attività di influenza degli ultimi sei mesi.

L'Iran si sta rivolgendo a operazioni informatiche di influenza per un maggiore effetto

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni dettagli sulle minacce delle nuove tecniche e dove esiste la possibilità di future minacce.

Le operazioni informatiche e di influenza della guerra nel campo di battaglia digitale dell'Ucraina

Microsoft Threat Intelligence esamina un anno di operazioni informatiche e di influenza in Ucraina, svela nuove tendenze nelle minacce informatiche e cosa aspettarsi mentre la guerra entra nel suo secondo anno.

Segui Microsoft Security