Trace Id is missing

L'Iran intensifica le operazioni informatiche di influenza a sostegno di Hamas

Introduzione

Quando è scoppiata la guerra tra Israele e Hamas il 7 ottobre 2023, l'Iran ha subito intensificato il supporto di Hamas con la sua tecnica, ora perfezionata, di combinare le violazioni mirate con le operazioni di influenza amplificate sui social media, che indichiamo come operazioni informatiche di influenza.1 Le operazioni dell'Iran all'inizio erano reazionarie e opportunistiche. Alla fine di ottobre, quasi tutti i principali attori di minacce informatiche e di influenza dell'Iran hanno concentrato la loro attenzione su Israele in modo sempre più mirato, coordinato e distruttivo, realizzando una campagna "all-hands-on-deck" apparentemente senza limiti contro Israele. A differenza di alcuni dei cyberattacchi precedenti dell'Iran, tutti quelli distruttivi che ha sferrato contro Israele in questa guerra (reali o falsificati) sono stati abbinati a operazioni di influenza online.

Definizione dei termini chiave

  • Operazioni di influenza informatica 
    Operazioni che combinano operazioni di reti di computer offensive con messaggi e amplificazione in modo coordinato e manipolatorio per cambiare le percezioni, i comportamenti o le decisioni dei target allo scopo di promuovere gli interessi e gli obiettivi di un gruppo o una nazione.
  • Utente tipo informatico 
    Una persona o un gruppo di persone per Internet costruite che si assumono la responsabilità di un'operazione informatica mentre forniscono negabilità plausibile per il gruppo o la nazione sottostante responsabile.
  • Sockpuppet 
    Un utente tipo online falso che usa identità finte o rubate per svolgere attività ingannevoli.

Le operazioni di influenza sono sempre più sofisticate e non autentiche, distribuendo reti di "sockpuppet" sui social media durante il conflitto. Durante la guerra, queste operazioni di influenza hanno cercato di intimidire gli israeliani criticando la gestione degli ostaggi e delle operazioni militari da parte del governo di Israele per polarizzare e quindi destabilizzare Israele.

Alla fine, l'Iran ha condotto cyberattacchi e operazioni di influenza contro i partner economici e gli alleati politici di Israele per indebolire il supporto alle operazioni militari israeliane.

Prevediamo che la minaccia creata dalle operazioni di influenza e informatiche iraniane aumenterà man mano che andrà avanti il conflitto, soprattutto con il rischio sempre più elevato che la guerra si estenda. L'aumentata sfrontatezza degli attori iraniani e affiliati all'Iran, unita alla promettente collaborazione tra di loro, preannuncia una crescente minaccia in vista delle elezioni di novembre degli Stati Uniti.

Le operazioni di influenza e informatiche dell'Iran sono proseguite in più fasi dall'attacco terroristico di Hamas del 7 ottobre. Un elemento di tali operazioni è rimasto costante: la combinazione del targeting informatico opportunistico con operazioni di influenza che spesso incidono negativamente sulla precisione o portata dell'impatto.

Questo report riguarda l'influenza e le operazioni di influenza informatiche iraniane dal 7 ottobre fino alla fine del 2023, illustrando tendenze e operazioni risalenti alla primavera del 2023.

Grafico che rappresenta le fasi delle operazioni di influenza informatiche dell'Iran nella guerra tra Israele e Hamas

Fase 1: Operazioni reattive e fuorvianti

I gruppi iraniani sono stati reattivi nella fase iniziale della guerra tra Israele e Hamas. I media statali iraniani hanno pubblicato dettagli fuorvianti dei cyberattacchi rivendicati e i gruppi iraniani hanno riutilizzato vecchi materiali di operazioni storiche, hanno convertito l'accesso che avevano prima della guerra e hanno ingigantito la portata e l'impatto generali dei cyberattacchi rivendicati.

Dopo quasi quattro mesi di guerra, Microsoft non ha ancora trovato prove certe del fatto che i gruppi iraniani abbiano coordinato le loro operazioni informatiche o di influenza con i piani di Hamas per attaccare Israele il 7 ottobre. Piuttosto, la maggioranza dei nostri dati e dei risultati delle nostre ricerche suggerisce che gli attori di minacce informatiche iraniani siano stati reattivi, intensificando rapidamente le loro operazioni informatiche e di influenza dopo gli attacchi di Hamas contro Israele.

Dettagli fuorvianti sugli attacchi rivendicati nei media statali: 
Il giorno che è scoppiata la guerra, Tasnim News Agency, un organo di stampa iraniano affiliato al Corpo delle guardie della rivoluzione islamica (Islamic Revolutionary Guard Corps, IRGC), ha falsamente dichiarato che un gruppo denominato "Cyber Avengers" ha condotto cyberattacchi contro una centrale elettrica israeliana "contemporaneamente" agli attacchi di Hamas. 2 Cyber Avengers, un utente tipo informatico guidato da IRGC, effettivamente ha sostenuto di aver condotto un cyberattacco contro una società elettrica israeliana la sera prima dell'incursione di Hamas.3 La prova: notizie della stampa che parlavano da settimane di interruzioni di corrente "negli ultimi anni" e uno screenshot di una vecchia interruzione del servizio sul sito Web della società. 4
Riutilizzo di vecchi materiali: 
Dopo gli attacchi di Hamas contro Israele, Cyber Avengers ha dichiarato di condurre una serie di cyberattacchi ai danni di Israele, il primo dei quali si è rivelato falso secondo le nostre indagini. L'8 ottobre ha affermato di aver fatto trapelare dei documenti di una centrale elettrica israeliana, ma quei documenti erano stati precedentemente pubblicati a giugno nel 2022 da un altro utente tipo informatico guidato da IRGC, "Moses Staff".5
Conversione dell'accesso: 
"Malek Team", un altro utente tipo informatico che riteniamo sia gestito dal Ministero delle informazioni e della sicurezza nazionale (Ministry of Intelligence and Security, MOIS) dell'Iran, l'8 ottobre ha fatto trapelare dati personali da un'università israeliana senza alcun collegamento chiaro con l'inasprirsi del conflitto, suggerendo che il target fosse opportunistico e forse scelto in base a un accesso esistente prima dello scoppio della guerra. Anziché stabilire collegamenti tra i dati sottratti e il supporto per le operazioni di Hamas, Malek Team all'inizio ha usato gli hashtag su X (in precedenza Twitter) per sostenere Hamas, e solo diversi giorni dopo ha cambiato i propri messaggi per allinearsi al tipo di propaganda denigratoria contro il Primo Ministro israeliano Benjamin Netanyahu riscontrata in altre operazioni di influenza iraniane.
Grafico sull'utilizzo della propaganda iraniana a livello mondiale con tempistiche e proporzione del traffico
Figura 2: Microsoft Threat Intelligence - Utilizzo della propaganda iraniana per paese, attacchi di Hamas contro Israele. Grafico che mostra l'attività da aprile a dicembre del 2023.
Le operazioni di influenza dell'Iran sono state più efficaci durante i primi giorni della guerra 
La copertura dei media affiliati allo stato iraniano è aumentata dopo lo scoppio della guerra tra Israele e Hamas. Nella prima settimana del conflitto, abbiamo constatato un aumento del 42% nell'Iranian Propaganda Index di AI for Good Lab di Microsoft, che monitora l'utilizzo delle notizie degli organi di stampa statali e affiliati allo stato dell'Iran (Figura 1). L'indice misura la proporzione del traffico di utenti che visitano questi siti rispetto al traffico generale su Internet. Questo aumento è stato particolarmente notevole nei paesi anglofoni alleati degli Stati Uniti (Figura 2), cosa che evidenzia la capacità dell'Iran di raggiungere il pubblico occidentale con i suoi servizi giornalistici sui conflitti del Medio Oriente. A un mese dall'inizio della guerra, la copertura di queste fonti iraniane è rimasta il 28-29% al di sopra dei livelli precedenti al conflitto a livello globale.
L'influenza dell'Iran senza cyberattacchi evidenzia una certa agilità 
Le operazioni di influenza dell'Iran risultavano più agili ed efficaci agli inizi della guerra rispetto alle sue operazioni di influenza informatica combinate delle fasi successive del conflitto. A pochi giorni dall'attacco di Hamas contro Israele, un attore di stato probabilmente iraniano che abbiamo tracciato come Storm-1364 ha lanciato un'operazione di influenza usando un utente tipo online chiamato "Tears of War", che fingeva di essere un gruppo di attivisti israeliani per diffondere messaggi contro Netanyahu tra il pubblico israeliano attraverso molte piattaforme di messaggistica e social media. La velocità con cui Storm-1364 ha lanciato questa campagna dopo gli attacchi del 7 ottobre evidenzia l'agilità di questo gruppo e sottolinea i vantaggi delle campagne solo di influenza, che possono essere più veloci da creare perché non richiedono di aspettare l'attività informatica di un'operazione di influenza informatica.

Fase 2: All-hands-on-deck

Da metà ottobre a fine ottobre, sempre più gruppi iraniani hanno spostato la loro attenzione su Israele, e le operazioni di influenza informatica iraniane sono passate dall'essere reattive, costruite (o entrambe) a includere cyberattacchi distruttivi e sviluppare target di interesse per le operazioni. Questi attacchi includevano l'eliminazione dei dati, ransomware e, apparentemente, modificavano un dispositivo IoT (Internet delle cose).6 Abbiamo inoltre constatato un maggiore coordinamento tra i gruppi iraniani.

Nella prima settimana della guerra, Microsoft Threat Intelligence ha tracciato nove gruppi iraniani attivi nel targeting di Israele; i gruppi sono diventati 14 il quindicesimo giorno. In alcuni casi, abbiamo riscontrato che più gruppi IRGC o MOIS colpivano la stessa organizzazione o base militare con attività informatica o di influenza, suggerendo coordinamento, obiettivi comuni a Teheran o entrambe le cose.

Si sono intensificate anche le operazioni di influenza informatica. Abbiamo osservato quattro operazioni di influenza informatica implementate in modo avventato contro Israele la prima settimana di guerra. Alla fine di ottobre, tali operazioni si sono più che raddoppiate, segnando una notevole accelerazione di queste operazioni con il ritmo più veloce finora (Figura 4).

Illustrazione: Il nesso tra operazioni di influenza e informatiche dell'Iran, con simboli, intelligence sulle minacce e Revolutionary Guard Corps
Tempistiche delle operazioni di influenza informatica dell'Iran: aumento durante la guerra di Hamas, 2021-2023

Il 18 ottobre, il gruppo Shahid Kaveh di IRGC, che Microsoft traccia come Storm-0784, ha usato ransomware personalizzato per condurre cyberattacchi contro le telecamere di sicurezza in Israele. Poi ha utilizzato uno dei suoi utenti tipo informatici, "Soldiers of Solomon" per dichiarare falsamente che aveva chiesto un riscatto in cambio delle telecamere di sicurezza e dei dati presso la base aerea di Nevatim. Dall'esame dei video di sicurezza rubati da Soldiers of Solomon è emerso che l'attacco proveniva da un villaggio a nord di Tel Aviv con una strada intitolata Nevatim, non dall'omonima base aerea. Infatti, l'analisi delle posizioni delle vittime ha rivelato che nessuno si trovava vicino alla base militare (Figura 5). Mentre i gruppi iraniani avevano iniziato a sferrare attacchi distruttivi, le loro operazioni rimanevano ampiamente opportunistiche e continuavano a sfruttare attività di influenza per ingigantire la precisione o l'effetto degli attacchi.

Il 21 ottobre, un altro utente tipo informatico guidato dal gruppo di IRGC Cotton Sandstorm (comunemente noto come Emennet Pasargad) ha condiviso un video degli aggressori che deturpavano pannelli digitali nelle sinagoghe con messaggi che si riferivano alle operazioni di Israele a Gaza parlando di "genocidio". 7 Ciò ha caratterizzato un metodo di inserimento di messaggi direttamente nei cyberattacchi contro un target relativamente delicato.

Durante questa fase, l'attività di influenza dell'Iran si è servita di forme più estese e sofisticate di amplificazione non autentica. Nelle prime due settimane della guerra, abbiamo rilevato piccole forme avanzate di amplificazione non autentica, cosa che conferma ulteriormente che le operazioni erano reattive. Nella terza settimana della guerra, l'attore di influenza più prolifico dell'Iran, Cotton Sandstorm, è entrato in scena lanciando tre operazioni di influenza informatica il 21 ottobre. Come vediamo spesso dal gruppo, ha usato una rete di sockpuppet di social media per amplificare le operazioni, anche se molte di essere sembravano convertite in modo avventato senza coperture autentiche che le mascheravano da israeliane. In molte occasioni, Cotton Sandstorm ha inviato SMS o email in blocco per amplificare o vantarsi delle sue operazioni, sfruttando account compromessi per aumentare l'autenticità.8

Rivendicazioni di cyberattacchi dell'Iran smascherate: ransomware e video CCTV falsi, operazioni di influenza fuorvianti esposte

Fase 3: estensione dell'ambito geografico

Da fine novembre, i gruppi iraniani hanno esteso la loro influenza informatica oltre i confini di Israele, per includere paesi che l'Iran considera alleati di Israele, molto probabilmente per indebolire il supporto politico, militare o economico internazionale per le operazioni militari di Israele. Questa espansione nel targeting ha coinciso con l'inizio degli attacchi alle spedizioni internazionali collegate a Israele da parte degli Houthi, un gruppo di militanti sciiti supportato dall'Iran in Yemen (Figura 8).9

  • Il 20 novembre, l'utente tipo informatico guidato dall'Iran "Homeland Justice" ha segnalato imminenti attacchi contro l'Albania prima di amplificare cyberattacchi distruttivi da parte dei gruppo MOIS a fine dicembre contro il Parlamento, la compagnia aerea nazionale e i provider di telecomunicazioni dell'Albania.10
  • Il 21 novembre, l'utente tipo informatico guidato da Cotton Sandstorm "Al-Toufan" ha colpito le organizzazioni pubbliche e finanziarie del Bahrein per normalizzare i legami con Israele.
  • Dal 22 novembre, i gruppi affiliati a IRGC hanno iniziato a colpire i controllori logici programmabili (PLC) prodotti da Israele negli Stati Uniti, e verosimilmente in Irlanda, rendendone uno offline in un'autorità del settore idrico in Pennsylvania il 25 novembre (Figura 6).11 I PLC sono computer industriali adattati per il controllo dei processi di produzione, come le linee di assemblaggio, i macchinari e i dispositivi robotici.
  • Agli inizi di dicembre, un utente tipo che MTAC ritiene sia sponsorizzato dall'Iran, "Cyber Toufan Al-Aksa", ha dichiarato di aver rubato dei dati da due società americane che finanziano Israele e forniscono attrezzature per il suo esercito.12 In precedenza aveva rivendicato attacchi di eliminazione dei dati contro le società il 16 novembre.13 A causa della mancanza di prove forensi valide che colleghino il gruppo all'Iran, è possibile che l'utente tipo sia guidato da un partner iraniano fuori dal paese con un coinvolgimento dell'Iran.
PLC compromesso presso un'autorità del settore idrico in Pennsylvania con logo Cyber Avengers, 25 novembre

Le operazioni di influenza informatica dell'Iran hanno continuato ad aumentare il livello di sofisticazione in questa ultima fase. I loro sockpuppet sono stati mascherati rinominandone alcuni e cambiando le relative foto del profilo in modo da farli sembrare più autenticamente israeliani. Nel frattempo, hanno utilizzato nuove tecniche che non abbiamo mai visto prima tra gli attori iraniani, come l'uso dell'IA come componente chiave dei loro messaggi. Riteniamo che Cotton Sandstorm abbia interrotto le trasmissioni televisive negli Emirati Arabi Uniti e in altre località a dicembre, sotto le spoglie di un utente tipo chiamato "For Humanity". For Humanity ha pubblicato video su Telegram che mostrano il gruppo che viola tre servizi di streaming online e interrompe diversi canali d'informazione con una trasmissione di fake news con un conduttore apparentemente generato dall'IA che diceva di mostrare immagini di Palestinesi feriti e uccisi dalle operazioni militari israeliane (Figura 7).14 Gli organi di informazione e il pubblico negli Emirati Arabi Uniti, in Canada e nel Regno Unito hanno segnalato interruzioni nelle trasmissioni televisive, tra cui quelle dalle BBC, che coincidevano con le dichiarazioni di For Humanity.15

HUMANITY 2023: 8 ottobre, 180 morti, 347 feriti. Figura 7: Interruzione delle trasmissioni televisive con un conduttore generato dall'IA
L'Iran espande il targeting ai sostenitori di Israele, i cyberattacchi, gli avvisi e le attività di deturpazione.

Le operazioni dell'Iran avevano quattro obiettivi: destabilizzazione, ritorsione, intimidazione e indebolimento del sostegno internazionale per Israele. Questi quattro obiettivi puntavano anche a indebolire gli ambienti informatici di Israele e dei suoi sostenitori per creare confusione generale e mancanza di fiducia.

Destabilizzazione attraverso la polarizzazione 
Il targeting di Israele da parte dell'Iran durante la guerra tra Israele e Hamas si è concentrato sempre di più sull'alimentare il conflitto nazionale nell'approccio militare del governo israeliano. Molte operazioni di influenza iraniane si sono mascherate da gruppi di attivisti israeliani per diffondere messaggi provocatori che criticano l'approccio del governo per la gestione delle persone rapite e tenute in ostaggio il 7 ottobre.17 Netanyahu è stato un target principale di tali messaggi e le richieste della sua rimozione sono state un tema comune nelle operazioni di influenza dell'Iran.18
AVENGERS - Niente elettricità, cibo, acqua, carburante. Cyber Avengers reposta un video del blocco di Israele
Ritorsione 
Molti dei messaggi e dei target scelti dall'Iran enfatizzano la natura di rappresaglia delle sue operazioni. Ad esempio, l'utente tipo debitamente nominato Cyber Avengers ha pubblicato un video che mostra il Ministro della difesa israeliano che afferma che Israele avrebbe tagliato l'elettricità, il cibo, l'acqua e il carburante a Gaza City (Figura 9), dichiarazioni seguite da una serie di attacchi rivendicati da Cyber Avengers contro le infrastrutture per l'elettricità, l'acqua e il carburante.19 Le sue precedenti rivendicazioni degli attacchi al sistema idrico nazionale di Israele di qualche giorno prima includevano il messaggio "Occhio per occhio" e Tasnim News Agency, organo di stampa affiliato a IRGC, ha riferito che il gruppo ha dichiarato che gli attacchi ai sistemi idrici erano una ritorsione per l'assedio di Gaza.20 Un gruppo collegato a MOIS che tracciamo come Pink Sandstorm (alias Agrius) ha condotto un attacco hack-and-leak contro un ospedale israeliano a fine novembre come ritorsione per il lungo assedio israeliano dell'Ospedale al-Shifa a Gaza due settimane prima.21
Intimidazione 
Le operazioni dell'Iran puntano anche a indebolire la sicurezza di Israele e a intimidire i cittadini israeliani e i loro sostenitori diffondendo messaggi minacciosi e convincendo il pubblico target che i sistemi pubblici e delle infrastrutture del loro stato non sono sicuri. Una parte dell'intimidazione dell'Iran ha lo scopo di minare la volontà di Israele di portare avanti la guerra, ad esempio con messaggi che tentano di convincere i soldati dell'IDF che dovrebbero "lasciare il campo di battaglia e tornare a casa" (Figura 10).22 Un utente tipo informatico iraniano, dietro il quale potrebbe celarsi Hamas, ha dichiarato di inviare messaggi minacciosi alle famiglie dei soldati israeliani, aggiungendo che "i soldati dell'IDF (Israel Defense Forces, Forze di difesa di Israele) devono essere consapevoli del fatto che finché le nostre famiglie non saranno al sicuro, non lo saranno nemmeno le loro".23 I sockpuppet che amplificano l'utente tipo di Hamas diffondevano messaggi su X in cui sostengono che l'IDF "non ha alcun potere per proteggere i propri soldati" e mostravano al pubblico una serie di messaggi presumibilmente inviati dai soldati dell'IDF che chiedevano ad Hamas di risparmiare le loro famiglie.24
Messaggio minaccioso di un sockpuppet presumibilmente guidato da Cotton Sandstorm, che parla dell'accesso ai dati personali e incoraggia ad abbandonare il campo di battaglia.
Indebolimento del supporto internazionale per Israele 
Le operazioni di influenza dell'Iran rivolte al pubblico internazionale spesso includevano messaggi per indebolire il supporto internazionale per Israele evidenziando i danni causati dagli attacchi di Israele contro Gaza. Un utente tipo mascherato da gruppo pro-palestinese ha fatto riferimento alle azioni di Israele a Gaza parlando di "genocidio".25 A dicembre, Cotton Sandstorm ha condotto molte operazioni di influenza (sotto il nome di "For Palestinians" e "For Humanity") che richiamavano la comunità internazionale per condannare gli attacchi di Israele su Gaza.26

Per raggiungere i suoi obiettivi nello spazio dell'informazione, l'Iran ha usato molto quattro tattiche, tecniche e procedure (TTP) di influenza negli ultimi nove mesi. Queste TTP includono l'uso di imitazione e funzionalità avanzate per attivare gruppi di pubblico target, oltre a un crescente utilizzo di campagne di messaggi di testo e dei media collegati a IRGC per amplificare le operazioni di influenza.

Imitazione di gruppi di attivisti di Israele e partner iraniani 
I gruppi iraniani hanno usato una tecnica di imitazione di lunga data sviluppando utenti tipo più specifici e convincenti che si mascherano sia da alleati che da nemici dell'Iran. Molte operazioni e molti utenti tipo vecchi dell'Iran hanno affermato di essere attivisti a favore della causa palestinese.27 Le operazioni recenti da parte di un utente tipo che riteniamo sia guidato da Cotton Sandstorm sono andate avanti, usando il nome e il logo del braccio armato di Hamas, al-Qassam Brigades, per diffondere falsi messaggi sugli ostaggi tenuti a Gaza e inviare messaggi minacciosi israeliani. Anche un altro canale Telegram che ha minacciato il personale dell'IDF e ha rubato i suoi dati personali, che riteniamo sia stato guidato da un gruppo MOIS, ha usato il logo di al-Qassam Brigades. Non è chiaro se l'Iran stia agendo con il consenso di Hamas.

Analogamente, l'Iran ha creato imitazioni sempre più convincenti di organizzazioni di attivisti israeliane finte a destra e a sinistra dello spettro politico israeliano. Attraverso questi falsi attivisti, l'Iran cerca di infiltrarsi nelle comunità israeliane per ottenere la loro fiducia e seminare discordia.

Far passare all'azione gli israeliani 
Ad aprile e novembre, l'Iran ha raggiunto innumerevoli traguardi nel reclutare israeliani inconsapevoli per attività sul campo promuovendo le sue false operazioni. In un'operazione recente, "Tears of War", gli agenti iraniani sono riusciti a convincere spesso gli israeliani a mostrare striscioni con il marchio Tears of War nei quartieri israeliani con un'immagine di Netanyahu apparentemente generata dall'IA e la richiesta della sua rimozione dal ministero (Figura 11).28
Amplificazione tramite testo ed email con maggiore frequenza e sofisticazione 
Mentre le operazioni di influenza iraniane continuano ad affidarsi molto all'amplificazione sui social media non autentici coordinati per raggiungere il pubblico target, l'Iran sfrutta sempre di più i messaggi e le email in blocco per aumentare gli effetti psicologici delle sue operazioni di influenza informatica. L'amplificazione sui social media tramite sockpuppet non ha lo stesso impatto di un singolo messaggio mostrato in una cartella di posta in arrivo o su un telefono. Cotton Sandstorm ha realizzato i suoi obiettivi in passato con questa tecnica nel 2022,29 inviando messaggi di testo, email o entrambi in blocco in almeno sei operazioni da agosto. Il maggiore utilizzo di questa tecnica suggerisce che il gruppo ha perfezionato le sue capacità e la considera efficace. L'operazione "Cyber Flood" di Cotton Sandstorm a fine ottobre includeva fino a tre insiemi di messaggi di testo ed email in blocco per gli israeliani che amplificavano i cyberattacchi rivendicati o distribuivano falsi avvisi di attacchi di Hamas alla centrale nucleare di Israele vicino Dimona.30 In almeno un caso, è stato sfruttato un account compromesso per aumentare l'autenticità delle email.
Figura 11: Striscione di Tears of War in Israele con immagine di Netanyahu generata con l'IA, testo "impeachment subito.
Utilizzo di media statali 
L'Iran ha usato organi di stampa collegati a IRGC occulti e dichiarati per amplificare presunte operazioni informatiche e a volte ingigantire i loro effetti. A settembre, dopo che Cyber Avengers ha rivendicato i cyberattacchi contro il sistema ferroviario di Israele, i media collegati a IRGC hanno amplificato e ingigantito le sue rivendicazioni quasi immediatamente. Tasnim News Agency, organo di stampa collegato a IRGC, ha erroneamente citato la copertura mediatica israeliana di un evento diverso come prova che si era verificato il cyberattacco.31 Questa notizia è stata amplificata ancora di più da altri media iraniani e allineati all'Iran in un modo che oscurava ulteriormente la mancanza di prove a supporto delle rivendicazioni del cyberattacco.32
Adozione dell'IA emergente per operazioni di influenza 
MTAC ha rilevato attori iraniani che usano immagini e video generati dall'IA dallo scoppio della guerra tra Israele e Hamas. Cotton Sandstorm e Storm-1364, oltre a organi di stampa affiliati ad Hamas e Hezbollah, hanno sfruttato l'IA per migliorare le intimidazioni e sviluppare immagini che denigrano Netanyahu e la leadership israeliana.
Figura 12: Operazioni di influenza di Cotton Sandstorm di agosto-dicembre 2023, con vari metodi e attività.
1. Collaborazione promettente 
Dopo qualche settimana dall'inizio della guerra tra Israele e Hamas, abbiamo iniziato a vedere esempi di collaborazione tra gruppi affiliati all'Iran, con un conseguente potenziamento delle attività degli attori. La collaborazione riduce le barriere, consentendo a ogni gruppo di dare il proprio contributo, ed elimina la necessità che un singolo gruppo sviluppi una gamma completa di strumenti o tradecraft.

Riteniamo che due gruppi collegati a MOIS, Storm-0861 e Storm-0842, hanno collaborato a un cyberattacco distruttivo in Israele alla fine di ottobre e poi di nuovo in Albania alla fine di dicembre. In entrambi i casi, probabilmente Storm-0861 ha fornito l'accesso alla rete prima che Storm-0842 eseguisse malware wiper. Analogamente, Storm-0842 ha eseguito malware wiper contro enti pubblici albanesi a luglio del 2022 dopo che Storm-0861 ha ottenuto l'accesso.

A ottobre, anche un altro gruppo collegato a MOIS, Storm-1084, può avere avuto accesso a un'organizzazione in Israele dove Storm-0842 ha distribuito il wiper "BiBi", chiamato così perché il malware aveva rinominato i file colpiti dal wiper con la stringa "BiBi". Non è chiaro che ruolo abbia avuto Storm-1084, eventualmente, nell'attacco distruttivo. Storm-1084 ha condotto cyberattacchi distruttivi contro un'altra organizzazione israeliana agli inizi del 2023 con l'aiuto dell'altro gruppo collegato a MOIS Mango Sandstorm (alias MuddyWater).33

Dallo scoppio della guerra, Microsoft Threat Intelligence ha rilevato anche una collaborazione tra un gruppo collegato a MOIS, Pink Sandstorm, e le unità informatiche di Hezbollah. Microsoft ha constatato sovrapposizioni delle infrastrutture e strumenti condivisi. La collaborazione iraniana con Hezbollah sulle operazioni informatiche, anche se con precedenti, suggerisce uno sviluppo preoccupante, ovvero che la guerra potrebbe far avvicinare ancora di più questi gruppi a livello operativo.34 I cyberattacchi dell'Iran in questa guerra sono stati tutti combinati con operazioni di influenza, ma esiste un'ulteriore probabilità che l'Iran migliori le sue operazioni di influenza e la relativa copertura sfruttando madrelingua arabi per aumentare l'autenticità dei suoi utenti tipo non autentici.

2. Iperconcentrazione su Israele 
L'attenzione degli attori di minacce informatiche iraniani su Israele si è intensificata. L'Iran tiene da tempo sotto controllo Israele, che Teheran considera il principale nemico insieme agli Stati Uniti. Di conseguenza, in base ai dati di Microsoft Threat Intelligence, negli ultimi anni le aziende israeliane e statunitensi sono state quasi sempre i target più comuni dell'Iran. Prima della guerra, gli attori iraniani si sono concentrati prima di tutto su Israele e poi sugli Emirati Arabi Uniti e sugli Stati Uniti. Dopo lo scoppio della guerra, l'attenzione verso Israele è aumentata ancora di più. Il 43% dell'attività informatica stato-nazione iraniana tracciata da Microsoft ha interessato Israele, più del totale degli altri 14 paesi colpiti.
Ripartizione percentuale dei dati di Threat Intelligence di Mogult per paese e targeting iraniano prima della guerra e 75 giorni dopo l'inizio del conflitto

Prevediamo che la minaccia delle operazioni di influenza e informatiche iraniane aumenterà man mano che andrà avanti il conflitto tra Israele e Hamas, soprattutto con il rischio sempre più elevato che la guerra si estenda su altri fronti. Mentre si affrettavano a condurre, o semplicemente costruire, operazioni nei primi giorni della guerra, i gruppi iraniani hanno rallentato le loro operazioni recenti in modo da avere più tempo per ottenere l'accesso desiderato o sviluppare operazioni di influenza più elaborate. Quello che le fasi della guerra illustrate in questo report hanno chiarito è che le operazioni di influenza e informatiche iraniane sono migliorate lentamente, diventando più mirate, collaborative e distruttive.

Gli attori iraniani sono diventati anche sempre più sfrontati nel targeting, cosa particolarmente evidente in un cyberattacco contro un ospedale e testando le linee rosse di Washington apparentemente indifferenti rispetto alle ripercussioni. Gli attacchi di IRGC contro i sistemi di controllo dell'acqua degli Stati Uniti, anche se opportunistici, sembravano una strategia intelligente per mettere alla prova Washington rivendicando la legittimità nell'attacco delle apparecchiature prodotte in Israele.

In vista delle elezioni degli Stati Uniti di novembre del 2024, la maggiore collaborazione tra gruppi iraniani e affiliati all'Iran preannuncia una sfida più grande per chi dovrà occuparsi della difesa delle elezioni. Ai difensori non può più bastare il monitoraggio di qualche gruppo. Al contrario, sempre più agenti di accesso, gruppi di influenza e attori di minacce informatiche formano un ambiente caratterizzato da minacce più complesse e correlate.

Altri dati di esperti sulle operazioni di influenza dell'Iran

Ascolta gli esperti sulle operazioni di influenza informatica iraniane, con particolare attenzione alle azioni dell'Iran correlate alle elezioni presidenziali degli Stati Uniti del 2020 e alla guerra tra Israele e Hamas dal Podcast di Microsoft Threat Intelligence. Verranno approfondite le tattiche usate dagli attori di minacce iraniani, come l'imitazione, il reclutamento della gente del posto e l'utilizzo di email e messaggi di testo per raggiungere più persone. Viene inoltre fornito un contesto per le complessità delle attività informatiche iraniane, le iniziative di collaborazione, l'utilizzo della propaganda, le tattiche creative e le difficoltà relative all'attribuzione delle campagne di influenza.

Articoli correlati

Gli attori di minacce russi sono in trincea, pronti a sfruttare la stanchezza del conflitto 

Le operazioni informatiche e di influenza russe persistono durante la guerra in Ucraina. Microsoft Threat Intelligence descrive in modo dettagliato le minacce informatiche e le attività di influenza degli ultimi sei mesi.

L'Iran si sta rivolgendo a operazioni informatiche di influenza per un maggiore effetto

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni dettagli sulle minacce delle nuove tecniche e dove esiste la possibilità di future minacce.

Le operazioni informatiche e di influenza della guerra nel campo di battaglia digitale dell'Ucraina

Microsoft Threat Intelligence esamina un anno di operazioni informatiche e di influenza in Ucraina, svela nuove tendenze nelle minacce informatiche e cosa aspettarsi mentre la guerra entra nel suo secondo anno.