Trace Id is missing
Pereiti prie pagrindinio turinio
Sauga iš vidinės perspektyvos

Iranas stiprina kibernetinės įtakos operacijas, kuriomis remiamas „Hamas“

Atsisiųsti
Bendrinti

Įvadas

2023 m. spalio 7 d. prasidėjus Izraelio ir „Hamas“ karui, Iranas nedelsdamas padidino paramą „Hamas“, pasitelkdamas dabar jau gerai ištobulintą metodą, kai tikslingus įsilaužimus derina su įtakos operacijomis, sustiprintomis socialiniuose tiksluose (tai vadiname kibernetinėmis įtakos operacijomis).1 Irano operacijos iš pradžių buvo reaktyvios ir oportunistinės. Spalio pabaigoje beveik visi Irano įtakos ir pagrindiniai kibernetiniai veikėjai tikslingiau, labiau koordinuotai ir destruktyviai susitelkė į Izraelį, todėl atrodė, kad prieš Izraelį vykdoma didžiulio masto kampanija. Skirtingai nuo kai kurių ankstesnių Irano kibernetinių atakų, šiame kare visos jo destruktyvios kibernetinės atakos prieš Izraelį – tikros ar išgalvotos – buvo papildytos įtakos operacijomis internete.

Pagrindinių sąvokų apibrėžimai

  • Kibernetinės įtakos operacijos 
    Operacijos, kuriose derinamos puolamosios kompiuterių tinklo operacijos su pranešimų siuntimu ir platinimu koordinuotai ir manipuliatyviai, siekiant pakeisti tikslinės auditorijos suvokimą, elgseną ar sprendimus, kad būtų įgyvendinti grupės ar valstybės interesai ir tikslai.
  • Kibernetinė persona 
    Išgalvota viešai prisistatanti grupė ar asmuo, kuris prisiima atsakomybę už kibernetinę operaciją, tuo pat metu tikėtinai paneigdamas pagrindinę atsakingą grupę ar valstybę.
  • Marionetė 
    Netikra internetinė persona, naudojanti išgalvotas arba pavogtas tapatybes apgaulės tikslais.

Įtakos operacijos darėsi vis sudėtingesnės ir melagingesnės, o karui įsibėgėjant buvo pasitelkti socialinių tinklų marionečių tinklai. Per karą šiomis įtakos operacijomis buvo siekiama įbauginti izraeliečius, kritikuojant Izraelio vyriausybės elgesį su įkaitais ir karines operacijas, siekiant supriešinti ir galiausiai destabilizuoti Izraelį.

Galiausiai Iranas ėmėsi kibernetinių atakų ir įtakos operacijų prieš Izraelio politinius sąjungininkus ir ekonominius partnerius, kad susilpnintų paramą Izraelio karinėms operacijoms.

Manome, kad Irano kibernetinių ir įtakos operacijų keliama grėsmė didės, nes konfliktas tęsiasi, ypač didėjant karo išsiplėtimo galimybei. Didėjantis Irano ir su Iranu susijusių veikėjų įžūlumas ir stiprėjantis jų bendradarbiavimas rodo, kad prieš lapkritį vyksiančius JAV rinkimus grėsmė didėja.

Nuo spalio 7 d. „Hamas“ teroristinio išpuolio Irano kibernetinės ir įtakos operacijos perėjo kelis etapus. Vienas jų operacijų elementas per visą laiką išliko pastovus: oportunistiniai kibernetiniai taikiniai derinami su įtakos operacijomis, kurios dažnai klaidina dėl poveikio tikslumo ar masto.

Šioje ataskaitoje daugiausia dėmesio skiriama Irano įtakos ir kibernetinės įtakos operacijoms nuo spalio 7 d. iki 2023 m. pabaigos, kartu apžvelgiant tendencijas ir operacijas nuo 2023 m. pavasario.

Diagrama, kurioje pavaizduoti Irano kibernetinės įtakos operacijų Izraelio ir „Hamas“ kare etapai

1 etapas. Reaktyvus ir klaidinantis

Irano grupuotės buvo neiniciatyvios pradiniame Izraelio ir „Hamas“ karo etape. Irano valstybinė žiniasklaida paskelbė klaidinančią informaciją apie tariamas kibernetines atakas, o Irano grupės pakartotinai panaudojo seną ankstesnių operacijų medžiagą, pasinaudojo prieš karą turėta prieiga ir išpūtė bendrą tariamų kibernetinių atakų mastą ir poveikį.

Praėjus beveik keturiems karo mėnesiams, „Microsoft“ vis dar neturi aiškių įrodymų, kad Irano grupuotės būtų koordinavusios savo kibernetines ar įtakos operacijas su „Hamas“ planais spalio 7 d. pulti Izraelį. Dauguma mūsų duomenų ir išvadų rodo, kad Irano kibernetiniai veikėjai veikiau reagavo ir po „Hamas“ išpuolių, siekdami pasipriešinti Izraeliui, greitai išplėtė savo kibernetines ir įtakos operacijas.

Valstybinėje žiniasklaidoje pateikiama klaidinanti informacija apie tariamus išpuolius: 
Tą dieną, kai prasidėjo karas, Irano naujienų agentūra „Tasnim News Agency“, susijusi su Islamo revoliucijos gvardijos korpusu (IRGC), melagingai teigė, kad grupuotė, pasivadinusi „Cyber Avengers“, vykdė kibernetines atakas prieš Izraelio elektrinę „tuo pačiu metu“, kada buvo vykdomi „Hamas“ išpuoliai. 2 IRGC valdoma kibernetinė persona „Cyber Avengers“ teigė, kad vakare prieš „Hamas“ įsiveržimą įvykdė kibernetinę ataką prieš Izraelio elektros bendrovę.3 Jų įrodymai: kelių savaičių senumo spaudos pranešimai apie elektros energijos tiekimo sutrikimus „pastaraisiais metais“ ir ekrano nuotrauka, kurioje užfiksuotas nedatuotas bendrovės interneto svetainės veikimo sutrikimas. 4
Pakartotinis senos medžiagos naudojimas. 
Po „Hamas“ išpuolių prieš Izraelį „Cyber Avengers“ teigė surengę virtinę kibernetinių atakų prieš Izraelį, iš kurių pirmosios, kaip parodė mūsų tyrimai, buvo melagingos. Spalio 8 d. jie teigė, kad nutekino Izraelio elektrinės dokumentus, nors šiuos dokumentus 2022 m. birželį paskelbė kita IRGC valdoma kibernetinė persona „Moses Staff“.5
Pakartotinis prieigos panaudojimas. 
Kita kibernetinė persona „Malek Team“, kuriai, mūsų manymu, vadovauja Irano žvalgybos ir saugumo ministerija (MOIS), spalio 8 d. nutekino asmeninius duomenis iš Izraelio universiteto, tačiau tai nebuvo aiškiai susieta su kylančiu konfliktu šioje šalyje, o tai rodo, kad taikinys buvo oportunistinis ir galbūt pasirinktas atsižvelgiant į ankstesnę prieigą prieš prasidedant karui. Užuot ieškojus sąsajų tarp nutekintų duomenų ir paramos „Hamas“ operacijoms, „Malek Team“ iš pradžių naudojo X (anksčiau – „Twitter“) saitažodžius, kuriais palaikė „Hamas“, ir tik po kelių dienų pakeitė pranešimus, kad jie atitiktų Izraelio ministrą pirmininką Benjaminą Netanyahu menkinančius pranešimus, pastebėtus kitose Irano įtakos operacijose.
Irano propagandos vartojimas visame pasaulyje, iliustruotas laiko juosta ir srauto dalies grafiku
2 pav. „Microsoft“ grėsmių žvalgyba – Irano propagandos vartojimas pagal šalis, „Hamas“ išpuoliai prieš Izraelį. Diagrama, rodanti veiklą nuo 2023 m. balandžio iki gruodžio mėn.
Irano įtakos operacijos buvo veiksmingiausios pirmosiomis karo dienomis 
Prasidėjus Izraelio ir „Hamas“ karui, su Irano valstybe susijusios žiniasklaidos pasiekiamumas išaugo. Pirmąją konflikto savaitę pastebėjome, kad „Microsoft AI for Good Lab“ Irano propagandos indekso, pagal kurį stebimas Irano valstybinių ir su valstybe susijusių naujienų portalų naujienų vartojimas, rodiklis padidėjo 42 % (žr. 1 pav.). Indeksas matuoja šiose svetainėse apsilankiusio srauto dalį bendrame interneto sraute. Šis padidėjimas buvo ypač ryškus angliškai kalbančiose šalyse, glaudžiai susijusiose su Jungtinėmis Amerikos Valstijomis (2 pav.), o tai rodo, kad Iranas, rengdamas reportažus apie Artimųjų Rytų konfliktus, gali pasiekti Vakarų auditoriją. Praėjus mėnesiui po karo, šių Irano šaltinių aprėptis visame pasaulyje tebebuvo 28-29 proc. didesnė nei prieš karą.
Irano įtaka be kibernetinių atakų pasižymi operatyvumu 
Irano įtakos operacijos pirmosiomis karo dienomis atrodė operatyvesnės ir veiksmingesnės, palyginti su bendromis kibernetinės įtakos operacijomis vėlesnėmis konflikto dienomis. Praėjus kelioms dienoms po „Hamas“ išpuolio prieš Izraelį, tikėtinas Irano valstybės veikėjas, kurį sekame kaip „Storm-1364“, pradėjo įtakos operaciją, naudodamasis internetine persona, pavadinta „Tears of War“, kuri apsimetinėjo Izraelio aktyvistais ir skleidė prieš Netanjahu nukreiptus pranešimus Izraelio auditorijai įvairiose socialinių tinklų ir pranešimų platformose. Greitis, kuriuo „Storm-1364“ pradėjo šią kampaniją po spalio 7 d. išpuolių, rodo šios grupuotės operatyvumą ir atkreipia dėmesį į tik įtakos kampanijų pranašumus, kadangi jas galima greičiau parengti, nes joms nereikia laukti kibernetinės įtakos operacijos kibernetinės veiklos.

2 etapas. Visu pajėgumu

Spalio viduryje ir pabaigoje vis daugiau Irano grupuočių dėmesį sutelkė į Izraelį, o Irano kibernetinės įtakos operacijos iš reaktyvių, sufabrikuotų ar abiejų tapo destruktyviomis kibernetinėmis atakomis. Šios atakos apėmė duomenų ištrynimą, išpirkos reikalaujančias programas ir internetu sąveikaujančių įrenginių (IoT) koregavimą.6 Taip pat matėme įrodymų, kad Irano grupuotės aktyviau koordinuoja savo veiksmus.

Pirmąją karo savaitę „Microsoft“ grėsmių žvalgyba sekė devynias Irano grupuotes, kurios aktyviai kėsinosi į Izraelį; 15-tą dieną šis skaičius išaugo iki 14 grupuočių. Kai kuriais atvejais pastebėjome, kad kelios IRGC ar MOIS grupuotės taikosi į tą pačią organizaciją ar karinę bazę, vykdydamos kibernetinę ar įtakos veiklą, o tai rodo, kad veikla koordinuojama, Teheranas siekia bendrų tikslų arba ir viena, ir kita.

Kibernetinės įtakos operacijų taip pat padaugėjo. Pirmąją karo savaitę stebėjome keturias skubotai įgyvendintas kibernetines įtakos operacijas, nukreiptas prieš Izraelį. Iki spalio pabaigos tokių operacijų skaičius išaugo daugiau nei dvigubai, o tai reiškia, kad šios operacijos buvo vykdomos sparčiausiai iki šiol (žr. 4 pav.).

Iliustracija: Irano kibernetinis ir įtakos tinklas su simboliais, grėsmių žvalgyba ir Revoliucinė gvardija
Irano kibernetinių įtakos operacijų laiko juosta: Augimas per „Hamas“ karą, 2021–2023 m.

Spalio 18 d. IRGC „Shahid Kaveh“ grupuotė, kurią „Microsoft“ seka kaip „Storm-0784“, naudodama pritaikytą išpirkos reikalaujančią programinę įrangą surengė kibernetines atakas prieš Izraelio saugos kameras. Tada ji pasinaudojo viena iš savo kibernetinių personų „Soldiers of Solomon“ ir melagingai pareiškė, kad užgrobė Nevatimo oro pajėgų bazės saugos kameras ir duomenis. Išnagrinėjus nutekintą „Soldiers of Solomon“ saugos kamerų filmuotą medžiagą, paaiškėjo, kad ji daryta mieste į šiaurę nuo Tel Avivo su Nevatimo gatve, o ne to paties pavadinimo oro pajėgų bazėje. Iš tiesų, išanalizavus aukų buvimo vietas, paaiškėjo, kad nė viena iš jų nebuvo netoli karinės bazės (žr. 5 pav.). Nors Irano grupuotės pradėjo destruktyvias atakas, jų operacijos tebebuvo iš esmės oportunistinės, ir jos ir toliau naudojosi įtakos veikla, kad išpūstų šių atakų tikslumą ar poveikį.

Spalio 21 d. kita IRGC grupuotės „Cotton Sandstorm“ (dar žinomos kaip „Emennet Pasargad“) kibernetinė persona pasidalijo vaizdo įrašu, kuriame įsilaužėliai sudarkė sinagogų skaitmeninius ekranus žinutėmis, kuriose Izraelio operacijos Gazoje vadinamos „genocidu“. 7 Tai metodas, kad į kibernetines atakas, nukreiptas prieš sąlyginai lengvą taikinį, tiesiogiai įtraukiami pranešimai.

Šiuo etapu Irano įtakos veikloje buvo naudojamos platesnės ir sudėtingesnės melagingo stiprinimo formos. Per pirmąsias dvi karo savaites aptikome tik minimalias pažangias melagingo stiprinimo formas – tai vėlgi rodo, kad operacijos buvo reaktyvios. Trečiąją karo savaitę į kovą įsitraukė produktyviausia Irano įtakos veikėja „Cotton Sandstorm“, kuri spalio 21 d. pradėjo tris kibernetines įtakos operacijas. Kaip dažnai pastebime iš šios grupuotės, operacijoms sustiprinti jie naudojo socialinių tinklų marionečių tinklą, nors daugelis jų atrodė paskubomis perkurtos be autentiškų priedangų, kad tai izraeliečiai. Keletą kartų „Cotton Sandstorm“ masiškai siuntė teksto žinutes arba el. laiškus, kad sustiprintų arba pasigirtų savo operacijomis, pasinaudodama pažeistomis paskyromis, kad padidintų tikrumą.8

Irano teiginiai apie kibernetines atakas paneigti: Atskleistos melagingos išpirkos reikalaujančios programos ir vaizdo kamerų įrašai, klaidinančios įtakos operacijos

3 etapas. Geografinės aprėpties išplėtimas

Nuo lapkričio pabaigos Irano grupuotės išplėtė savo kibernetinę įtaką ne tik Izraeliui, bet ir šalims, kurios, Irano nuomone, padeda Izraeliui, labai tikėtina, kad gali pakenkti tarptautinei politinei, karinei ar ekonominei paramai Izraelio karinėms operacijoms. Tiksliniai išpuoliai buvo vykdomi tuo pat metu, kai Irano remiama Irano šiitų kovotojų grupuotė „Houthis“ Jemene pradėjo vykdyti išpuolius prieš tarptautinę laivybą, susijusią su Izraeliu (žr. 8 pav.).9

  • Lapkričio 20 d. Irano valdoma kibernetinė persona „Homeland Justice“ įspėjo apie būsimas dideles atakas prieš Albaniją, o gruodžio pabaigoje sustiprėjo MOIS grupuočių destruktyvios kibernetinės atakas prieš Albanijos parlamentą, nacionalines oro linijas ir telekomunikacijų paslaugų teikėjus.10
  • Lapkričio 21 d. „Cotton Sandstorm“ valdoma kibernetinė persona „Al-Toufan“ nusitaikė į Bahreino vyriausybę ir finansines organizacijas dėl ryšių su Izraeliu normalizavimo.
  • Lapkričio 22 d. su IRGC susijusios grupuotės pradėjo atakuoti Izraelyje pagamintus programuojamus loginius valdiklius (PLC) Jungtinėse Valstijose ir galbūt Airijoje, įskaitant vieno iš atjungimą lapkričio 25 d. Pensilvanijoje esančioje vandentvarkos institucijoje (6 pav.).11 PLC yra pramoniniai kompiuteriai, pritaikyti gamybos procesams, pavyzdžiui, surinkimo linijoms, mašinoms ir robotams, valdyti.
  • Gruodžio pradžioje persona, kuri, MTAC vertinimu, yra Irano remiama „Cyber Toufan Al-Aksa“, teigė, kad nutekino poros Amerikos bendrovių duomenis, nes jos finansiškai remia Izraelį ir tiekia įrangą jo kariuomenei.12 Prieš tai jie teigė, kad lapkričio 16 d. prieš bendroves surengė duomenų ištrynimo atakas.13 Kadangi trūksta patikimų įrodymų, siejančių šią grupę su Iranu, gali būti, kad šią personą valdo Irano partneris už šalies ribų, dalyvaujant Iranui.
Pensilvanijos vandentvarkos institucijoje apgadintas PLC su „Cyber Avengers“ logotipu, lapkričio 25 d.

Naujausiame etape Irano įtakos operacijos, vykdomos kibernetinėmis priemonėmis, taip pat darėsi vis sudėtingesnės. Jie geriau užmaskavo savo marionetes – kai kurias iš jų pervadino ir pakeitė profilio nuotraukas, kad atrodytų tikresni izraeliečiai. Taip pat jie pasinaudojo naujais metodais, kurių Irano veikėjai dar nebuvo naudoję, įskaitant dirbtinio intelekto naudojimą kaip pagrindinį savo pranešimų komponentą. Manome, kad „Cotton Sandstorm“ gruodžio mėn. sutrikdė televizijos transliavimo paslaugų teikimą Jungtiniuose Arabų Emyratuose ir kitur, prisidengdama persona, pavadinta „For Humanity“. „For Humanity“ „Telegram“ paskelbė vaizdo įrašų, kuriuose matyti, kaip grupuotė įsilaužia į tris internetinės transliacijos paslaugas ir sutrikdo kelių naujienų kanalų veiklą, rodydama netikras naujienas, kurias transliuoja akivaizdžiai dirbtinio intelekto sukurtas diktorius, teigiantis, kad rodo Izraelio karinių operacijų metu sužeistų ir nužudytų palestiniečių vaizdus (7 pav.).14 JAE, Kanados ir Jungtinės Karalystės naujienų tarnybos bei žiūrovai pranešė apie televizijos transliacijų programų, įskaitant BBC, sutrikimus, kurie atitiko „For Humanity“ teiginius.15

„HUMANITY“ 2023 m.: Spalio 8 d., 180 žuvusiųjų, 347 sužeistieji. 7 pav. Televizijos transliacijos sutrikdymas naudojant dirbtinio intelekto sukurtą diktorių
Iranas vis dažniau taikosi į Izraelio rėmėjus, vykdo kibernetines atakas, perspėjimų ir iškraipymų veiklą.

Iranas savo operacijomis siekė keturių bendrų tikslų: destabilizacijos, keršto, bauginimo ir tarptautinės paramos Izraeliui silpninimo. Visais šiais keturiais tikslais taip pat siekiama pakenkti Izraelio ir jo rėmėjų informacinei aplinkai ir sukelti bendrą sumaištį bei nepasitikėjimą.

Destabilizacija per poliarizaciją 
Izraelio ir „Hamas“ karo metu Iranas vis daugiau dėmesio skyrė Izraelio vidaus konfliktui dėl Izraelio vyriausybės požiūrio į karą kurstyti. Keletas Irano įtakos operacijų buvo vykdomos apsimetant Izraelio aktyvistų grupėmis, kad būtų paskleistos kurstančios žinutės, kritikuojančios vyriausybės požiūrį į spalio 7 d. pagrobtus ir įkaitais paimtus asmenis.17 Netanyahu buvo pagrindinis tokių pranešimų taikinys, o raginimai jį nušalinti buvo dažna Irano įtakos operacijų tema.18
AVENGERS – Nėra elektros, maisto, vandens, degalų. „Cyber Avengers“ perpublikuoja vaizdo įrašą apie Izraelio blokadą
Atsakomieji veiksmai 
Daugelyje Irano pranešimų ir pasirenkant taikinius pabrėžiama, kad jo operacijos yra atsakomojo pobūdžio. Pavyzdžiui, tinkamai pavadinta persona „Cyber Avengers“ paskelbė vaizdo įrašą, kuriame Izraelio gynybos ministras pareiškė, kad Izraelis nutrauks elektros, maisto, vandens ir degalų tiekimą Gazos miestui (žr. 9 pav.), o po to sekė keletas tariamai „Cyber Avengers“ surengtų atakų prieš Izraelio elektros, vandens ir degalų infrastruktūrą.19 Ankstesniuose jų teiginiuose apie išpuolius prieš Izraelio nacionalines vandens sistemas prieš kelias dienas buvo pateikta žinutė „Akis už akį“, o su IRGC susijusi naujienų agentūra „Tasnim News Agency“ pranešė, kad grupuotė teigė, jog išpuoliai prieš vandens sistemas buvo kerštas už Gazos ruožo apsiaustį.20 Lapkričio pabaigoje su MOIS susijusi grupuotė, kurią sekame kaip „Pink Sandstorm“ (dar žinoma kaip „Agrius“) įsilaužė į Izraelio ligoninę ir nutekino informaciją, kas, atrodo, buvo keršto akcija už tai, kad prieš dvi savaites Izraelis kelias dienas buvo apsiautęs „al Shifa“ ligoninę Gazos Ruože.21
Bauginimas 
Irano operacijomis taip pat siekiama pakenkti Izraelio saugumui ir įbauginti Izraelio piliečius bei jo šalininkus siunčiant grėsmingus pranešimus ir įtikinant tikslinę auditoriją, kad jų valstybės infrastruktūra ir vyriausybės sistemos yra nesaugios. Panašu, kad kai kuriais bauginimo veiksmais Iranas siekia pakirsti Izraelio pasiryžimą tęsti karą, pavyzdžiui, žinutėmis bando įtikinti IDF karius, kad jie turėtų „pasitraukti iš karo ir grįžti namo“ (10 pav.).22 Viena Irano kibernetinė persona, kuri gali būti prisidengusi „Hamas“ vardu, teigė siunčianti grasinančias tekstines žinutes Izraelio karių šeimoms ir pridūrė: „IDF [Izraelio gynybos pajėgų] kariai turėtų žinoti, kad kol mūsų šeimos nėra saugios, tol jų šeimos taip pat nebus saugios“.23 „Hamas“ personą stiprinančios marionetės X tinkle skleidė žinutes, kad IDF „neturi jokių galių apsaugoti savo kareivius“, ir nurodė žiūrovams keletą žinučių, kurias tariamai siuntė IDF kariai, prašydami „Hamas“ neliesti jų šeimų.24
Grasinanti žinutė nuo tariamos „Cotton Sandstorm“ valdomos marionetės, kurioje užsimenama apie prieigą prie asmeninių duomenų ir raginama pasitraukti iš karo.
Tarptautinės paramos Izraeliui silpninimas 
Irano įtakos operacijose, skirtose tarptautinei auditorijai, dažnai naudojami pranešimai, kuriais siekiama susilpninti tarptautinę paramą Izraeliui, pabrėžiant Izraelio atakų Gazos ruože padarytą žalą. Persona, prisidengusi palestiniečius remiančios grupuotės pavadinimu, Izraelio veiksmus Gazoje pavadino „genocidu“.25 Gruodžio mėn. „Cotton Sandstorm“ vykdė kelias įtakos operacijas – pavadinimais „Už palestiniečius“ ir „Už žmogiškumą“ – kuriomis ragino tarptautinę bendruomenę pasmerkti Izraelio išpuolius Gazos ruože.26

Siekdamas tikslų informacinėje erdvėje, Iranas per pastaruosius devynis mėnesius daug dėmesio skyrė keturioms įtakos taktikoms, metodams ir procedūroms (TTP). Tai apima apsimetinėjimą ir geresnius gebėjimus paskatinti veikti tikslinę auditoriją, taip pat vis dažniau naudojamasi tekstinių žinučių kampanijomis ir su IRGC susijusia žiniasklaida, kad būtų sustiprintos įtakos operacijos.

Apsimetinėjimas Izraelio aktyvistų grupėmis ir Irano partneriais 
Irano grupuotės, remdamosi sena apsimetinėjimo technika, sukūrė konkretesnes ir įtikinamesnes personas, kurios apsimeta ir Irano draugais, ir priešais. Daugelis ankstesnių Irano operacijų ir personų prisistatė kaip Palestinos reikalą palaikantys aktyvistai.27 Neseniai vykdytos personos, kuriai, mūsų manymu, vadovauja „Cotton Sandstorm“, operacijos žengė dar toliau – ji naudojosi „Hamas“ karinio sparno, „Al-Qassam“ brigadų, pavadinimu ir logotipu, kad skleistų melagingus pranešimus apie Gazoje laikomus įkaitus ir siųstų izraeliečiams grasinančias žinutes. Kitame „Telegram“ kanale, kuriuo grasinta IDF darbuotojams ir nutekinti jų asmeniniai duomenys ir kurį, mūsų manymu, valdė MOIS grupuotė, taip pat buvo naudojamas „Al-Qassam“ brigadų logotipas. Neaišku, ar Iranas veikia su „Hamas“ sutikimu.

Panašiai Iranas sukūrė vis įtikinamesnes fiktyvių Izraelio dešiniojo ir kairiojo politinio spektro aktyvistų organizacijų imitacijas. Pasitelkdamas šiuos netikrus aktyvistus, Iranas siekia įsiskverbti į Izraelio bendruomenes, įgyti jų pasitikėjimą ir sėti nesantaiką.

Izraeliečių skatinimas veikti 
Balandžio ir lapkričio mėn. Iranas ne kartą sėkmingai verbavo nieko nenutuokiančius izraeliečius įsitraukti į veiklą, skatinančią jo netikras operacijas. Pranešama, kad per vieną neseniai vykdytą operaciją „Tears of War“ Irano agentams pavyko įtikinti izraeliečius Izraelio rajonuose pakabinti „Tears of War“ pažymėtus plakatus su iš pažiūros dirbtinio intelekto sukurtu Netanyahu atvaizdu ir raginimu pašalinti jį iš pareigų (žr. 11 pav.).28
Eskalavimas vis dažniau ir sumaniau siunčiant teksto žinutes ir el. laiškus 
Nors Iranas, siekdamas pasiekti tikslinę auditoriją, ir toliau daugiausia remiasi koordinuotu pranešimų platinimu per netikrus socialinius tinklus, jis vis dažniau naudoja masinį tekstinių žinučių ir elektroninių laiškų siuntimą, kad sustiprintų psichologinį kibernetinių įtakos operacijų poveikį. Socialiniuose tinkluose naudojantis marionetėmis platinama informacija neturi tokio paties poveikio kaip žinutė, atsidūrusi asmeninėje pašto dėžutėje, jau nekalbant apie telefoną. „Cotton Sandstorm“ pasinaudojo ankstesniais laimėjimais naudojant šį metodą nuo 2022 m.,29 nuo rugpjūčio mėn. bent šešiose operacijose masiškai siuntė trumpąsias žinutes, el. laiškus arba ir viena, ir kita. Tai, kad grupuotė vis dažniau naudoja šį metodą, rodo, jog ji ištobulino šį gebėjimą ir mano, kad jis yra veiksmingas. Spalio pabaigoje vykdyta „Cotton Sandstorm“ operacija „Cyber Flood“ apėmė iki trijų masinių tekstinių žinučių ir elektroninių laiškų rinkinių izraeliečiams, kuriais buvo stiprinamos tariamos kibernetinės atakos arba platinami melagingi perspėjimai apie „Hamas“ atakas prieš Izraelio branduolinį objektą netoli Dimonos.30 Bent vienu atveju jie pasinaudojo užkrėsta paskyra, kad padidintų savo el. laiškų tikroviškumą.
11 pav. „Tears of War“ plakatas Izraelyje su dirbtinio intelekto sugeneruotu Netanyahu atvaizdu ir tekstu „apkalta dabar“.
Naudojimasis valstybine žiniasklaida 
Iranas pasitelkė atviras ir slaptas su IRGC susijusias žiniasklaidos priemones, kad sustiprintų tariamas kibernetines operacijas ir kartais sureikšmintų jų poveikį. Rugsėjį, kai „Cyber Avengers“ pareiškė apie kibernetines atakas prieš Izraelio geležinkelių sistemą, su IRGC susijusi žiniasklaida beveik iš karto sustiprino ir išpūtė jų teiginius. Su IRGC susijusi naujienų agentūra „Tasnim News Agency“ neteisingai citavo Izraelio naujienų reportažus apie kitą įvykį kaip įrodymą, kad kibernetinė ataka įvyko.31 Šį pranešimą dar labiau eskalavo kitos Irano ir su Iranu susijusios žiniasklaidos priemonės, taip dar labiau užgoždamos įrodymų, patvirtinančių teiginius apie kibernetinę ataką, trūkumą.32
Besirandantis dirbtinio intelekto pritaikymas įtakos operacijoms 
Nuo Izraelio ir „Hamas“ karo pradžios MTAC pastebėjo, kad Irano veikėjai naudoja dirbtinio intelekto sukurtus vaizdus ir vaizdo įrašus. „Cotton Sandstorm“ ir „Storm-1364“, taip pat su „Hezbollah“ ir „Hamas“ susijusios naujienų tarnybos pasinaudojo dirbtiniu intelektu, kad sustiprintų bauginimą ir sukurtų Netanyahu ir Izraelio vadovybę menkinančius vaizdus.
12 pav. „Cotton Sandstorm“ įtakos operacijos 2023 m. rugpjūčio–gruodžio mėn., pavaizduojant įvairius metodus ir veiksmus.
1. Stiprėjantis bendradarbiavimas 
Praėjus kelioms savaitėms po Izraelio ir „Hamas“ karo, pradėjome pastebėti su Iranu susijusių grupuočių bendradarbiavimo pavyzdžių, kurie sustiprino šių veikėjų galimybes. Bendradarbiavimas sumažina patekimo barjerą, nes leidžia kiekvienai grupuotei prisidėti turimais pajėgumais ir pašalina būtinybę vienai grupuotei kurti visą spektrą įrankių ar įgūdžių.

Manome, kad su MOIS susijusios grupuotės „Storm-0861“ ir „Storm-0842“ bendradarbiavo rengiant destruktyvią kibernetinę ataką Izraelyje spalio pabaigoje ir Albanijoje gruodžio pabaigoje. Abiem atvejais „Storm-0861“ greičiausiai suteikė prieigą prie tinklo prieš tai, kai „Storm-0842“ įvykdė kenkėjišką ištrynimo programą. Panašiai „Storm-0842“ 2022 m. liepos mėn., po to, kai „Storm-0861“ įgijo prieigą, ištrynimo kenkėjišką programinę įrangą įdiegė Albanijos vyriausybinėse įstaigose.

Spalio mėnesį kita su MOIS susijusi grupuotė „Storm-1084“ taip pat galėjo turėti prieigą prie organizacijos Izraelyje, kurioje „Storm-0842“ įdiegė „BiBi“ ištrynimo programą, pavadintą pagal tai, kad ši kenkėjiška programa ištrintus failus pervadina eilute „BiBi“. Neaišku, koks buvo „Storm-1084“ vaidmuo, jei jis apskritai buvo, vykdant šią destruktyvią ataką. 2023 m. pradžioje „Storm-1084“ vykdė destruktyvias kibernetines atakas prieš kitą Izraelio organizaciją, kurias įgalino kita su MOIS susijusi grupė „Mango Sandstorm“ (dar žinoma kaip „MuddyWater“).33

Nuo karo pradžios „Microsoft“ grėsmių žvalgyba taip pat aptiko su MOIS susijusios grupės „Pink Sandstorm“ ir „Hezbollah“ kibernetinių padalinių bendradarbiavimą. „Microsoft“ pastebėjo infrastruktūros sutapimų ir bendrų įrankių. Nors Irano bendradarbiavimas su „Hezbollah“ vykdant kibernetines operacijas nėra precedento neturintis atvejis, tačiau kelia nerimą tai, kad karas gali dar labiau suartinti šias grupuotes.34 Kadangi visos Irano kibernetinės atakos šiame kare buvo derinamos su įtakos operacijomis, yra papildoma tikimybė, kad Iranas gerina savo įtakos operacijas ir jų aprėptį, pasitelkdamas gimtakalbius arabus, kad savo netikroms personoms suteiktų daugiau tikroviškumo.

2. Padidėjęs dėmesys Izraeliui 
Irano kibernetinių veikėjų dėmesys Izraeliui suintensyvėjo. Iranas nuo seno daug dėmesio skiria Izraeliui, kurį Teheranas kartu su Jungtinėmis Valstijomis laiko pagrindiniu savo priešininku. Todėl, remiantis „Microsoft“ grėsmių žvalgybos duomenimis, per pastaruosius kelerius metus Izraelio ir JAV įmonės beveik visada buvo dažniausi Irano taikiniai. Prieš karą Irano veikėjai daugiausiai dėmesio skyrė Izraeliui, po to – Jungtiniams Arabų Emyratams ir Jungtinėms Valstijoms. Prasidėjus karui, dėmesys Izraeliui padidėjo. Keturiasdešimt trys procentai „Microsoft“ sektos Irano nacionalinės valstybės kibernetinės veiklos buvo nukreipta prieš Izraelį, t. y. daugiau nei prieš kitas 14 šalių kartu sudėjus.
Procentinis „Mogult“ grėsmių žvalgybos duomenų pasiskirstymas pagal šalis ir Irano taikinius prieš karą ir praėjus 75 dienoms po karo

Manome, kad Irano kibernetinių ir įtakos operacijų grėsmė didės, nes Izraelio ir „Hamas“ konfliktas tęsiasi, ypač didėjant galimai eskalacijai papildomuose frontuose. Pirmosiomis karo dienomis Irano grupuotės skubėjo vykdyti operacijas arba tiesiog jas sufabrikuoti, o pastaruoju metu Irano grupuotės sulėtino savo operacijas, kad turėtų daugiau laiko įgyti norimą prieigą arba parengti sudėtingesnes įtakos operacijas. Šioje ataskaitoje aprašyti karo etapai aiškiai rodo, kad Irano kibernetinės ir įtakos operacijos pamažu progresuoja, tampa vis tikslingesnės, labiau bendradarbiaujančios ir destruktyvios.

Irano veikėjai taip pat vis drąsiau renkasi taikinius, ypač kibernetiniu būdu smogdami ligoninei ir išbandydami Vašingtono raudonąsias linijas, regis, nesirūpindami dėl pasekmių. Nors IRGC išpuoliai prieš JAV vandens kontrolės sistemas buvo oportunistiški, tačiau, regis, tai buvo gudrus būdas išbandyti Vašingtoną, teigiant, kad išpuoliai prieš Izraelyje pagamintą įrangą yra teisėti.

Prieš 2024 m. lapkritį vyksiančius JAV rinkimus sustiprėjęs Irano ir su Iranu susijusių grupuočių bendradarbiavimas reiškia didesnį iššūkį rinkimų gynybos dalyviams. Gynėjai nebegali būti ramūs sekdami kelias grupuotes. Didėjantis prieigos agentų, įtakos grupių ir kibernetinių veikėjų skaičius suformuoja sudėtingesnę ir labiau susipynusią grėsmių aplinką.

Daugiau ekspertų įžvalgų apie Irano įtakos operacijas

„Microsoft“ grėsmių žvalgybos tinklalaidėje išgirskite daugiau ekspertų nuomonių apie Irano kibernetines įtakos operacijas, daugiausia dėmesio skiriant Irano veiksmams, susijusiems su 2020 m. JAV prezidento rinkimais ir Izraelio ir „Hamas“ karu. Diskusijoje aptariamos Irano veikėjų naudojamos taktikos, pavyzdžiui, apsimetinėjimas, vietinių gyventojų verbavimas, el. pašto bei tekstinių žinučių naudojimas sustiprinimo tikslais. Taip pat atskleidžiamos Irano kibernetinės veiklos subtilybės, jų bendradarbiavimo pastangos, propagandos vartojimas, kūrybiška taktika ir įtakos operacijų priskyrimo iššūkiai.
  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Kibernetinės įtakos operacijos Valstybė Valstybinės ataskaitos Grėsmių sukėlėjai

Susiję straipsniai

Rusijos grėsmių sukėlėjai įsitvirtina ir ruošiasi pasinaudoti karo nuovargiu 

Besitęsiant karui Ukrainoje, toliau vykdomos ir Rusijos kibernetinės bei įtakos operacijos. „Microsoft“ grėsmių žvalgyba pateikia išsamią informaciją apie naujausias pastarųjų šešių mėnesių kibernetines grėsmės ir įtakos operacijas.
Sužinokite daugiau

Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio

„Microsoft“ grėsmių žvalgyba atskleidė, kad iš Irano vykdoma vis daugiau kibernetinių įtakos operacijų. Gaukite įžvalgų apie grėsmes, išsamią informaciją apie naujus metodus ir būsimų grėsmių potencialą.
Sužinokite daugiau

Kibernetinės ir įtakos karinės operacijos Ukrainos skaitmeniniame mūšio lauke

„Microsoft“ grėsmių žvalgyba analizuoja kibernetinių ir įtakos operacijų Ukrainoje metus, atskleidžia naujas kibernetinių grėsmių tendencijas ir paaiškina, ko galima tikėtis prasidėjus antriesiems karo metams.
Sužinokite daugiau