Trace Id is missing

Irão intensifica operações de influência cibernética para apoiar o Hamas

Transferir
Partilhar

Introdução

Quando a guerra entre Israel e o Hamas deflagrou, a 7 de outubro de 2023, o Irão reforçou de imediato o apoio ao Hamas, com a sua técnica, agora bem aperfeiçoada, de combinar acesso ilícitos direcionados com operações de influência amplificadas nas redes sociais, aquilo a que chamamos operações de ciberinfluência.1 As operações do Irão foram inicialmente reacionárias e oportunistas. No final de outubro, quase todas as influências do Irão e os principais atores cibernéticos se focaram em Israel, de uma forma cada vez mais direcionada, coordenada e destrutiva, criando uma campanha aparentemente sem limites, de “mãos à obra” contra Israel. Ao contrário de alguns dos ciberataques anteriores do Irão, todos os seus ciberataques destrutivos contra Israel nesta guerra, reais ou fabricados, foram complementados com operações de influência online.

Termos principais definidos

  • Operações de ciberinfluência ativadas 
    Operações que combinam operações ofensivas de redes informáticas com mensagens e amplificação, de forma coordenada e manipuladora, para alterar perceções, comportamentos ou decisões de públicos-alvo, a fim de promover os interesses e objetivos de um grupo ou de uma nação.
  • Persona cibernética 
    Um grupo ou indivíduo fabricado para o público que assume a responsabilidade por uma operação cibernética, ao mesmo tempo que fornece uma negação plausível para o grupo ou nação subjacente responsável.
  • Sockpuppet 
    Uma falsa persona online que utiliza identidades fictícias ou roubadas com o objetivo de enganar.

As operações de influência tornaram-se cada vez mais sofisticadas e inautênticas, ao implementar redes de "contas falsas" das redes sociais à medida que a guerra avançava. Ao longo da guerra, estas operações de influência pretendiam intimidar os israelitas, ao mesmo tempo que criticavam a forma como o governo israelita lidava com os reféns e as operações militares para polarizar e, em última análise, desestabilizar Israel.

Com o tempo, o Irão passou a utilizar os seus ciberataques e operações de influência contra os aliados políticos e parceiros económicos de Israel, para minar o apoio às operações militares do país.

Espera-se que a ameaça representada pelas operações cibernéticas e de influência do Irão aumente à medida que o conflito persiste, em particular no meio do potencial crescente de uma guerra alargada. O aumento da audácia dos atores iranianos e afiliados ao Irão, juntamente com a crescente colaboração entre eles, pressagia uma ameaça crescente antes das eleições americanas de novembro.

As operações cibernéticas e de influência do Irão passaram por várias fases desde o ataque terrorista do Hamas, a 7 de outubro. Um elemento das suas operações tem-se mantido constante: a combinação de alvos cibernéticos oportunistas com operações de influência, que muitas vezes induzem em erro a precisão ou o âmbito do impacto.

O presente relatório foca-se na influência iraniana e nas operações de ciberinfluência, desde 7 de outubro até ao final de 2023, abrangendo, simultaneamente, as tendências e operações que remontam à primavera de 2023.

Gráfico que descreve as fases das operações de ciberinfluência do Irão na guerra entre Israel e o Hamas

Fase 1: Reativo e enganador

Os grupos iranianos foram reativos durante a fase inicial da guerra entre Israel e o Hamas. Os meios de comunicação social estatais iranianos divulgaram informações enganadoras sobre os alegados ciberataques e os grupos iranianos reutilizaram material datado de operações históricas, reutilizaram o acesso que tinham antes da guerra e exageraram o âmbito e o impacto globais dos alegados ciberataques.

Quase quatro meses após o início da guerra, a Microsoft ainda não viu provas claras nos nossos dados que indiquem que os grupos iranianos coordenaram as suas operações cibernéticas ou de influência com os planos do Hamas para atacar Israel, a 7 de outubro. Pelo contrário, a preponderância dos nossos dados e conclusões sugere que os atores cibernéticos iranianos foram reativos, aumentando rapidamente as suas operações cibernéticas e de influência após os ataques do Hamas para contrariar Israel.

Informações enganosas sobre os alegados ataques pelos meios de comunicação social estatais: 
O dia em que a guerra deflagrou, a Tasnim News Agency, um meio de comunicação iraniano afiliado ao Corpo de Guardas da Revolução Islâmica (IRGC), afirmou falsamente que um grupo chamado "Cyber Avengers" conduziu ciberataques contra uma central elétrica israelita "ao mesmo tempo" que os ataques do Hamas. 2 Os Cyber Avengers, uma persona cibernética gerida pelo IRGC, alegou ter efetuado um ciberataque contra uma companhia de eletricidade israelita na noite anterior à incursão do Hamas.3 As suas provas: notícias antigas sobre cortes de energia "nos últimos anos" e uma captura de ecrã de uma interrupção de serviço não datada no site da empresa. 4
Reutilização de material antigo: 
Após os ataques do Hamas a Israel, os Cyber Avengers afirmaram ter efetuado uma série de ciberataques contra Israel, o primeiro dos quais as nossas investigações revelaram ser falso. A 8 de outubro, alegaram a divulgação de documentos de uma central elétrica israelita, embora os documentos tivessem sido publicados anteriormente, em junho de 2022, por outra persona cibernética gerida pelo IRGC, “Moses Staff.”5
Reutilização do acesso: 
Outra persona cibernética, a "Malek Team", que julgamos ser gerida pelo Ministério dos Serviços Secretos e da Segurança (MOIS) do Irão, divulgou dados pessoais de uma universidade israelita, a 8 de outubro, sem qualquer ligação clara entre o alvo e o conflito que se desenrolava no país, o que sugere que o alvo foi oportunista e talvez escolhido com base num acesso pré-existente, antes do início da guerra. Em vez de estabelecer ligações entre a fuga de dados e o apoio às operações do Hamas, a Malek Team utilizou inicialmente hashtags no X (antigo Twitter) para apoiar o Hamas e, apenas uns dias mais tarde, mudou as mensagens para se alinhar com o tipo de mensagens que denegriam o primeiro-ministro israelita Benjamin Netanyahu, visto noutras operações de influência iraniana.
Consumo global de propaganda iraniana ilustrado com um gráfico da cronologia e da proporção do tráfego
Figura 2: Informações sobre Ameaças da Microsoft – Consumo da propaganda iraniana por país, ataques do Hamas a Israel. Gráfico que mostra atividade, de abril a dezembro de 2023.
As operações de influência do Irão foram mais eficazes no início da guerra 
O alcance dos meios de comunicação social afiliados ao estado iraniano aumentaram depois da deflagração da guerra Israel-Hamas. Na primeira semana do conflito, observámos um aumento de 42% no Índice de Propaganda Iraniana do Microsoft AI for Good Lab, que monitoriza o consumo de notícias do estado iraniano e de órgãos de notícias afiliados ao Estado (ver Figura 1). O índice mede a proporção de tráfego que visita estes sites em relação ao tráfego total na Internet. Este aumento foi particularmente acentuado nos países de língua inglesa aliados dos Estados Unidos (Figura 2), o que realça a capacidade do Irão de chegar ao público ocidental com as suas reportagens sobre os conflitos no Médio Oriente. Após um mês de guerra, o alcance dessas fontes iranianas permaneceram 28-29% acima dos níveis globais pré-guerra.
A influência do Irão sem ciberataques demonstra agilidade 
As operações de influência do Irão pareceram mais ágeis e eficazes no início da guerra, em comparação com as suas operações combinadas de ciberinfluência, mais tarde no conflito. Poucos dias depois do ataque do Hamas a Israel, um provável ator estatal iraniano, que monitorizamos como Storm-1364, lançou uma operação de influência utilizando uma personagem online chamada "Tears of War", que se fazia passar por ativistas israelitas para difundir mensagens anti-Netanyahu junto do público israelita através de múltiplas redes sociais e plataformas de mensagens. A rapidez com que Storm-1364 lançou esta campanha, após os ataques de 7 de outubro, realça a agilidade deste grupo e aponta para as vantagens das campanhas exclusivamente de influência, que podem ser mais rápidas de formar porque não precisam de esperar pela atividade cibernética de uma operação de ciberinfluência.

Fase 2: Mãos à obra

A partir de meados e finais de outubro, um número crescente de grupos iranianos mudou a sua atenção para Israel, e as operações de ciberinfluência do Irão deixaram de ser em grande parte reativas, fabricadas, ou ambas, para incluir ciberataques destrutivos e desenvolver alvos de interesse para as operações. Estes ataques incluíram a eliminação de dados, ransomware e, aparentemente, o ajuste de um dispositivo da Internet das coisas (IoT).6 Também vimos provas de uma maior coordenação entre os grupos iranianos.

Na primeira semana da guerra, as Informações sobre Ameaças da Microsoft monitorizaram nove grupos iranianos ativos no ataque a Israel; esse número aumentou para 14 no 15.º dia. Em alguns casos, observámos vários grupos do IRGC ou do MOIS a visar a mesma organização ou base militar com atividades cibernéticas ou de influência, o que sugere coordenação, objetivos comuns definidos em Teerão, ou ambos.

Também surgiram operações de ciberinfluência ativadas. Na primeira semana da guerra, observámos quatro operações de ciberinfluência, implementadas à pressa, dirigidas a Israel. No final de outubro, o número de operações deste tipo mais do que duplicou, marcando uma aceleração significativa nestas operações, de longe o ritmo mais rápido até à data (ver Figura 4).

Ilustração: O nexo cibernético de influência do Irão, com símbolos, Informações sobre Ameaças e o Corpo dos Guardas da Revolução
Cronologia das operações de ciberinfluência do Irão: Aumento durante a guerra do Hamas, 2021-2023

A 18 de outubro, o grupo Shahid Kaveh, do IRGC, que a Microsoft monitoriza como Storm-0784, utilizou ransomware personalizado para executar ciberataques contra câmaras de segurança em Israel. Depois, utilizou uma das suas personas cibernéticas, "Soldiers of Solomon", para afirmar falsamente que tinha pedido um resgate por câmaras de segurança e dados na Base Aérea de Nevatim. A análise das imagens de segurança divulgadas por Soldiers of Solomon revela que se trata de uma cidade a norte de Telavive, com uma rua Nevatim, e não da base aérea com o mesmo nome. De facto, a análise da localização das vítimas revela que nenhuma se encontrava perto da base militar (ver Figura 5). Apesar de os grupos iranianos terem iniciado ataques destrutivos, as suas operações continuaram a ser, em grande parte, oportunistas e continuaram a utilizar atividades de influência para exagerar a precisão ou o efeito dos ataques.

A 21 de outubro, outra persona cibernética gerida pelo grupo Cotton Sandstorm (vulgarmente conhecido por Emennet Pasargad), do IRGC, partilhou um vídeo dos atacantes a adulterar ecrãs digitais em sinagogas com mensagens que referiam as operações de Israel em Gaza como "genocídio". 7 Isto marcou um método de incorporação de mensagens diretamente nos ciberataques contra um alvo relativamente fraco.

Durante esta fase, a atividade de influência do Irão utilizou formas mais extensas e sofisticadas de amplificação não autêntica. Nas primeiras duas semanas da guerra, detetámos formas avançadas mínimas de amplificação não autêntica, o que sugere, mais uma vez, que as operações eram reativas. Na terceira semana da guerra, o mais prolífico ator de influência do Irão, Cotton Sandstorm, entrou em cena, lançando três operações de ciberinfluência, a 21 de outubro. Tal como acontece frequentemente com o grupo, utilizaram uma rede de contas falsas nas redes sociais para amplificar as operações, embora muitos deles parecessem ter sido reutilizados à pressa, sem proteção autêntica que os disfarçassem de israelitas. Em várias ocasiões, o Cotton Sandstorm enviou mensagens de texto ou e-mails em massa para amplificar ou gabar-se das suas operações, tirando partido de contas comprometidas para aumentar a autenticidade.8

As alegações de ciberataque do Irão foram desmentidas: Ransomware e imagens da CCTV falsos, operações de influência enganosas expostas

Fase 3: Expandir o âmbito geográfico

A partir do final de novembro, os grupos iranianos expandiram a sua ciberinfluência além de Israel, incluindo países que o Irão considera estarem a ajudar Israel, muito provavelmente para minar o apoio político, militar ou económico internacional às operações militares de Israel. Esta expansão de alvos coincidiu com o início de ataques a navios internacionais ligados a Israel pelos Houthis, um grupo militante xiita no Iémen, apoiado pelo Irão (ver Figura 8).9

  • A 20 de novembro, a persona cibernética gerida pelo Irão, "Homeland Justice", alertou para a iminência de grandes ataques contra a Albânia, antes de amplificar os ciberataques destrutivos dos grupos do MOIS, no final de dezembro, contra o Parlamento, a companhia aérea nacional e os fornecedores de telecomunicações da Albânia.10
  • A 21 de novembro, a personagem cibernética gerida pelo Cotton Sandstorm, "Al-Toufan", visou o governo e as organizações financeiras do Barém por normalizarem os laços com Israel.
  • A 22 de novembro, grupos afiliados ao IRGC começaram a visar controladores lógicos programáveis (PLC) de fabrico israelita nos Estados Unidos e, possivelmente, na Irlanda, incluindo a desativação de um deles numa autoridade hídrica na Pensilvânia, a 25 de novembro (Figura 6).11 Os PLC são computadores industriais adaptados para o controlo de processos de fabrico, tais como linhas de montagem, máquinas e dispositivos robóticos.
  • No início de dezembro, uma persona que o MTAC considera ser patrocinada pelo Irão, "Cyber Toufan Al-Aksa", alegou ter divulgado dados de duas empresas americanas por apoiarem financeiramente Israel e fornecerem equipamento para as suas forças armadas.12 Anteriormente, alegaram ataques de eliminação de dados contra as empresas, a 16 de novembro.13 Devido à falta de provas forenses fortes que liguem o grupo ao Irão, é possível que a persona seja gerida por um parceiro iraniano fora do país com envolvimento iraniano.
PLC adulterado na autoridade hídrica da Pensilvânia com o logótipo dos Cyber Avengers, 25 de novembro

As operações de ciberinfluência do Irão também continuaram a crescer em sofisticação nesta última fase. Disfarçaram melhor as suas contas falsas, ao mudar o nome de alguns e alterar as suas fotografias de perfil para parecerem mais israelitas. Entretanto, utilizaram novas técnicas, que ainda não tínhamos visto por parte de atores iranianos, incluindo a utilização da IA como componente principal das suas mensagens. Consideramos que o Cotton Sandstorm perturbou os serviços de televisão por transmissão em fluxo nos Emirados Árabes Unidos e noutros locais, em dezembro, sob o disfarce de uma persona chamada "For Humanity". O For Humanity publicou vídeos no Telegram que mostram o grupo a aceder de modo ilícito a três serviços de transmissão em fluxo online e a perturbar vários canais de notícias com uma emissão de notícias falsas, com um pivô aparentemente gerado por IA, que alegava mostrar imagens de palestinianos feridos e mortos em operações militares israelitas (Figura 7).14 As agências de notícias e os telespectadores dos Emirados Árabes Unidos, do Canadá e do Reino Unido relataram interrupções na programação televisiva por transmissão em fluxo, incluindo a BBC, que correspondiam às alegações do For Humanity.15

HUMANIDADE 2023: 8 de outubro, 180 mortos, 347 feridos. Figura 7: Interrupção da televisão por transmissão em fluxo através de uma emissora gerada por IA
O Irão expande os seus alvos a apoiantes de Israel, a ciberataques, aos avisos e a atividades de adulteração.

As operações do Irão visavam quatro grandes objetivos: desestabilização, retaliação, intimidação e enfraquecimento do apoio internacional a Israel. Estes quatro objetivos pretendem também enfraquecer os ambientes de informação de Israel e dos seus apoiantes para criar confusão geral e falta de confiança.

Desestabilização por polarização 
Os alvos do Irão contra Israel, durante a guerra entre Israel e o Hamas, têm-se focado cada vez mais em fomentar o conflito interno sobre a abordagem do governo israelita à guerra. Múltiplas operações de influência iraniana têm-se disfarçado de grupos de ativistas israelitas para implantar mensagens provocatórias que criticam a abordagem do governo em relação às pessoas raptadas e feitas reféns, a 7 de outubro.17 Netanyahu tem sido o principal alvo destas mensagens e os apelos ao seu afastamento são um tema comum nas operações de influência do Irão.18
AVENGERS – Sem eletricidade, comida, água, combustível. Os Cyber Avengers partilham vídeo sobre bloqueio de Israel
Retaliação 
Grande parte das mensagens e da escolha de alvos do Irão realça a natureza de retaliação das suas operações. Por exemplo, a persona, devidamente designada, Cyber Avengers divulgou um vídeo que mostrava o Ministro da Defesa de Israel a declarar que Israel iria cortar o fornecimento de eletricidade, alimento, água e combustível à cidade de Gaza (ver Figura 9), seguido de uma série de alegados ataques dos Cyber Avengers contra as infraestruturas israelitas de eletricidade, água e combustível.19 As suas alegações anteriores de ataques aos sistemas nacionais de água de Israel, dias antes, incluíam a mensagem "Olho por olho" e a Tasnim News Agency, afiliada ao IRGC, relatou que o grupo disse que os ataques aos sistemas de água eram uma retaliação pelo cerco a Gaza.20 Um grupo ligado ao MOIS, que monitorizamos como Pink Sandstorm (também conhecido por Agrius) acedeu de modo ilícito e divulgou informações contra um hospital israelita, no final de novembro, o que pareceu ser uma retaliação pelo cerco de vários dias de Israel ao Hospital Al-Shifa, em Gaza, duas semanas antes.21
Intimidação 
As operações do Irão também servem para comprometer a segurança israelita e intimidar os cidadãos de Israel e os seus apoiantes, enviando mensagens ameaçadoras e convencendo o público-alvo de que as infraestruturas e os sistemas governamentais do seu estado não são seguros. Algumas das intimidações do Irão parecem ter como objetivo comprometer a vontade de Israel continuar a guerra, como as mensagens que tentam convencer os soldados das Forças Armadas Israelitas de que devem "deixar a guerra e voltar para casa" (Figura 10).22 Uma persona cibernética iraniana, que se poderá estar a fazer passar pelo Hamas, alegou ter enviado mensagens de texto ameaçadoras às famílias dos soldados israelitas, acrescentando: "Os soldados das IDF [Forças Armadas Israelitas] devem estar cientes de que, enquanto as nossas famílias não estiverem seguras, as famílias deles também não estarão".23 As contas falsas que amplificam a persona do Hamas espalharam mensagens no X, dizendo que as FDI "não têm qualquer poder para proteger os seus próprios soldados" e remeteram os espectadores para uma série de mensagens, alegadamente enviadas por soldados das FDI, a pedir ao Hamas que poupasse as suas famílias.24
Mensagem ameaçadora de uma alegada conta falsa do Cotton Sandstorm, referindo o acesso a dados pessoais e encorajando o abandono da guerra.
Minar o apoio internacional a Israel 
As operações de influência do Irão dirigidas a públicos-alvo internacionais incluíam frequentemente mensagens que pretendiam enfraquecer o apoio internacional a Israel, realçando os danos causados pelos ataques de Israel a Gaza. Uma persona que se faz passar por um grupo pró-palestiniano referiu-se às ações de Israel em Gaza como "genocídio".25 Em dezembro, o Cotton Sandstorm realizou várias operações de influência, sob os nomes "For Palestinians" e "For Humanity", que apelavam à comunidade internacional para condenar os ataques de Israel a Gaza.26

Para alcançar os seus objetivos no espaço de informação, o Irão tem-se apoiado fortemente em quatro táticas, técnicas e procedimentos de influência (TTP) nos últimos nove meses. Estes incluem a utilização de usurpação de identidade e capacidades melhoradas para ativar públicos-alvo, juntamente com a utilização crescente de campanhas de mensagens de texto e a utilização de meios de comunicação ligados ao IRGC para amplificar as operações de influência.

Passar por grupos ativistas israelitas e parceiros iranianos 
Os grupos iranianos desenvolveram uma técnica de usurpação de identidade de longa data, ao desenvolver personas mais específicas e convincentes, que se disfarçam tanto de amigos como de inimigos do Irão. No passado, muitas das operações e personas do Irão afirmaram ser ativistas a favor da causa palestiniana.27 As operações recentes de uma persona que julgamos ser gerido pelo Cotton Sandstorm foram mais longe, utilizando o nome e o logótipo da ala militar do Hamas, as Brigadas al-Qassam, para difundir mensagens falsas sobre os reféns detidos em Gaza e enviar mensagens ameaçadoras aos israelitas. Outro canal do Telegram, que ameaçou o pessoal das IDF e divulgou os seus dados pessoais, que julgamos ser gerido por um grupo do MOIS, também utilizou o logótipo das Brigadas al-Qassam. Não é claro se o Irão está a agir com o consentimento do Hamas.

Da mesma forma, o Irão tem criado imitações cada vez mais convincentes de organizações ativistas israelitas fictícias, à direita e à esquerda do espetro político israelita. Através destes falsos ativistas, o Irão pretende infiltrar-se nas comunidades israelitas para ganhar a sua confiança e semear a discórdia.

Mobilizar israelitas para ação 
Em abril e novembro, o Irão demonstrou repetidamente o seu sucesso no recrutamento de israelitas inconscientes para participarem em atividades no terreno, promovendo as suas operações falsas. Numa operação recente, "Tears of War", os operacionais iranianos terão conseguido convencer os israelitas a pendurar cartazes nos bairros israelitas com a marca "Tears of War", com uma imagem de Netanyahu, aparentemente gerada por IA, e apelando à sua destituição do cargo (ver Figura 11).28
Amplificação através de texto e e-mail com maior frequência e sofisticação 
Embora as operações de influência iranianas continuem a basear-se fortemente na amplificação coordenada e não autêntica das redes sociais para atingir públicos-alvo, o Irão tem utilizado cada vez mais mensagens de texto e e-mails em massa para aumentar os efeitos psicológicos das suas operações de ciberinfluência. A amplificação nas redes sociais através de contas falsas não tem o mesmo impacto que uma mensagem que aparece na caixa de entrada de alguém, muito menos no seu telemóvel. O Cotton Sandstorm baseou-se em sucessos anteriores com a utilização desta técnica, a partir de 2022,29 ao enviar mensagens de texto, e-mails, ou ambos, em massa, em, pelo menos, seis operações, desde agosto. A utilização crescente desta técnica sugere que o grupo aperfeiçoou a sua capacidade e considera-a eficaz. A operação "Cyber Flood", do Cotton Sandstorm, no final de outubro, incluía até três conjuntos de mensagens de texto e de e-mails em massa para israelitas, amplificando alegados ciberataques ou distribuindo falsos avisos de ataques do Hamas às instalações nucleares israelitas perto de Dimona.30 Em, pelo menos, um caso, tiraram partido de uma conta comprometida para aumentar a autenticidade dos seus e-mails.
Figura 11: Faixa do Tears of War, em Israel, com a imagem de Netanyahu gerada por IA e o texto "destituição já".
Tirar partido dos meios de comunicação social estatais 
O Irão tem utilizado meios de comunicação social abertos e encobertos ligados ao IRGC para amplificar alegadas operações cibernéticas e, por vezes, exagerar os seus efeitos. Em setembro, depois de os Cyber Avengers terem reivindicado ciberataques contra o sistema ferroviário israelita, os meios de comunicação social ligados ao IRGC amplificaram e exageraram quase imediatamente as alegações. A Tasnim News Agency, ligada ao IRGC, citou incorretamente a cobertura de notícias israelita de um evento diferente, como prova de que o ciberataque tinha ocorrido.31 Esta notícia foi ainda amplificada por outros meios de comunicação iranianos e alinhados com o Irão, de forma a obscurecer ainda mais a falta de provas que sustentassem as alegações do ciberataque.32
Adoção emergente da IA para operações de influência 
A MTAC observou atores iranianos a utilizar imagens e vídeos gerados por IA, desde o início da guerra Israel-Hamas. O Cotton Sandstorm e o Storm-1364, bem como o Hezbollah e meios de comunicação social afiliados ao Hamas, utilizaram IA para reforçar a intimidação e desenvolver imagens que denigrem Netanyahu e a liderança israelita.
Figura 12: Operações de influência do Cotton Sandstorm, de agosto a dezembro de 2023, que ilustram vários métodos e atividades.
1. Colaboração em expansão 
Semanas após o início da guerra Israel-Hamas, começámos a ver exemplos de colaboração entre grupos afiliados ao Irão, o que reforçou o que os atores podiam alcançar. A colaboração reduz a barreira à entrada, permitindo que cada grupo contribua com as capacidades existentes e elimina a necessidade de um único grupo desenvolver um espetro completo de ferramentas ou de técnicas de trabalho.

Julgamos que dois grupos ligados ao MOIS, o Storm-0861 e o Storm-0842, colaboraram num ciberataque destrutivo em Israel, no final de outubro e, novamente, na Albânia, no final de dezembro. Em ambos os casos, o Storm-0861 provavelmente forneceu o acesso à rede, antes de o Storm-0842 executar o malware de eliminação. Da mesma forma, o Storm-0842 executou malware de eliminação em entidades governamentais albanesas, em julho de 2022, depois de o Storm-0861 ter obtido acesso.

Em outubro, outro grupo ligado ao MOIS, o Storm-1084, pode também ter tido acesso a uma organização em Israel, onde o Storm-0842 implementou o software de eliminação "BiBi", cujo nome deriva do facto de o malware dar novos nomes a ficheiros eliminados com a sequência "BiBi". O papel desempenhado pelo Storm-1084 não é claro, se é que teve algum, no ataque destrutivo. O Storm-1084 conduziu ciberataques destrutivos contra outra organização israelita, no início de 2023, viabilizado por outro grupo ligado ao MOIS, o Mango Sandstorm (também conhecido por MuddyWater).33

Desde o início da guerra, as Informações sobre Ameaças da Microsoft também detetaram a colaboração entre um grupo ligado ao MOIS, o Pink Sandstorm, e as unidades cibernéticas do Hezbollah. A Microsoft observou sobreposições de infraestruturas e partilha de ferramentas. A colaboração iraniana com o Hezbollah em operações cibernéticas, embora não seja inédita, representa um desenvolvimento preocupante, na medida em que a guerra pode aproximar ainda mais estes grupos de países diferentes a nível operacional.34 Uma vez que os ciberataques do Irão nesta guerra foram todos combinados com operações de influência, existe a probabilidade adicional de o Irão melhorar as suas operações de influência e o seu alcance, tirando partido de falantes nativos de árabe para reforçar a autenticidade das suas personas não autênticas.

2. Grande foco em Israel 
O foco dos atores cibernéticos iranianos sobre Israel intensificou-se. Há muito que o Irão se foca em Israel, que o Teerão considera o seu principal adversário, juntamente com os Estados Unidos. Assim, com base nos dados das Informações sobre Ameaças da Microsoft, nos últimos anos, as empresas israelitas e norte-americanas foram quase sempre os alvos mais comuns do Irão. No período que antecedeu a guerra, os atores iranianos focaram-se sobretudo em Israel, seguidos dos Emirados Árabes Unidos e dos Estados Unidos. Após o início da guerra, o foco em Israel aumentou. Quarenta e três por cento da atividade cibernética do estado-nação iraniano monitorizada pela Microsoft visou Israel, mais do que os seguintes 14 países visados em conjunto.
Discriminação percentual dos dados das Informações sobre Ameaças da Mogult, por país e por alvo iraniano, antes da guerra e 75 dias após o início da guerra

Espera-se que a ameaça das operações cibernéticas e de influência do Irão aumente à medida que o conflito Israel-Hamas persiste, em particular no contexto de um potencial crescente de escalamento noutras frontes. Enquanto os grupos iranianos se apressaram a conduzir, ou simplesmente a fabricar, operações nos primeiros dias da guerra, os grupos iranianos abrandaram as suas recentes operações, dando-lhes mais tempo para obter o acesso desejado ou desenvolver operações de influência mais elaboradas. O que as fases da guerra descritas neste relatório deixam claro é que as operações cibernéticas e de influência iranianas progrediram lentamente, tornando-se mais direcionadas, colaborativas e destrutivas.

Os atores iranianos também se tornaram cada vez mais ousados nos seus alvos, nomeadamente num ataque cibernético contra um hospital e o teste às linhas vermelhas de Washington, aparentemente despreocupados com as repercussões. Os ataques do IRGC aos sistemas de controlo de água dos EUA, embora oportunistas, foram aparentemente um estratagema inteligente para testar Washington, alegando legitimidade para atacar equipamento fabricado em Israel.

Antes das eleições norte-americanas de novembro de 2024, a crescente colaboração entre grupos iranianos e afiliados ao Irão pressagia um maior desafio para aqueles que se dedicam à defesa das eleições. Os defensores já não se podem consolar com a monitorização de alguns grupos. Em vez disso, um número crescente de agentes de acesso, grupos de influência e atores cibernéticos contribui para um ambiente de ameaça mais complexo e interligado.

Mais informações de especialistas sobre as operações de influência do Irão

Saiba mais da boca de especialistas sobre as operações de ciberinfluência do Irão, focando-se nas ações do Irão relacionadas com as eleições presidenciais norte-americanas de 2020 e a guerra entre Israel e o Hamas, a partir das Informações sobre Ameaças da Microsoft. O debate aborda as táticas utilizadas pelos atores iranianos, como a usurpação de identidade, o recrutamento de habitantes locais e a utilização de e-mails e mensagens de texto para amplificação. Também contextualiza as complexidades das atividades cibernéticas iranianas, os seus esforços de colaboração, o consumo de propaganda, as táticas criativas e os desafios na atribuição de operações de influência.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Operações de ciberinfluência Estado-nação Relatórios de estados-nações Atores de ameaças

Artigos relacionados

Os atores de ameaças russos preparam-se para tirar partido da fatiga da guerra 

As operações ciberinfluência russas persistem enquanto a guerra na Ucrânia continua. As Informações sobre Ameaças da Microsoft detalham as mais recentes atividades de ciberameaça e influência nos últimos seis meses.
Saber mais

O Irão está a recorrer a operações de influência cibernética para obter um maior efeito

A Microsoft Threat Intelligence descobriu um aumento das operações de influência cibernética a partir do Irão. Obter informações sobre ameaças com detalhes de novas técnicas e onde existe o potencial para futuras ameaças.
Saiba mais

As operações cibernéticas e de influência da guerra no campo de batalha digital da Ucrânia

As Informações sobre Ameaças da Microsoft analisam um ano de operações cibernéticas e de influência na Ucrânia, revela novas tendências em termos de ciberameaças e o que esperar à medida que a guerra entra no seu segundo ano.
Saiba mais