Iran đẩy mạnh các hoạt động gây ảnh hưởng dựa trên mạng để hỗ trợ Hamas
Định nghĩa thuật ngữ chính
- Hoạt động gây ảnh hưởng dựa trên mạng
Những hoạt động kết hợp giữa hoạt động tấn công trên mạng máy tính với việc truyền bá thông điệp và tăng cường phát tán thông tin mang tính thao túng và phối hợp nhằm thay đổi nhận thức, hành vi hoặc quyết định của đối tượng mục tiêu để hỗ trợ cho lợi ích và mục tiêu của một nhóm hay một quốc gia. - Nhân vật trên mạng
Một nhóm hoặc cá nhân được tạo ra để đối diện với công chúng. Đối tượng này sẽ chịu trách nhiệm về hoạt động trên mạng, đồng thời mang đến khả năng phủ nhận hợp lý cho nhóm hoặc quốc gia chịu trách nhiệm đứng sau. - Con rối
Một nhân vật trực tuyến giả sử dụng danh tính hư cấu hoặc danh tính bị đánh cắp nhằm mục đích đánh lừa.
Hoạt động gây ảnh hưởng ngày càng tinh vi và giả dối hơn, sử dụng các mạng lưới "con rối" trên mạng xã hội khi cuộc chiến tiếp diễn. Trong suốt cuộc chiến, những hoạt động gây ảnh hưởng này nhắm đến việc đe dọa người dân Israel, đồng thời chỉ trích các hoạt động quân sự và việc xử lý con tin của chính phủ Israel nhằm tạo ra sự phân cực, cuối cùng là gây bất ổn cho Israel. các hoạt động quân sự và việc xử lý con tin của chính phủ Israel nhằm tạo ra sự phân cực, cuối cùng là gây bất ổn cho Israel.
Sau cùng, Iran chĩa mũi dùi của các cuộc tấn công qua mạng và hoạt động gây ảnh hưởng vào đồng minh chính trị và đối tác kinh tế của Israel, nhằm làm suy yếu sự ủng hộ dành cho hoạt động quân sự của quốc gia này.
Chúng tôi dự kiến rằng mối đe dọa đến từ các hoạt động trên mạng và gây ảnh hưởng của Iran sẽ vẫn lớn dần chừng nào cuộc xung đột vẫn còn tiếp diễn, đặc biệt là khi nguy cơ về một cuộc chiến mở rộng ngày càng hiện hữu rõ nét hơn. Chúng tôi nhận thấy những tín hiệu cảnh báo về mối đe dọa gia tăng trước thềm cuộc bầu cử Hoa Kỳ sắp diễn ra vào tháng 11 khi chứng kiến thái độ ngày một gan lì của các tác nhân của Iran và có liên kết với Iran, cũng như sự tăng cường cộng tác giữa các đối tượng này.
Các hoạt động qua mạng và gây ảnh hưởng của Iran đã phát triển qua nhiều giai đoạn khác nhau kể từ cuộc tấn công khủng bố của Hamas vào ngày 7 tháng 10. Tuy vậy, có một yếu tố vẫn được giữ nguyên xuyên suốt những hoạt động này: sự kết hợp giữa hành vi nhắm mục tiêu trên mạng mang tính cơ hội và hoạt động gây ảnh hưởng thường gây hiểu nhầm về độ chính xác hoặc phạm vi tác động.
Báo cáo này tập trung vào các hoạt động gây ảnh hưởng dựa trên mạng và hoạt động gây ảnh hưởng nói chung của Iran diễn ra từ ngày 7 tháng 10 đến hết năm 2023, đồng thời xem xét các xu hướng và hoạt động kể từ mùa xuân năm 2023.
Giai đoạn 1: Phản kháng và gây hiểu lầm
Các nhóm của Iran thực hiện hành vi mang tính phản kháng trong giai đoạn đầu của cuộc chiến Israel – Hamas. Đơn vị truyền thông của nhà nước Iran công bố thông tin chi tiết gây hiểu lầm về các cuộc tấn công qua mạng tự nhận. Các nhóm của Iran tái sử dụng tư liệu cũ từ những hoạt động trước đây, thay đổi mục tiêu của quyền truy nhập mà họ đã có từ trước cuộc chiến và thổi phồng phạm vi cũng như mức tác động nói chung của các cuộc tấn công qua mạng tự nhận này.
Gần bốn tháng sau khi cuộc chiến nổ ra, dữ liệu của Microsoft vẫn chưa cho thấy bằng chứng rõ ràng về việc các nhóm của Iran đã phối hợp các hoạt động trên mạng hoặc hoạt động gây ảnh hưởng với kế hoạch tấn công Israel vào ngày 7 tháng 10 của Hamas. Mặt khác, phần lớn dữ liệu và kết quả nghiên cứu của chúng tôi thể hiện rằng các tác nhân trên mạng của Iran chỉ mang tính phản kháng: Họ nhanh chóng đẩy mạnh các hoạt động trên mạng và gây ảnh hưởng để trả đũa Israel sau cuộc tấn công của Hamas.
Vào ngày cuộc chiến nổ ra, Hãng thông tấn Tasnim, một cơ quan truyền thông Iran có liên kết với lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), đã tuyên bố sai sự thật rằng một nhóm mang tên “Cyber Avengers” đã thực hiện cuộc tấn công qua mạng nhắm vào nhà máy điện của Israel “vào cùng thời điểm” với cuộc tấn công của Hamas. 2 Cyber Avengers, một nhân vật trên mạng do IRGC điều hành, thực ra đã tuyên bố rằng họ đã thực hiện cuộc tấn công qua mạng nhắm vào một công ty điện lực Israel vào buổi tối trước khi cuộc tập kích của Hamas diễn ra.3 Bằng chứng họ đưa ra là bài báo đã xuất bản từ vài tuần trước nói về tình trạng mất điện “trong vài năm gần đây” và một ảnh chụp màn hình thông báo gián đoạn dịch vụ không rõ ngày tháng trên website của công ty này. 4
Sau cuộc tấn công Israel do Hamas gây ra, Cyber Avengers tuyên bố đã thực hiện một loạt các cuộc tấn công qua mạng nhắm vào Israel, song kết quả điều tra của chúng tôi cho thấy cuộc tấn công đầu tiên không phải là sự thật. Vào ngày 8 tháng 10, họ tuyên bố phát tán trái phép tài liệu của nhà máy điện Israel, nhưng thật ra “Moses Staff” – một nhân vật trên mạng khác do IRGC điều hành – đã công bố những tài liệu đó từ tháng 6 năm 2022. 5
“Malek Team” cũng là một nhân vật trên mạng nằm trong phạm vi đánh giá của chúng tôi. Nhóm này do Bộ Tình báo và An ninh (MOIS) Iran điều hành và đã phát tán trái phép dữ liệu cá nhân của một trường đại học Israel vào ngày 8 tháng 10 nhưng không cho thấy mối liên kết rõ ràng với việc nhắm đến cuộc xung đột đang bùng nổ tại đó. Như vậy, chúng ta có thể thấy rằng mục tiêu này mang tính cơ hội và có thể đã được chọn dựa trên quyền truy nhập có từ trước khi cuộc chiến nổ ra. Thay vì tạo ra mối liên kết giữa dữ liệu bị rò rỉ và sự ủng hộ dành cho hoạt động của Hamas, ban đầu, Malek Team sử dụng hashtag trên nền tảng X (trước đây là Twitter) để ủng hộ Hamas. Vài ngày sau, họ mới thay đổi thông điệp để thống nhất với luồng thông điệp bôi nhọ Thủ tướng Israel Benjamin Netanyahu vốn đã xuất hiện trong các hoạt động gây ảnh hưởng khác của Iran.
Mức độ tiếp cận nội dung truyền thông đến từ các bên liên kết với nhà nước Iran tăng đột biến sau khi Cuộc chiến Israel – Hamas nổ ra. Vào tuần đầu tiên cuộc xung đột diễn ra, chúng tôi nhận thấy Chỉ số Tuyên truyền của Iran trong Microsoft AI for Good Lab tăng 42%. Đây là chỉ số giám sát mức độ tiếp nhận tin tức đến từ nhà nước Iran và các cơ quan tin tức có liên kết với nhà nước Iran (xem Hình 1). Chỉ số này đo lường tỷ lệ lưu lượng truy nhập các site này so với toàn bộ lưu lượng truy nhập trên internet. Lưu lượng truy nhập tăng đột biến rõ rệt ở các nước nói tiếng Anh là đồng minh thân cận với Hoa Kỳ (Hình 2), cho ta thấy rõ khả năng của Iran trong việc tiếp cận đối tượng phương Tây khi đưa tin về cuộc xung đột tại Trung Đông. Một tháng sau khi cuộc chiến nổ ra, mức độ tiếp cận trên toàn cầu của các nguồn tin từ Iran này vẫn duy trì ở mức cao hơn 28 – 29% so với thời điểm trước cuộc chiến.
Hoạt động gây ảnh hưởng của Iran trong giai đoạn đầu của cuộc chiến có vẻ linh hoạt và đạt hiệu quả cao hơn so với tổ hợp các hoạt động trên mạng và gây ảnh hưởng diễn ra ở giai đoạn sau của cuộc xung đột. Trong những ngày Hamas tấn công Israel, một tác nhân rất có thể do nhà nước Iran đứng sau mà chúng tôi gọi là Storm-1364, đã triển khai hoạt động gây ảnh hưởng bằng một nhân vật trực tuyến mang tên “Tears of War”. Họ mạo danh các nhà hoạt động Israel và phát tán thông điệp chống lại Netanyahu đến đối tượng là người dân Israel trên nhiều nền tảng mảng xã hội và nền tảng nhắn tin. Tốc độ mà Storm-1364 triển khai chiến dịch này sau các cuộc tấn công ngày 7 tháng 10 đã cho thấy khả năng linh hoạt của nhóm này, cũng như chỉ rõ lợi thế của chiến dịch chỉ tập trung vào gây ảnh hưởng. Họ có thể tạo lập chiến dịch này nhanh hơn vì không cần chờ hoạt động trên mạng trong hoạt động gây ảnh hưởng dựa trên mạng.
Giai đoạn 2: Huy động toàn lực
Từ giữa đến cuối tháng 10, đã có thêm nhiều nhóm của Iran chuyển sự tập trung sang Israel, đồng thời, hoạt động gây ảnh hưởng dựa trên mạng của Iran cũng chuyển từ chủ yếu mang tính phản kháng, ngụy tạo hoặc cả hai, sang cả các cuộc tấn công qua mạng mang tính hủy diệt và mở rộng mục tiêu nhắm đến của hoạt động. Những cuộc tấn công này bao gồm xóa dữ liệu, phát tán mã độc tống tiền và dường như là cả can thiệp vào thiết bị thuộc loại vật dụng kết nối Internet (IoT).6 Chúng tôi cũng thấy bằng chứng về sự hợp tác mạnh mẽ hơn giữa các nhóm của Iran.
Trong tuần đầu của cuộc chiến, Microsoft Threat Intelligence đã theo dõi chín nhóm của Iran chủ động nhắm đến Israel. Vào ngày thứ 15, con số này tăng lên thành 14 nhóm. Trong một số trường hợp, chúng tôi nhận thấy có nhiều nhóm của IRGC hoặc MOIS thực hiện hoạt động trên mạng hoặc hoạt động gây ảnh hưởng nhắm vào cùng một tổ chức hoặc căn cứ quân đội. Đây có thể là dấu hiệu cho thấy Tehran đã đặt ra các mục tiêu phối hợp, mục tiêu chung hoặc là kết hợp cả hai.
Hoạt động gây ảnh hưởng dựa trên mạng cũng tăng đột biến. Chúng tôi đã quan sát được bốn hoạt động gây ảnh hưởng dựa trên mạng được gấp rút triển khai để nhắm vào Israel trong tuần đầu của cuộc chiến. Vào cuối tháng 10, số lượng hoạt động này đã tăng hơn gấp đôi, đánh dấu sự tăng tốc đáng kể trong các hoạt động này với tốc độ nhanh nhất từ trước đến nay (xem Hình 4).
Vào ngày 18 tháng 10, Nhóm Shahid Kaveh thuộc IRGC, mà Microsoft gọi là Storm-0784, đã sử dụng mã độc tống tiền tùy chỉnh để thực hiện cuộc tấn công trên mạng nhắm vào các camera an ninh tại Israel. Sau đó, nhóm này sử dụng “Soldiers of Solomon” – một trong số các nhân vật trên mạng của họ để đưa ra tuyên bố sai sự thật rằng nhân vật này đã chiếm đoạt được camera và dữ liệu tại Căn cứ Không quân Nevatim. Kết quả điều tra cảnh quay an ninh rò rỉ từ Soldiers of Solomon cho thấy những cảnh quay này là từ con phố mang tên Nevatim thuộc một thị trấn nằm ở phía bắc Tel Aviv, chứ không phải từ căn cứ không quân cùng tên. Trên thực tế, kết quả phân tích vị trí của nạn nhân cho thấy không có vị trí nào nằm gần căn cứ quân sự nói trên (xem Hình 5). Tuy các nhóm của Iran đã bắt đầu các cuộc tấn công mang tính phá hủy, song hoạt động của họ vẫn chủ yếu mang tính cơ hội và tiếp tục tận dụng hoạt động gây ảnh hưởng để thổi phồng độ chính xác hoặc hiệu quả của cuộc tấn công.
Vào ngày 21 tháng 10, Cotton Sandstorm (thường được gọi là Emennet Pasargad) – một nhân vật trên mạng khác do nhóm IRGC điều hành – đã chia sẻ một video cho thấy những kẻ tấn công đang phá hoại các màn hình kỹ thuật số tại giáo đường Do Thái bằng những thông điệp gọi các hoạt động của Israel tại Gaza là “hành động diệt chủng”. 7 Hoạt động này đánh dấu phương pháp lồng ghép thông điệp trực tiếp vào cuộc tấn công qua mạng nhắm đến một mục tiêu tương đối mềm.
Trong giai đoạn này, hoạt động gây ảnh hưởng của Iran đã sử dụng các hình thức sâu rộng và tinh vi hơn để tăng cường phát tán thông tin không đúng sự thật. Trong hai tuần đầu của cuộc chiến, chúng tôi chỉ phát hiện những hình thức nâng cao của hoạt động tăng cường phát tán thông tin không đúng sự thật ở mức tối thiểu. Điều này một lần nữa chứng tỏ rằng những hoạt động đó chỉ mang tính phản kháng. Đến tuần thứ ba của cuộc chiến, tác nhân gây ảnh hưởng có hiệu quả cao nhất của Iran, Cotton Sandstorm, đã chào sân bằng việc triển khai ba hoạt động gây ảnh hưởng dựa trên mạng vào ngày 21 tháng 10. Như chúng ta thường thấy, nhóm này đã sử dụng mạng lưới con rối trên mạng xã hội để tăng cường phát tán thông tin về các hoạt động, mặc dù có vẻ như họ đã gấp rút thay đổi mục đích sử dụng đến mức quên ngụy trang cho nhiều con rối bằng một vỏ bọc chuẩn người Israel. Cotton Sandstorm đã nhiều lần gửi tin nhắn văn bản hoặc email hàng loạt để tăng cường phát tán thông tin hay khoe khoang về hoạt động của mình. Họ lợi dụng các tài khoản bị xâm phạm để nâng cao độ xác thực.8
Giai đoạn 3: Mở rộng phạm vi địa lý
Từ cuối tháng 11, các nhóm của Iran đã mở rộng hoạt động gây ảnh hưởng dựa trên mạng ra ngoài phạm vi Israel, nhắm đến cả những quốc gia có vai trò hỗ trợ đối với Iran. Mục tiêu của việc này rất có thể là để làm suy giảm sự hỗ trợ về chính trị, quân sự hoặc kinh tế của quốc tế dành cho hoạt động quân sự của Israel. Việc mở rộng phạm vi mục tiêu này khớp với thời điểm tổ chức Houthi (nhóm vũ trang của người Shi’ite tại Yemen, do Iran đứng sau) bắt đầu tấn công hoạt động vận chuyển quốc tế có liên quan đến Israel (xem Hình 8).9
- Vào ngày 20 tháng 11, “Homeland Justice” – nhân vật trên mạng do Iran điều hành – đã ra cảnh báo về các cuộc tấn công lớn sắp xảy ra nhắm vào Albania. Sau đó, họ tăng cường phát tán thông tin về cuộc tấn công qua mạng mang tính hủy diệt nhắm vào Nghị viện, hãng hàng không quốc gia và các nhà cung cấp dịch vụ viễn thông của Albania do các nhóm của MOIS thực hiện vào cuối tháng 12. 10
- Vào ngày 21 tháng 11, “Al-Toufan” – nhân vật trên mạng do Cotton Sandstorm điều hành – đã nhắm đến các tổ chức chính phủ và tài chính của Bahrain, do nước này đã bình thường hóa quan hệ với Israel.
- Đến ngày 22 tháng 11, các nhóm liên kết với IRGC bắt đầu nhắm đến các bộ điều khiển logic lập trình được (PLC) do Israel sản xuất và đặt tại Hoa Kỳ, có thể là cả tại Ireland, trong đó có việc ngắt kết nối mạng của một PLC tại cơ quan cấp nước ở Pennsylvania vào ngày 25 tháng 11 (Hình 6).11 PLC là máy tính công nghiệp được điều chỉnh để đáp ứng hoạt động kiểm soát quy trình sản xuất, chẳng hạn như dây chuyền lắp ráp, máy móc và thiết bị robot.
- Vào đầu tháng 12, “Cyber Toufan Al-Aksa” – một nhân vật do Iran tài trợ nằm trong phạm vi đánh giá của MTAC – tuyên bố phát tán trái phép dữ liệu của hai công ty Mỹ vì hai công ty này đang hỗ trợ tài chính cho Israel và cung cấp trang thiết bị cho quân đội Israel.12 Trước đó, họ cũng tuyên bố đã tấn công và xóa dữ liệu của các công ty này vào ngày 16 tháng 11.13 Do không có bằng chứng điều tra số thuyết phục có thể liên kết nhóm này với Iran nên rất có thể nhân vật này là do đối tác nằm ở nước ngoài của Iran điều hành, với sự can thiệp của Iran.
Hoạt động gây ảnh hưởng dựa trên mạng của Iran ngày càng trở nên tinh vi hơn trong giai đoạn gần nhất này. Họ đã ngụy trang con rối khéo hơn bằng cách đổi tên và thay ảnh đại diện, để con rối trông giống người Israel đích thực hơn. Đồng thời, họ cũng đã sử dụng những kỹ thuật mới mà chúng tôi chưa từng thấy ở các tác nhân của Iran, bao gồm cả việc sử dụng AI làm thành phần chính trong hoạt động truyền thông điệp. Chúng tôi đánh giá việc Cotton Sandstorm làm gián đoạn dịch vụ truyền hình trực tuyến tại Các Tiểu vương quốc Ả Rập Thống nhất và những nơi khác vào tháng 12, dưới vỏ bọc của một nhân vật gọi là “For Humanity” For Humanity phát hành các video trên Telegram cho thấy nhóm này xâm nhập vào ba dịch vụ phát trực tuyến và làm gián đoạn một số kênh tin tức bằng cách chèn một bản tin giả có sự xuất hiện của phát thanh viên có vẻ là do AI tạo ra. Bản tin này tuyên bố rằng họ đang trình chiếu hình ảnh người dân Palestine bị thương và thiệt mạng do hoạt động quân sự của Israel (Hình 7).14 Các cơ quan tin tức và người xem tại Các Tiểu vương quốc Ả Rập Thống nhất, Canada và Vương quốc Anh đã báo cáo về sự gián đoạn trong chương trình truyền hình trực tuyến, trong đó có cả BBC, trùng khớp với tuyên bố của For Humanity.15
Hoạt động của Iran hướng đến bốn mục tiêu chung: gây bất ổn, trả đũa, đe dọa và làm suy giảm sự ủng hộ của quốc tế dành cho Israel. Cả bốn mục tiêu này cũng nhắm đến việc làm suy giảm môi trường thông tin của cả Israel và các bên ủng hộ, để từ đó tạo ra tình trạng rối loạn nói chung và giảm mức độ tin cậy.
Trong cuộc chiến Israel – Hamas, Iran ngày càng tập trung vào việc khơi dậy sự xung đột nội bộ trong Israel về cách thức tiếp cận cuộc chiến của chính phủ Israel. Nhiều hoạt động gây ảnh hưởng của Iran đã giả danh các nhóm hoạt động của Israel để reo rắc thông điệp gây kích động, chỉ trích cách tiếp cận của chính phủ với các con tin bị bắt cóc và bắt giữ vào ngày 7 tháng 10.17 Netanyahu là mục tiêu chính của các thông điệp này. Chủ đề quen thuộc trong các hoạt động gây ảnh hưởng của Iran cũng là kêu gọi truất quyền vị Thủ tướng này.18
Bản chất trả đũa trong hoạt động của Iran thể hiện rõ nét qua nhiều thông điệp và đối tượng mà họ lựa chọn. Ví dụ: Nhân vật có tên chính thức là Cyber Avengers đã phát hành một video cho thấy Bộ trưởng Quốc phòng Israel tuyên bố rằng Israel sẽ cắt điện, nước, thực phẩm và nhiên liệu của Thành phố Gaza (xem Hình 9), theo sau đó là chuỗi cuộc tấn công do Cyber Avengers tự nhận nhắm vào hạ tầng điện, nước và nhiên liệu của Israel.19 Tuyên bố vào vài ngày trước đó của họ về các cuộc tấn công vào hệ thống cấp nước quốc gia Israel cũng bao gồm thông điệp “Ăn miếng trả miếng” và Hãng thông tấn Tasnim có liên kết với IRGC đã đưa tin rằng nhóm này cho biết cuộc tấn công vào hệ thống cấp nước là đòn trả đũa cho cuộc vây hãm tại Gaza.20 Một nhóm có liên kết với MOIS mà chúng tôi gọi là Pink Sandstorm (còn có tên là Agrius) đã xâm nhập và phát tán trái phép dữ liệu của một bệnh viện của Israel vào cuối tháng 11. Có vẻ như đây là đòn trả đũa cho cuộc vây hãm dài ngày của Israel tại Bệnh viện al-ở Gaza vào hai tuần trước đó.21
Hoạt động của Iran cũng hướng đến làm suy giảm tình hình an ninh tại Israel và đe dọa công dân Israel cũng như các bên ủng hộ Israel qua việc đưa ra thông điệp hăm dọa và thuyết phục đối tượng mục tiêu rằng hạ tầng và hệ thống chính phủ của nhà nước họ không hề an toàn. Một số hoạt động đe dọa của Iran dường như có mục đích làm xói mòn ý chí tiếp tục chiến đấu của Israel, chẳng hạn như thông điệp nhằm thuyết phục binh lính IDF “rời bỏ cuộc chiến và trở về nhà” (Hình 10).22 Một nhân vật trên mạng của Iran, có thể dưới vỏ bọc Hamas, tuyên bố rằng họ đã gửi tin nhắn văn bản hăm dọa đến gia đình của binh lính Israel, đồng thời bổ sung rằng “Binh lính IDF [Lực lượng Phòng vệ Israel] nên biết rằng chừng nào gia đình của chúng tôi không được an toàn, thì gia đình của họ cũng vậy”.23 Các con rối tăng cường phát tán thông tin về nhân vật Hamas này truyền đi thông điệp trên X rằng IDF “không hề có khả năng bảo vệ binh lính của mình” và dẫn dắt người xem đến chuỗi thông điệp được cho là của binh lính IDF cầu xin Hamas tha cho gia đình họ.24
Hoạt động gây ảnh hưởng của Iran nhắm đến đối tượng quốc tế thường sử dụng các thông điệp nhấn mạnh về những thiệt hại mà các cuộc tấn công của Israel tại Gaza gây ra, nhằm làm suy giảm sự ủng hộ của quốc tế dành cho Israel. Một nhân vật giả danh là nhóm ủng hộ người Palestine đã gọi hành động của Israel tại Gaza là “hành động diệt chủng”.25 Vào tháng 12, Cotton Sandstorm đã thực hiện nhiều hoạt động gây ảnh hưởng – dưới danh nghĩa “For Palestinians” và “For Humanity” nhằm kêu gọi cộng đồng quốc tế lên án các cuộc tấn công của Israel tại Gaza.26
Iran chủ yếu dựa vào bốn chiến thuật, kỹ thuật và quy trình (TTP) gây ảnh hưởng trong hơn chín tháng qua để đạt được mục tiêu trong không gian thông tin. Các chiến thuật này bao gồm việc sử dụng kỹ thuật mạo danh và khả năng nâng cao để thúc đẩy đối tượng mục tiêu hành động, kết hợp với việc đẩy mạnh sử dụng chiến dịch tin nhắn văn bản cũng như sử dụng đơn vị truyền thông thân cận với IRGC để tăng cường phát tán thông tin về các hoạt động gây ảnh hưởng.
Các nhóm của Iran đã phát huy kỹ thuật mạo danh có từ lâu bằng cách phát triển các nhân vật mang tính cụ thể và tính thuyết phục cao hơn nhằm giả danh cả bạn và thù của Iran. Nhiều hoạt động và nhân vật trước đây của Iran từng đóng vai trò là nhà hoạt động vì các mục đích cao đẹp của Palestine.27 Các hoạt động gần đây từ một nhân vật do Cotton Sandstorm điều hành và nằm trong phạm vi đánh giá của chúng tôi đã vượt quá điều đó, sử dụng tên và logo của al-Qassam Brigades, cánh quân sự của Hamas, để phát tán thông điệp sai sự thật về con tin bị bắt giữ tại Gaza và gửi thông điệp hăm dọa đến người dân Israel. Một kênh Telegram khác từng hăm dọa nhân sự IDF và phát tán trái phép dữ liệu cá nhân của họ, do nhóm MOIS điều hành và nằm trong phạm vi đánh giá của chúng tôi, cũng đã sử dụng logo của al-Qassam Brigades. Chúng tôi không rõ liệu hành động hiện tại của Iran đã được Hamas chấp thuận hay chưa.
Tương tự như vậy, Iran tạo ra ngày càng nhiều phiên bản giả mạo mang tính thuyết phục cao của các tổ chức hoạt động Israel hư cấu, thuộc cả cánh tả và cánh hữu trong chính trường Israel. Thông qua các nhà hoạt động giả này, Iran tìm cách xâm nhập vào cộng đồng người Israel để xây dựng lòng tin và reo rắc mối bất hòa.
Vào tháng 4 và tháng 11, Iran đã thành công liên tiếp trong việc chiêu dụ những người Israel thiếu hiểu biết tham gia vào các hành động xúc tiến hoạt động sai trái tại địa phương. Trong hoạt động “Tears of War” gần đây, các gián điệp Iran được cho là đã thuyết phục thành công người dân Israel treo biểu ngữ có tên Tears of War ở các khu phố Israel. Trên biểu ngữ có hình ảnh Netanyahu do AI tạo ra và thông điệp kêu gọi truất quyền vị Thủ tướng này (xem Hình 11).28
Trong khi các hoạt động gây ảnh hưởng của Iran vẫn phụ thuộc đáng kể vào kỹ thuật tăng cường phát tán thông tin không đúng sự thật mang tính phối hợp trên mạng xã hội để tiếp cận đối tượng mục tiêu, Iran cũng ngày càng tận dụng tin nhắn văn bản và email hàng loạt để nâng cao hiệu ứng tâm lý cho hoạt động gây ảnh hưởng dựa trên mạng của mình. Việc tăng cường phát tán thông tin trên mạng xã hội bằng con rối không có tác động mạnh bằng một tin nhắn xuất hiện trong hộp thư đến, chưa kể đến là trên điện thoại của cá nhân. Cotton Sandstorm phát huy các thành quả trước đây bằng cách bắt đầu sử dụng kỹ thuật này vào năm 2022.29 Họ gửi hàng loạt tin nhắn văn bản, email hoặc cả hai trong ít nhất là sáu hoạt động kể từ tháng 8. Việc tăng cường sử dụng kỹ thuật này cho thấy rằng nhóm đã hoàn thiện khả năng này và coi đó là một công cụ hiệu quả. Hoạt động “Cyber Flood” của Cotton Sandstorm vào cuối tháng 10 đã gửi tới ba bộ tin nhắn văn bản và email đến hàng loạt người dân Israel để tăng cường phát tán thông tin về các cuộc tấn công qua mạng tự nhận hoặc đưa ra cảnh báo giả về cuộc tấn công của Hamas vào cơ sở hạt nhân của Israel ở gần Dimona.30 Họ đã tận dụng tài khoản bị xâm phạm để nâng cao độ xác thực của email trong ít nhất là một trường hợp.
Iran đã sử dụng cả cơ quan truyền thông công khai và ngầm, có liên kết với IRGC để tăng cường phát tán thông tin về các hoạt động trên mạng tự nhận và đôi khi cũng thổi phồng hiệu quả của chúng. Vào tháng 9, sau khi Cyber Avengers đưa ra tuyên bố về cuộc tấn công qua mạng nhắm vào hệ thống đường sắt của Israel, một đơn vị truyền thông có liên kết với IRGC gần như ngay lập tức tăng cường phát tán thông tin và thổi phồng các tuyên bố này. Hãng thông tấn Tasnim – đơn vị có liên kết với IRGC – đã viện dẫn sai bản tin của Israel về một sự kiện khác để làm bằng chứng cho cuộc tấn công qua mạng vừa xảy ra.31 Các cơ quan truyền thông của Iran và cùng phe với Iran tiếp tục tăng cường phát tán bản tin này, góp phần che đậy cho việc thiếu bằng chứng về tuyên bố liên quan đến cuộc tấn công qua mạng này.32
MTAC nhận thấy các tác nhân của Iran đã sử dụng hình ảnh và video do AI tạo kể từ khi cuộc chiến Israel – Hamas nổ ra. Cotton Sandstorm và Storm-1364, cũng như Hezbollah và các cơ quan truyền thông có liên kết với Hamas, đã tận dụng Al để tăng cường tính đe dọa và tạo ra những hình ảnh bôi nhọ Netanyahu cũng như đội ngũ lãnh đạo Israel.
Vài tuần sau khi cuộc chiến Israel – Hamas nổ ra, chúng tôi bắt đầu thấy được những ví dụ về sự cộng tác giữa các nhóm có liên kết với Iran. Việc này tạo điều kiện cho các tác nhân đạt được thành quả lớn hơn. Sự cộng tác này sẽ giảm bớt rào cản gia nhập, từ đó cho phép mỗi nhóm đóng góp khả năng hiện có của mình, cũng như giúp một nhóm không cần phải sở hữu toàn bộ các công cụ hay bí kíp.
Chúng tôi đánh giá rằng Storm-0861 và Storm-0842 – hai nhóm có liên kết với MOIS – đã cộng tác với nhau để thực hiện cuộc tấn công qua mạng mang tính hủy diệt tại Israel vào cuối tháng 10 và thực hiện một lần nữa tại Albania vào cuối tháng 12. Trong cả hai trường hợp, có vẻ như Storm-0861 đã cung cấp quyền truy nhập vào mạng lưới, rồi Storm-0842 mới thực thi phần mềm xấu xóa sạch. Tương tự, Storm-0842 đã thực thi phần mềm xấu xóa sạch tại các cơ quan chính phủ của Albania vào tháng 7 năm 2022, sau khi Storm-0861 có được quyền truy nhập.
Vào tháng 10, Storm-1084 – một nhóm khác có liên kết với MOIS – cũng có thể đã có được quyền truy nhập vào một tổ chức tại Israel, chính là nơi mà Storm-0842 đã triển khai trình xóa sạch “BiBi”. Cái tên này xuất phát từ việc phần mềm xấu sẽ đặt lại tên cho các tệp bị xóa sạch thành “BiBi”. Chúng tôi không rõ Storm-1084 có vai trò gì trong cuộc tấn công mang tính hủy diệt này (nếu có). Storm-1084 đã thực hiện các cuộc tấn công qua mạng mang tính hủy diệt với một tổ chức Israel khác vào đầu năm 2023 nhờ sự hỗ trợ của Mango Sandstorm (còn có tên là MuddyWater) – một nhóm khác có liên kết với MOIS.33
Kể từ khi cuộc chiến nổ ra, Microsoft Threat Intelligence cũng đã phát hiện sự cộng tác giữa Pink Sandstorm – một nhóm khác có liên kết với MOIS – và đơn vị tác chiến trên mạng của Hezbollah. Microsoft đã nhận thấy hạ tầng chồng chéo và công cụ dùng chung. Tuy đây không phải lần đầu Iran cộng tác với Hezbollah trong hoạt động trên mạng, song việc này phản ánh một sự phát triển đáng quan ngại, rằng cuộc chiến có thể đưa các tổ chức thuộc các quốc gia khác nhau xích lại gần nhau hơn nữa về mặt hoạt động.34 Vì các cuộc tấn công qua mạng của Iran trong cuộc chiến này đều kết hợp với các hoạt động gây ảnh hưởng nên cũng khả năng rằng Iran sẽ tăng cường các hoạt động gây ảnh hưởng và phạm vi tiếp cận của họ bằng cách tận dụng cộng đồng nói tiếng Ả Rập bản địa để nâng cao độ xác thực cho các nhân vật giả của mình.
Các tác nhân trên mạng của Iran tập trung cao độ vào Israel. Từ lâu, Iran đã tập trung vào Israel, quốc gia mà Tehran coi là đối thủ chính của mình, bên cạnh Hoa Kỳ. Do đó, dựa trên dữ liệu của Microsoft Threat Intelligence, các công ty của Israel và Hoa Kỳ gần như luôn là mục tiêu quen thuộc nhất của Iran trong vài năm qua. Cho đến trước cuộc chiến, các tác nhân của Iran tập trung nhất vào Israel, theo sau là Các Tiểu vương quốc Ả Rập Thống nhất và Hoa Kỳ. Sau khi cuộc chiến nổ ra, mức độ tập trung vào Israel đã tăng vọt. Dựa trên theo dõi của Microsoft, 43% các hoạt động trên mạng do nhà nước Iran đứng sau là nhắm vào Israel, nhiều hơn mức cộng lại của 14 quốc gia mục tiêu đứng sau.
Chúng tôi dự kiến rằng mối đe dọa đến từ các hoạt động trên mạng và gây ảnh hưởng của Iran sẽ vẫn lớn dần chừng nào cuộc xung đột Israel – Hamas vẫn còn tiếp diễn, đặc biệt là khi nguy cơ leo thang dọc theo các mặt trận bổ sung ngày càng hiện hữu rõ nét hơn. Tuy từng gấp rút thực hiện, hoặc đơn thuần là ngụy tạo, các hoạt động vào giai đoạn đầu của cuộc chiến, song các nhóm của Iran đã giảm tốc độ của hoạt động tấn công hiện tại nhằm có thêm thời gian để có được quyền truy nhập mong muốn hoặc phát triển các hoạt động gây ảnh hưởng mang tính tinh vi hơn. Báo cáo này vạch ra các giai đoạn của cuộc chiến nhằm chứng tỏ rằng các hoạt động trên mạng và gây ảnh hưởng của Iran đang từ từ phát triển, dần hướng đến mục tiêu rõ rệt hơn, mang tính cộng tác và tính hủy diệt cao hơn.
Các tác nhân của Iran cũng đã lựa chọn mục tiêu táo tợn hơn nhiều, đáng chú ý nhất là cuộc tấn công qua mạng nhằm vào một bệnh viện và việc thử thách lằn ranh đỏ của Washington mà dường như không hề lo ngại về hậu quả. Cuộc tấn công của IRGC vào hệ thống kiểm soát nước của US Hoa Kỳ tuy mang tính cơ hội, song dường như lại là một nước đi khôn ngoan để thử thách Washington bằng cách tuyên bố tính chính đáng trong việc tấn công thiết bị do Israel sản xuất.
Trước thềm cuộc bầu cử Hoa Kỳ sẽ diễn ra vào tháng 11 năm 2024, sự cộng tác giữa các nhóm của Iran và nhóm có liên kết với Iran báo hiệu một thách thức lớn đối với những người tham gia bảo vệ cuộc bầu cử. Đội ngũ bảo vệ không còn có thể yên tâm khi chỉ theo dõi một vài nhóm. Mặt khác, các tác nhân truy nhập, nhóm gây ảnh hưởng và tác nhân trên mạng gia tăng không ngừng cũng khiến môi trường mối đe dọa trở nên phức tạp và rối rắm hơn.
Tìm hiểu thêm thông tin chuyên sâu từ chuyên gia về hoạt động gây ảnh hưởng của Iran
Nghe thêm ý kiến từ chuyên gia về hoạt động gây ảnh hưởng dựa trên mạng của Iran, tập trung vào các hành động mà Iran thực hiện liên quan đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2020 và cuộc chiến Israel – Hamas tại Podcast của Microsoft Threat Intelligence. Cuộc thảo luận này đề cập đến các chiến thuật mà tác nhân của Iran sử dụng, chẳng hạn như mạo danh, chiêu dụ người dân địa phương và tận dụng email cũng như tin nhắn văn bản để tăng cường phát tán thông tin. Podcast này cũng lồng ghép bối cảnh vào thực trạng phức tạp của các hoạt động trên mạng đến từ Iran, nỗ lực cộng tác, mức độ tiếp nhận nội dung tuyên truyền, các chiến thuật sáng tạo và thách thức trong việc quy kết đối với hành động gây ảnh hưởng.