Da krigen mellem Israel og Hamas begyndte den 7. oktober 2023, voksede iranske cybergrupper straks for at yde støtte til Hamas. Disse Iran-støttede og Iran-tilknyttede aktører kombinerede indflydelseskampagner med forstyrrende hacks, en metode Microsoft kalder "cyber-aktiverede indflydelsesoperationer" - som er blevet Irans gå til strategi. 

Mens den indledende aktivitet så ud til at være reaktiv og opportunistisk, er disse bestræbelser blevet mere sofistikerede og komplekse, efterhånden som konflikten fortsætter. De enkelte gruppers foranstaltninger er blevet mere koordinerede, og omfanget af disse aktiviteter er blevet udvidet internationalt, hvilket har øget forvirringen og manglen på tillid til information, der kommer fra regionen.

For at nå deres mål anvender de iranske grupper fire vigtige indflydelsestaktikker, -teknikker og -procedurer (TTP'er). Hvordan og hvornår de bruger hver tilgang giver indsigt i de anvendte strategier. At forstå denne tankegang kan hjælpe forsvarere med at forberede sig på og tilpasse sig det fortsatte angreb af vildledende information. 

TTP'er, der driver Irans strategi

Irans tilgang til at påvirke operationer er designet til at opnå flere mål om intimidering, destabilisering og gengældelse, sammen med at underminere international støtte til Israel. Dens TTP'er omfatter personefterligning, aktivering af målgrupper; tekstbeskeder og e-mails; og bruge statsmedier til at øge sin indflydelse. Når man ser på disse aktiviteter individuelt, afslører man, hvordan de også arbejder sammen for at styrke kampagnen.

Personefterligning

Iran har udviklet en række mere og mere overbevisende personer, der bruges i disse onlineoperationer. Ved at bruge disse falske identiteter spredte Iran-støttede og tilstødende grupper vildledende historier og trusler over sociale medier, e-mails og tekster. Disse efterligninger bliver mere overbevisende med tiden, hvilket gør det muligt for grupperne at skabe falske aktivistiske personer på begge sider af det politiske spektrum. Hvad der dog ikke er helt klart er, om de arbejder direkte med Hamas eller udelukkende til deres egne formål.

Aktivering af målgrupper 

Et gentaget motiv for iranske grupper er at rekruttere målrettede personer til at hjælpe med at sprede de falske budskaber. Dette giver en finér af sandhed til kampagnen, da venner og naboer nu ser folk, de kender, der promoverer fabrikationerne som legitime.

Tekst- og e-mail-forstærkning 

Mens sociale medier er afgørende for at sprede gruppernes propaganda og falske informationer, bliver bulk-sms og e-mails mere centrale i deres indsats. En iransk gruppe, Cotton Sandstorm, har brugt denne teknik siden 2022 og har med tiden skærpet sine muligheder. Beskederne tager ofte æren for cyberangreb, der faktisk ikke fandt sted, eller advarer modtagerne falsk om fysiske indgreb fra Hamas-kombattanter. Ud over falske identiteter brugte de i mindst ét ​​tilfælde en kompromitteret konto for at øge ægtheden af ​​meddelelserne.

Udnyttelse af statslige medier 

Når Iran-tilknyttede grupper kommer med falske udtalelser om cyberangreb og krigsopdateringer, spreder og overdriver medier med tilknytning til Islamic Revolutionary Guard Corps (IRGC) nogle gange disse historier yderligere. De vil ofte citere ikke-eksisterende nyhedskilder for at understøtte påstanden. Andre iranske og iranske forretninger forstærker historien yderligere, hvilket får den til at virke mere plausibel på trods af manglen på beviser.

Microsoft Threat Intelligence har opdaget en anden bekymring, der er dukket op, siden fjendtlighederne begyndte i oktober: brugen af ​​kunstig intelligens (AI). AI-genererede billeder og videoer spreder falske nyhedshistorier eller skaber negative billeder rettet mod centrale offentlige personer. Det forventes, at denne taktik vil fortsætte med at vokse i betydning, efterhånden som Irans cyberaktiverede indflydelsesoperationer udvides.

Udvidelse af den globale rækkevidde af indflydelsesindsats

Vi begyndte at se samarbejde mellem Iran-tilknyttede grupper i begyndelsen af ​​krigen. Dette gør det muligt for hver gruppe at bidrage med eksisterende kapaciteter og fjerner behovet for en enkelt gruppe til at udvikle et komplet spektrum af værktøj eller håndværk. 

I midten af ​​november strakte Irans cyberaktiverede indflydelsesoperationer relateret til krigen sig ud over Israel til lande og organisationer, som Iran betragter som tilhængere af Israel, herunder Bahrain, UAE og USA. An angribe mod israelsk-byggede programmerbare logiske controllere (PLC'er) i Pennsylvania tog en vandmyndighed offline i november. I december sagde en persona, som Microsoft Threat Intelligence mener er en Iran-tilknyttet gruppe, at data blev lækket fra to amerikanske virksomheder. Gruppen tog æren for datasletningsangreb mod disse virksomheder en måned tidligere.

Iranske grupper bruger en række cyberaktiverede indflydelsesmetoder for at nå deres mål. Microsoft Threat Intelligence observerede, at IRGC-gruppen kaldet Cotton Sandstorm brugte så mange som 10 online-personas til at køre flere metoder i løbet af den sidste halvdel af 2023, ofte ved at tage mere end én af disse ruter samtidigt:

Cybermetoder:

Påvirkningsmetoder:

Så længe konflikten fortsætter, vil Irans cyberaktiverede indflydelsesoperationer sandsynligvis ikke blot vokse, men også blive mere samarbejdsvillige og destruktive. Selvom disse grupper vil fortsætte med at udnytte mulighederne, bliver deres taktik mere og mere beregnet og koordineret. En grundig forståelse af disse teknikker, understøttet af omfattende trusselsintelligens, kan give forsvarere et forspring i at identificere og afbøde disse angreb, uanset hvor de optræder.

- Læs "Iran fremskynder cyberaktiverede indflydelsesoperationer til støtte for Hamas" og få indsigt fra Microsoft Threat Intelligence-eksperter om Microsoft Threat Intelligence Podcast.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/iran-s-evolving-cyber-enabled-influence-operations-to-support-hamas