När kriget mellan Israel och Hamas började den 7 oktober 2023 ökade iranska cybergrupper omedelbart för att ge stöd till Hamas. Dessa Iran-stödda och Iran-anslutna aktörer kombinerade påverkanskampanjer med störande hacks, en metod som Microsoft kallar "cyber-aktiverade påverkansoperationer" - som har blivit Irans gå till strategi. 

Även om den initiala aktiviteten verkade vara reaktiv och opportunistisk, har dessa ansträngningar blivit mer sofistikerade och komplexa allt eftersom konflikten fortsätter. Åtgärder som vidtagits av enskilda grupper har blivit mer samordnade, och omfattningen av dessa aktiviteter har breddats internationellt, vilket har ökat förvirringen och bristen på förtroende för information som kommer från regionen.

För att uppnå sina mål använder de iranska grupperna fyra nyckelpåverkanstaktiker, tekniker och procedurer (TTP). Hur och när de använder varje tillvägagångssätt ger insikt i de strategier som används. Att förstå detta tänkesätt kan hjälpa försvarare att förbereda sig för och anpassa sig till det fortsatta angreppet av vilseledande information. 

TTP:er som driver Irans strategi

Irans tillvägagångssätt för att påverka operationer är utformat för att uppnå flera mål med skrämsel, destabilisering och vedergällning, tillsammans med att undergräva det internationella stödet för Israel. Dess TTP inkluderar identitetsstöld, aktivering av målgrupper; textmeddelanden och e-postmeddelanden; och använda statliga medier för att öka sitt inflytande. Att titta på dessa aktiviteter individuellt visar hur de också samarbetar för att förstärka kampanjen.

Imitation

Iran har utvecklat ett antal alltmer övertygande personer som används i dessa onlineoperationer. Genom att använda dessa falska identiteter sprider Iran-stödda och angränsande grupper vilseledande berättelser och hot över sociala medier, e-postmeddelanden och sms. Dessa efterbildningar blir mer övertygande med tiden, vilket gör att grupperna kan skapa falska aktivistiska personas på båda sidor av det politiska spektrumet. Vad som dock inte är helt klart är om de arbetar direkt med Hamas eller strikt för sina egna syften.

Aktivera målgrupp 

Ett upprepat motiv för iranska grupper är att rekrytera riktade individer för att hjälpa till att sprida de falska budskapen. Detta ger kampanjen ett faner av sanning, eftersom vänner och grannar nu ser att människor de känner som främjar påhittarna är legitima.

Text- och e-postförstärkning 

Samtidigt som sociala medier är avgörande för att sprida gruppernas propaganda och falsk information, blir masssms och e-postmeddelanden mer centrala i deras ansträngningar. En iransk grupp, Cotton Sandstorm, har använt den här tekniken sedan 2022, och med tiden skärpt dess kapacitet. Meddelanden tar ofta äran för cyberattacker som faktiskt inte ägde rum eller varnar mottagare falskt om fysiska intrång av Hamas-kombattanter. Förutom falska identiteter använde de i åtminstone ett fall ett inträngt konto för att förbättra meddelandenas äkthet.

Utnyttja statliga medier 

När Iran-anslutna grupper gör falska uttalanden om cyberattacker och krigsuppdateringar, sprider och överdriver media som är anslutna till Islamic Revolutionary Guard Corps (IRGC) ibland dessa berättelser ytterligare. De kommer ofta att citera obefintliga nyhetskällor för att stödja påståendet. Andra iranska och Iran-anslutna butiker förstärker historien ytterligare, vilket gör att det verkar mer rimligt trots bristen på bevis.

Microsoft Threat Intelligence har upptäckt en annan oro som dykt upp sedan fientligheterna började i oktober: användningen av artificiell intelligens (AI). AI-genererade bilder och videor sprider falska nyheter eller skapar negativa bilder som riktar sig till offentliga nyckelpersoner. Det förväntas att denna taktik kommer att fortsätta växa i betydelse när Irans cyberaktiverade inflytandeoperationer expanderar.

Utöka den globala räckvidden för påverkansansträngningar

Vi började se samarbete mellan Iran-anslutna grupper i början av kriget. Detta gör det möjligt för varje grupp att bidra med befintlig kapacitet och tar bort behovet av en enda grupp för att utveckla ett komplett spektrum av verktyg eller hantverk. 

I mitten av november sträckte sig Irans cyberaktiverade påverkansoperationer relaterade till kriget bortom Israel till länder och organisationer som Iran ser som anhängare av Israel, inklusive Bahrain, Förenade Arabemiraten och USA. En attackera mot israeliskt byggda programmerbara logiska styrenheter (PLC) i Pennsylvania tog en vattenmyndighet offline i november. I december sa en persona som Microsoft Threat Intelligence tror är en Iran-ansluten grupp att data läckt ut från två amerikanska företag. Gruppen tog åt sig äran för dataraderingsattacker mot dessa företag en månad tidigare.

Iranska grupper använder ett antal cyberaktiverade inflytandemetoder för att uppnå sina mål. Microsoft Threat Intelligence observerade att IRGC-gruppen som heter Cotton Sandstorm använde så många som 10 online-personas för att köra flera metoder under det sista halvåret av 2023, och tog ofta mer än en av dessa vägar samtidigt:

Cybermetoder:

Inflytande metoder:

Så länge konflikten fortsätter kommer Irans cyberaktiverade inflytandeoperationer sannolikt inte bara att växa, utan också bli mer samarbetsvilliga och destruktiva. Även om dessa grupper kommer att fortsätta att utnyttja möjligheter, blir deras taktik allt mer beräknad och samordnad. En grundlig förståelse för dessa tekniker, förstärkt av omfattande hotintelligens, kan ge försvarare ett försprång när det gäller att identifiera och mildra dessa attacker var de än dyker upp.

— Läs "Iran ökar kraftigt cyberaktiverade inflytandeoperationer till stöd för Hamas" och få insikter från Microsoft Threat Intelligence-experter om Microsoft Threat Intelligence Podcast.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/iran-s-evolving-cyber-enabled-influence-operations-to-support-hamas