6 февраля 2024 г. | Клинт Уоттс – генеральный менеджер Центра анализа угроз Microsoft
С тех пор, как ХАМАС напал на Израиль в октябре 2023 года, действующие лица, связанные с иранским правительством, предприняли серию кибератак и операций влияния (IO), направленных на помощь делу ХАМАСА и ослабление Израиля, его политических союзников и деловых партнеров. Многие из непосредственных операций Ирана после 7 октября были поспешными и хаотичными, что указывает на то, что у него была слабая координация с ХАМАС или ее вообще не было, но, тем не менее, он добился растущего успеха. Выделяются четыре вывода.:
- За первую неделю войны трафик новостных сайтов, принадлежащих иранскому государству или аффилированных с ним, увеличился на 42%. Даже три недели спустя этот трафик все еще был на 28% выше довоенного уровня.
- Несмотря на ранние заявления Ирана, многие “атаки” в первые дни войны были либо “утечкой” старых материалов с использованием ранее существовавшего доступа к сетям, либо были ложными.
- Активность Ирана быстро выросла с девяти отслеживаемых Microsoft групп, действующих в Израиле в течение первой недели войны, до 14, спустя две недели после начала войны. Количество операций по оказанию влияния с использованием киберпространства увеличилось примерно с одной операции через месяц в 2021 году до 11 только в октябре 2023 года.
- По мере развития войны иранские действующие лица расширили географию своих действий, включив атаки на Албанию, Бахрейн и США. Они также расширили свое сотрудничество, что позволило повысить специализацию и эффективность.
В некотором смысле работа Ирана в поддержку ХАМАСА, похоже, направлена как на видимость влияния на мировой арене, так и на конкретное воздействие. Поскольку мы с нетерпением ожидаем президентских выборов в США в 2024 году, действия Ирана могут основываться на том, что произошло в 2020 году, когда они выдавали себя за американских экстремистов и подстрекали к насилию против правительственных чиновников США.
Эти выводы взяты из последнего полугодового отчета по Ирану Центра анализа угроз Microsoft (MTAC) Иран наращивает операции по оказанию влияния с использованием кибернетики в поддержку ХАМАСА.
С реактивного старта – всем на помощь
Вопреки некоторым заявлениям иранских государственных СМИ, иранские кибероператоры и ИО отреагировали на начальном этапе войны Израиля и ХАМАСа. MTAC заметил, что иранские государственные СМИ публикуют вводящие в заблуждение подробности заявленных атак, а иранские группы повторно используют устаревшие материалы исторических операций и преувеличивают общий масштаб и воздействие заявленных кибератак. Три месяца спустя преобладание данных свидетельствует о том, что иранские киберпреступники отреагировали, быстро активизировав свои кибероперации и операции по оказанию влияния после атак ХАМАСА, чтобы противостоять Израилю.
С начала войны между Израилем и ХАМАС 7 октября Иран усилил операции по оказанию влияния и хакерские усилия против Израиля, создав обстановку угрозы “все руки наготове”. Эти атаки были реактивными и оппортунистическими в первые дни войны, но к концу октября почти все его влияние и основные киберпреступники были нацелены на Израиль. Кибератаки становились все более целенаправленными и разрушительными, а кампании ввода-вывода становились все более изощренными и недостоверными, задействуя сети учетных записей “sockpuppet” в социальных сетях.
Иран прервал телевизионные сервисы из-за поддельных новостных репортажей с использованием ведущего, созданного искусственным интеллектом
В начале декабря 2023 года Иран прервал предоставление услуг потокового телевидения и заменил их фейковым новостным роликом с участием ведущего новостей, по-видимому, созданного искусственным интеллектом. Это стало первой обнаруженной Microsoft операцией по оказанию влияния на Иран, где искусственный интеллект играл ключевую роль в ее обмене сообщениями, и является одним из примеров быстрого и значительного расширения масштабов иранских операций с начала конфликта между Израилем и ХАМАС. Сбой достиг аудитории в ОАЭ, Великобритании и Канаде.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/AI-generated-newscaster.png?resize=1024%2C571&ssl=1)
Нарушение потоковой передачи телевизионных программ с использованием вещателя, созданного искусственным интеллектом
Иранские государственные СМИ пользуются наибольшим успехом в англоязычных странах, тесно связанных с США.
Индекс иранской пропаганды (IPI) Лаборатории AI for Good от Microsoft AI for Good Lab отслеживает долю трафика, посещающего иранские государственные и аффилированные с государством новостные агентства и усилители, по сравнению с общим трафиком в Интернете. За первую неделю конфликта мы наблюдали рост на 42%. Этот всплеск был особенно заметен в Соединенных Штатах и их англоговорящих союзниках (Великобритании, Канаде, Австралии, Новой Зеландии), что указывает на способность Ирана охватывать западную аудиторию своими репортажами о конфликтах на Ближнем Востоке. Хотя этот успех был самым значительным в первые дни войны, охват этих иранских источников через месяц после начала войны оставался на 28% выше довоенного уровня во всем мире.
Этапы операций Ирана по оказанию влияния с использованием киберпространства в войне Израиля и ХАМАСА
Операции Ирана с использованием киберопераций в войне Израиля и ХАМАСА прошли три этапа с 7 октября.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/Phases-of-Iran-use-of-cyber-influence.jpg?resize=1024%2C652&ssl=1)
Фаза 1: реагирование и введение в заблуждение
На первом этапе иранские государственные СМИ распространили вводящие в заблуждение заявления. Одним из примеров было связанное с КСИР информационное агентство Tasnim, утверждающее, что группа под названием “Кибервенежники” провела кибератаки на израильскую электростанцию “одновременно” с атаками ХАМАСА. Сами “Кибервстители” (также, вероятно, управляемые КСИР) заявили, что атаковали израильскую электрическую компанию вечером накануне нападений ХАМАСА. Однако доказательствами этого были лишь сообщения в прессе “за последние годы” о перебоях в подаче электроэнергии “недельной давности” и скриншот недатированного сбоя в работе веб-сайта компании.
8 октября другая киберперсонажная “Команда Малек”, которой, по оценке MTAC, руководит Министерство разведки и безопасности Ирана (MOIS), слила персональные данные из израильского университета. Не было никакого отношения к разворачивающемуся конфликту в Газе, кроме некоторых хэштегов, использованных в X (бывший Twitter) для поддержки ХАМАСА. Это указывает на то, что цель была оппортунистической и, вероятно, основывалась на ранее существовавшем доступе.
Фаза 2: все в сборе
К середине-концу октября зарождалась вторая фаза. В результате количество отслеживаемых Microsoft групп, действующих в Израиле, выросло с девяти в первые дни до 14 к 15-му дню. Иногда несколько иранских групп нацеливались на одну и ту же организацию или военную базу в Израиле с целью оказания кибератаки или влияния. Это предполагает координацию, общие цели, поставленные в Тегеране, или и то, и другое.
Кроме того, использование операций влияния с использованием кибербезопасности против Израиля значительно ускорилось. Иран продемонстрировал свое предпочтение таким атакам в 2022 году, когда увеличил темпы таких операций примерно с раз в два месяца до нескольких операций в месяц. 10 киберопераций Ирана против Израиля в октябре знаменуют собой новый рекордный показатель. Это почти вдвое превысило предыдущий рекорд в шесть операций в месяц в ноябре 2022 года, хотя эти предыдущие атаки охватывали операции, нацеленные на четыре страны.
Один из примеров произошел 18 октября, когда группа Шахида Каве из КСИР использовала специализированное программное обеспечение-вымогатель для проведения кибератак на камеры видеонаблюдения в Израиле. Затем он использовал одного из своих киберперсонажей, “Солдат Соломона”, чтобы ложно заявить, что он вымогал камеры наблюдения и данные на базе ВВС Неватим. Изучение просочившихся записей с камер наблюдения Soldiers of Solomon показывает, что они были сделаны в городе к северу от Тель-Авива с улицей Неватим, а не с одноименной авиабазы.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/False-Nevatim-Airbase-attack-e1706917246625-1024x567.jpg?resize=1024%2C567&ssl=1)
Этап 3: расширение географического охвата
В конце ноября 2023 года иранские группировки начали расширять свое влияние в киберпространстве за пределами Израиля, нацеливаясь на страны, которые, по мнению Ирана, поддерживают Израиль. Это совпало с тем, что поддерживаемые Ираном хуситы начали свои атаки на международные перевозки.
20 ноября киберперсонаж “Homeland Justice”, связанный с MOIS, предупредил о предстоящих кибератаках на Албанию. Позже они взяли на себя ответственность за атаки на ряд албанских организаций и учреждений на Рождество.
21 ноября киберперсонаж “аль-Туфан” нацелился на правительство Бахрейна и финансовые организации с целью нормализации отношений с Израилем. К 22 ноября группы, связанные с КСИР, начали атаковать программируемые логические контроллеры (ПЛК) израильского производства в Соединенных Штатах, в том числе 25 ноября отключили один из них в управлении водного хозяйства в Пенсильвании. ПЛК – это промышленные компьютеры, адаптированные для управления производственными процессами, такими как сборочные линии, станки и роботизированные устройства.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/Defaced-PLC-in-Pennsylvania-water-authority.png?resize=318%2C278&ssl=1)
25 ноября в управлении водных ресурсов Пенсильвании был удален PLC с логотипом Cyber Avengers. На следующий день кибервстители опубликовали то же сообщение на своем канале Telegram в качестве подписи к видео Нетаньяху, выступающего на конференции американо-израильского комитета по связям с общественностью (AIPAC), что указывает на намерение атаковать американское оборудование, произведенное в Израиле.
Цели влияния Ирана в войне между Израилем и ХАМАС
Усилия Ирана по подрыву позиций Израиля и его сторонников в Интернете и социальных сетях, вызывающие всеобщее замешательство и потерю доверия, преследуют четыре основные цели.
1. Дестабилизация через поляризацию
Иран стремится усугубить внутриполитические и социальные разногласия среди своих целей, часто фокусируясь на подходе израильского правительства к 240 заложникам, захваченным ХАМАСОМ в Газе, и маскируясь под группы активистов, стремящихся к миру, критикующих израильское правительство. Премьер-министр Израиля Нетаньяху является основной мишенью таких сообщений, часто требующих его смещения.
2. Ответные меры
Многие сообщения и цели Ирана носят явно ответный характер. The persona Cyber Avengers заявила, что атаковала израильскую инфраструктуру электроснабжения, водоснабжения и заправки топливом в отместку за заявление Израиля о прекращении подачи электричества, воды и топлива в Газу и в других местах ссылалась на “око за око”.
3. Запугивание
Операции Ирана также направлены на подрыв безопасности Израиля, запугивание граждан Израиля и международных сторонников и угрозу семьям солдат ЦАХАЛА. Аккаунты Sockpuppet распространяют на X сообщения о том, что “ЦАХАЛ не имеет никакой власти защищать своих солдат”. Другие сообщения, как в примере ниже, похоже, направлены на попытку убедить солдат ЦАХАЛА сдаться.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/Initimidation-of-Israeli-soliders.png?resize=390%2C160&ssl=1)
4. Подрыв международной поддержки Израиля
Иранские влиятельные лица часто распространяют сообщения, направленные на ослабление международной поддержки Израиля, подчеркивая ущерб, причиненный израильскими атаками на Газу.
Тенденции в операциях по оказанию влияния на Иран
Выдача себя за другого не нова, но действующие лица иранской угрозы теперь маскируются не только под своих врагов, но и под друзей. В недавних операциях иранских группировок использовались название и логотип военного крыла ХАМАСА “Бригады аль-Кассама” для распространения ложных сообщений и угроз персоналу ЦАХАЛА. Неясно, действует ли Иран с согласия ХАМАСА.
Ирану удавалось неоднократно вербовать ничего не подозревающих израильтян для участия в деятельности на местах, продвигающей его ложные операции. В ходе одной из недавних операций “Слезы войны” иранские оперативники убедили израильтян развесить в израильских кварталах фирменные баннеры Tears of War с использованием изображений, сгенерированных искусственным интеллектом, на основе сообщений израильской прессы.
![](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2024/02/Tears-of-War-banner.jpg?resize=1024%2C647&ssl=1)
Баннер Tears of War с изображением Нетаньяху, который, вероятно, создан искусственным интеллектом. Текст баннера гласит: “Немедленно импичмент”. Его воротник переводится как “#без Биби мы победим”. QR-код был намеренно размыт для публикации.
Иран все чаще использует массовые кампании по отправке текстовых сообщений и электронной почты, чтобы усилить психологический эффект своих операций влияния с использованием кибербезопасности. Сообщения, появляющиеся на телефонах людей или в их почтовых ящиках, оказывают большее влияние, чем аккаунты sockpuppet в социальных сетях. Иран использует открытые и тайные средства массовой информации, связанные с КСИР, для усиления предполагаемых киберопераций и, порой, преувеличения их последствий. В сентябре, после того, как “Кибервенцы” заявили о кибератаках на железнодорожную систему Израиля, СМИ, связанные с КСИР, почти сразу усилили и преувеличили их заявления.
Тенденции в области киберопераций
Через несколько недель после начала войны между Израилем и ХАМАС, во время того, что мы рассматриваем как фазу 2, мы начали видеть примеры сотрудничества между связанными с Ираном группами, улучшающие то, чего могли достичь действующие лица. Это включало сотрудничество между международной группой Pink Sandstorm и киберподразделениями “Хезболлы”. Сотрудничество снижает барьер для входа, позволяя каждой группе предоставлять существующие возможности и устраняет необходимость в том, чтобы одна группа разрабатывала полный спектр инструментов или ремесел.
Иранское внимание к Израилю усилилось. Хотя Израиль и США всегда были главными целями Тегерана, с началом войны Израиля с ХАМАС 43% киберактивности иранского национального государства было сосредоточено на Израиле, что больше, чем в следующих 14 странах-мишенях, вместе взятых.
С нетерпением ждем
Мы оцениваем, что прогресс, показанный на данный момент на трех этапах войны, продолжится. На фоне растущего потенциала расширения войны мы ожидаем, что иранские операции по оказанию влияния и кибератаки будут продолжать носить более целенаправленный, более совместный и более разрушительный характер по мере затягивания конфликта между Израилем и ХАМАС. Иран продолжит тестировать redlines, как они это сделали с атакой на израильскую больницу и системы водоснабжения США в конце ноября.
Расширение сотрудничества, которое мы наблюдаем между различными иранскими агентами, представляющими угрозу, в 2024 году будет представлять большую угрозу для защитников выборов, которые больше не могут утешаться отслеживанием лишь нескольких групп. Скорее, растущее число агентов доступа, групп влияния и кибер-субъектов создает более сложную и взаимосвязанную среду угроз.