گزارش مایکروسافت از استراتژی و قدرت نمایی سایبری ایران در جنگ طوفان الاقصی (بخش دوم)

به گزارش کارگروه بین‌الملل سایبربان؛ همانطور که در قسمت اول گفته شد، کارشناسان مایکروسافت معتقدند که از زمان حمله حماس علیه رژیم صهیونیستی موسوم به طوفان‌الاقصی در اکتبر 2023، هکرهای همسو با ایران مجموعه‌ای از حملات سایبری و عملیات‌های نفوذ (IO) را با هدف کمک به حماس و تضعیف اسرائیل و متحدان سیاسی و شرکای تجاری آن انجام داده‌اند. گزارش کامل مایکروسافت در این خصوص به شرح زیر می باشد.

بسیاری از عملیات‌های ایران پس از 7 اکتبر هماهنگی کمی با حماس داشته‌ یا بهتر است بگوییم اصلاً هماهنگی وجود نداشته است؛ اما با این وجود به موفقیت های فزاینده‌ای دست یافته است. 4 یافته تحقیقاتی برجسته مایکروسافت عبارتند از :

• افزایش 42 درصدی ترافیک، در هفته اول جنگ، علیه سایت‌های خبری که توسط دولت ایران یا نمایندگان وابسته به آن اداره می‌شوند. حتی 3 هفته بعد از طوفان‌الاقصی، این ترافیک همچنان 28 درصد بالاتر از سطح قبل از جنگ بود.
• علیرغم ادعاهای اولیه ایران، بسیاری از حملات در روزهای اولیه جنگ، نشت مطالب قدیمی با استفاده از دسترسی موجود به شبکه‌ها یا دروغ بود.
• فعالیت ایران به سرعت از 9 گروه تحت ردیابی مایکروسافت فعال در اسرائیل در هفته اول جنگ به 14 گروه در 2 هفته پس از جنگ افزایش یافت. عملیات‌های نفوذ سایبری از تقریباً یک عملیات در هر ماه در سال 2021 به 11 مورد در اکتبر 2023 رسید.
• با پیشروی جنگ، هکرهای ایرانی دامنه جغرافیایی خود را گسترش دادند و حملات علیه آلبانی، بحرین و ایالات متحده را دربرگرفتند. آنها همچنین همکاری خود را افزایش دادند و امکان تخصص و اثربخشی بیشتر را فراهم کردند.

از برخی جهات، به نظر می‌رسد که کار ایران در حمایت از حماس منجر به تأثیرگذاری جهانی نیز می‌شود. در حالیکه منتظر انتخابات ریاست جمهوری 2024 ایالات متحده هستیم، فعالیت‌های ایران می‌تواند بر آنچه در سال 2020 رخ داد، زمانی که آنها تندروهای آمریکایی را جعل هویت کردند و به خشونت علیه مقامات دولتی ایالات متحده دامن زدند، استوار شود.

این دیدگاه‌ها از آخرین گزارش دوسالانه مرکز تحلیل تهدیدات مایکروسافت (MTAC) در مورد ایران گرفته شده است.

از یک شروع واکنشی تا مشخص شدن جهات همه‌جانبه

برخلاف برخی ادعاهای رسانه‌های دولتی ایران، عوامل سایبری و نفوذ ایران در مرحله اولیه جنگ رژیم صهیونیستی و حماس واکنش نشان دادند. مایکروسافت معتقد است که رسانه دولتی ایران جزئیات گمراه‌کننده حملات ادعا شده را منتشر می‌کند و گروه‌های ایرانی از مطالب تاریخ‌دار عملیات‌های تاریخی مجدد استفاده و در مورد دامنه و تأثیر حملات سایبری ادعایی اغراق می‌کنند. بعد از 3 ماه، داده‌ها حاکی از آن است که عوامل سایبری ایران واکنش نشان داده‌اند و به سرعت عملیات‌های سایبری و نفوذ خود را پس از حملات حماس برای مقابله با اسرائیل افزایش داده‌اند.

از زمان آغاز جنگ اطوفان الاقصی در 7 اکتبر امسال، ایران عملیات‌های نفوذ و تلاش‌های هکری خود علیه اسرائیل را افزایش داد و یک محیط تهدید همه‌جانبه را ایجاد نمود. این حملات در روزهای اولیه جنگ واکنشی و فرصت‌طلبانه بود، اما اواخر اکتبر گذشته، تقریباً تمام عوامل اصلی و نفوذ سایبری ایران، اسرائیل را هدف قرار دادند. حملات سایبری به طور فزاینده‌ای هدفمند و مخرب شدند و کمپین‌های عملیات نفوذ به طور فزاینده‌ای پیچیده و غیرقابل تشخیص شدند و شبکه‌هایی از حساب‌های «سوک‌پاپت» رسانه‌های اجتماعی را گسترش دادند.

ایران سرویس‌های تلویزیونی را با گزارش‌های اخباری با استفاده از یک مجری هوش مصنوعی مختل کرد.

اوایل دسامبر 2023، ایران سرویس‌های پخش تلویزیونی را قطع کرد و آنها را با یک ویدیوی اخبار جعلی که ظاهراً یک مجری خبری تولید شده با هوش مصنوعی را نشان می‌داد، جایگزین کرد. این اولین عملیات نفوذ ایران بود که مایکروسافت تشخیص داد که هوش مصنوعی در پیام‌هایش نقشی کلیدی دارد و نمونه‌ای از گسترش سریع و چشمگیر دامنه عملیات‌های ایران از زمان آغاز درگیری اسرائیل و حماس است. این اختلال به مخاطبان در امارات متحده عربی، بریتانیا و کانادا نیز رسید.

رسانه‌های وابسته به دولت ایران در کشورهای انگلیسی‌زبان که متحد نزدیک با ایالات متحده هستند، بیشترین موفقیت را کسب کردند.

شاخص تبلیغات ایرانی (IPI) هوش مصنوعی برای آزمایشگاه خوب (AI for Good Lab) مایکروسافت، نسبت ترافیک بازدیدکننده از خبرگزاری‌ها و تقویت‌کننده‌های دولتی ایران را در مقایسه با ترافیک کلی اینترنت بررسی می‌کند. در هفته اول درگیری شاهد افزایش 42 درصدی بودیم. این افزایش به ویژه در ایالات متحده و متحدان انگلیسی زبان آن (بریتانیا، کانادا، استرالیا، نیوزلند) مشهود بود که نشان دهنده توانایی ایران برای دستیابی به مخاطبان غربی با گزارش‌های خود در مورد درگیری‌های خاورمیانه است. در حالیکه این موفقیت در روزهای اولیه جنگ قوی‌ترین بود، دسترسی این منابع ایرانی یک ماه پس از جنگ به 28 درصد بالاتر از سطح قبل از جنگ در سطح جهانی باقی ماند.

مراحل عملیات‌های نفوذ سایبری ایران در جنگ رژیم صهیونیستی و حماس

عملیات‌های سایبری ایران در جنگ اسرائیل و حماس از 7 اکتبر امسال در 3 مرحله دسته بندی می شود.

بخش 1: واکنشی و گمراه کننده

مرحله اول شاهد ادعاهای گمراه کننده رسانه‌های دولتی ایران بود. یکی از نمونه‌ها خبرگزاری تسنیم وابسته به سپاه پاسداران بود که مدعی شد گروهی به نام «انتقام‌جویان سایبری» همزمان با حملات حماس، حملات سایبری علیه نیروگاه اسرائیلی انجام داده است. گروه هکری انتقام‌جویان سایبری (که احتمالاً توسط سپاه پاسداران انقلاب اسلامی نیز اداره می‌شود) مدعی شد که عصر قبل از حملات حماس به یک شرکت برق اسرائیلی حمله کرده است. با این حال، شواهد این حمله تنها گزارش چند هفته‌ای مطبوعات از قطع برق در سال‌های اخیر و تصویری از اختلال بدون تاریخ در وب‌سایت شرکت بود.
در جای دیگری، یکی دیگر از شخصیت‌های سایبری به نام تیم ملک (Malek Team)، که توسط وزارت اطلاعات و امنیت ایران (MOIS) اداره می‌شود، اطلاعات شخصی یک دانشگاه اسرائیلی را در 8 اکتبر منتشر کرد. به جز برخی موارد و هشتگ‌های مورد استفاده در X (توئیتر سابق) برای حمایت از حماس، هیچ ارتباطی با درگیری‌های در حال وقوع در غزه دیده نشد که نشان می‌دهد هدف این حمله فرصت‌طلبانه و احتمالاً براساس دسترسی از قبل بوده است.

بخش 2 : بسیج همه‌جانبه

در اواسط تا اواخر اکتبر امسال، مرحله دوم در حال ظهور بود. این باعث شد که تعداد گروه‌های فعال در اسرائیل که توسط مایکروسافت ردیابی می‌شد، از 9 گروه در روزهای اول به 14 مورد در روز پانزدهم رسید. این نشان دهنده هماهنگی، اهداف مشترک تعیین شده در تهران یا هر دو است.

علاوه بر این، استفاده از عملیات‌های نفوذ سایبری علیه اسرائیل به طور قابل توجهی تسریع شد. ایران ترجیح خود را برای چنین حملاتی در سال 2022 نشان داد، زمانی که سرعت چنین عملیاتی را از تقریباً یک ماه در میان به چندین عملیات در ماه افزایش داد. 10 عملیات سایبری ایران علیه اسرائیل در ماه اکتبر گذشته نقطه اوج جدیدی است. این رقم تقریباً 2 برابر بالاترین نقطه قبلی 6 عملیات ماهانه در نوامبر 2022 بود، اگرچه حملات قبلی شامل عملیات‌هایی با هدف قرار دادن 4 کشور بودند.

یک نمونه در 18 اکتبر گذشته رخ داد که گروه شهید کاوه سپاه پاسداران انقلاب اسلامی از باج‌افزار سفارشی برای انجام حملات سایبری علیه دوربین‌های امنیتی اسرائیل استفاده کرد. سپس از یکی از گروه‌های هکری خود به نام سربازان سلیمان استفاده کرد تا ادعا کند که به دوربین‌های امنیتی و داده‌های پایگاه نیروی هوایی نِواتیم (Nevatim) برای گرفتن باج نفوذ کرده است. بررسی فیلم امنیتی گروه هکری سربازان سلیمان نشان می‌دهد که این فیلم مربوط به شهری در شمال تل‌آویو با خیابان نِواتیم است، نه پایگاه هوایی به این نام.

بخش 3 : گسترش دامنه جغرافیایی

اواخر نوامبر سال قبل، گروه‌های ایرانی شروع به گسترش نفوذ سایبری خود فراتر از اسرائیل کردند و کشورهایی را هدف قرار دادند که ایران تصور می‌کند از اسرائیل حمایت می‌کنند. این با شروع حملات نمایندگان مورد حمایت ایران به کشتیرانی بین‌المللی همسو بود.

در 20 نوامبر قبل، گروه هکری «Homeland Justice» همسو با وزارت اطلاعات درباره حملات سایبری آتی به آلبانی هشدار داد. آنها بعداً مسئولیت حملات به تعدادی از سازمان‌ها و مؤسسات آلبانیایی در روز کریسمس را برعهده گرفتند.
در 21 نوامبر 2023، گروه هکری الطوفان (al-Toufan) دولت و سازمان‌های مالی بحرین را به دلیل عادی‌سازی روابط با اسرائیل هدف قرار داد. تا 22 نوامبر، گروه‌های وابسته به سپاه پاسداران انقلاب اسلامی شروع به هدف قرار دادن کنترل‌کننده‌های منطقی برنامه‌پذیر (PLC) ساخت اسرائیل در ایالات متحده کردند : مثلاً در روز 25 نوامبر یکی از سازمان‌های آب در پنسیلوانیا را به صورت آفلاین درآوردند. کنترل‌کننده‌های منطقی برنامه‌پذیر، کامپیوترهای صنعتی هستند که برای کنترل فرآیندهای تولید مانند خطوط مونتاژ، ماشین‌آلات و دستگاه‌های روباتیک سازگار شده‌اند.

اهداف نفوذ ایران در جنگ رژیم صهیونیستی و حماس

تلاش‌های ایران برای تضعیف اسرائیل و حامیان آن در فضای اینترنت و رسانه‌های اجتماعی، که باعث سردرگمی عمومی و از دست دادن اعتماد می‌شود، 4 هدف اساسی دارد :

1. بی‌ثباتی از طریق قطبی‌سازی

هدف ایران تشدید شکاف‌های سیاسی و اجتماعی داخلی در اهدافش است و اغلب بر رویکرد دولت اسرائیل در قبال 240 گروگان گرفته شده توسط حماس در غزه تمرکز می‌کند و خود را به عنوان گروه‌های فعال صلح‌طلب در انتقاد از دولت اسرائیل نشان می‌دهد. نتانیاهو، نخست وزیر اسرائیل، هدف اصلی چنین پیام‌هایی است که اغلب خواستار برکناری او می‌شود.

2. قصاص

بسیاری از پیام‌ها و اهداف ایران صراحتاً تلافی‌جویانه هستند. گروه هکری انتقام‌جویان سایبری مدعی شد که زیرساخت‌های برق، آب و سوخت اسرائیل را در انتقام از اسرائیل هدف قرار داده است و اعلام کرد که برق، آب و سوخت غزه را قطع می‌کند و در جاهای دیگر به «چشم در برابر چشم» اشاره می‌کند.

3. ارعاب

هدف از عملیات‌های ایران، تضعیف امنیت اسرائیل و ارعاب شهروندان اسرائیلی و حامیان بین‌المللی و تهدید خانواده‌های سربازان ارتش اسرائیل است. حساب‌های «Sockpuppet» پیام‌هایی را روی X پخش کردند مبنی بر اینکه دولت اسرائیل هیچ قدرتی برای محافظت از سربازان خود ندارد. پیام‌های دیگر به نظر می‌رسد با هدف متقاعد کردن سربازان ارتش اسرائیل به تسلیم شدن باشد.

4. تضعیف حمایت بین‌المللی از رژیم صهیونیستی

عوامل نفوذ ایرانی اغلب پیام‌هایی دارند که به دنبال تضعیف حمایت بین‌المللی از اسرائیل با برجسته کردن آسیب‌های ناشی از حملات اسرائیل به غزه هستند.

روندها در عملیات‌های نفوذ ایران

جعل هویت چیز جدیدی نیست، اما هکرهای ایرانی اکنون نه تنها برای دشمنان خود، بلکه برای دوستان خود نیز به جعل هویت روی می‌آورند. در عملیات‌های اخیر گروه‌های ایرانی از نام و نشان شاخه نظامی حماس، گردان‌های القسام، برای انتشار پیام‌های نادرست و تهدید پرسنل ارتش اسرائیل استفاده شده است. مشخص نیست که آیا ایران با رضایت حماس عمل می‌کند یا خیر!؟

ایران موفق شده مکرراً اسرائیلی‌های ناآگاه را برای شرکت در فعالیت‌های زمینی برای ترویج عملیات‌های دروغین خود استخدام کند. در یکی از عملیات‌های اخیر به نام اشک‌های جنگ (Tears of War)، عوامل ایرانی اسرائیلی‌ها را متقاعد کردند که براساس گزارش‌های مطبوعاتی اسرائیل، بنرهای مارک اشک‌های جنگ را با استفاده از تصاویر تولید شده توسط هوش مصنوعی در محله‌های اسرائیل آویزان کنند.

استفاده ایران از پیام‌های متنی انبوه و کمپین‌های ایمیل به منظور افزایش اثرات روانی عملیات‌های نفوذ سایبری خود افزایش یافته است. پیام‌هایی که در تلفن‌های افراد یا در صندوق ورودی آنها ظاهر می‌شوند، تأثیر بیشتری نسبت به حساب‌های عروسکی در رسانه‌های اجتماعی دارند. ایران از رسانه‌های آشکار و پنهان مرتبط با سپاه پاسداران برای تقویت عملیات‌های سایبری ادعایی و در مواقعی اغراق‌آمیز اثرات آنها استفاده می‌کند. در ماه سپتامبر گذشته، پس از اینکه انتقام‌جویان سایبری ادعای حملات سایبری علیه سیستم راه‌آهن اسرائیل را کرد، رسانه‌های مرتبط با سپاه پاسداران انقلاب اسلامی بلافاصله ادعاهای خود را تشدید و در مورد آن اغراق کردند.

هفته‌ها پس از جنگ اسرائیل و حماس، در جریان آنچه ما به عنوان بخش 2 در نظر می‌گیریم، شاهد نمونه‌هایی از همکاری میان گروه‌های وابسته به ایران بودیم که باعث افزایش دستاوردهای هکرها شد؛ این شامل همکاری بین گروه «Pink Sandstorm» وزارت اطلاعات و امنیت ایران و واحدهای سایبری حزب‌الله بود. همکاری، موانع ورود را کاهش و به هر گروه اجازه می‌دهد تا توانایی‌های موجود را به اشتراک بگذارد و نیاز به یک گروه واحد برای توسعه طیف کاملی از ابزارآلات یا صنایع تجاری را از بین می‌برد.

تمرکز ایران بر اسرائیل تشدید شده است. در حالیکه اسرائیل و ایالات متحده همیشه اهداف اصلی تهران بوده‌اند، با شروع جنگ اسرائیل و حماس، 43 درصد از فعالیت‌های سایبری ایران، یعنی بیش از مجموع 14 کشور هدف بعدی، بر اسرائیل متمرکز شده است.

ما معتقدیم که پیشرفت های حاصل شده تاکنون در 3 مرحله جنگ، ادامه خواهد داشت.

بر اساس اعلام مرکز تحلیل تهدیدات مایکروسافت، افزایش فعالیت هکرهای منتسب به ایران پیش از انتخابات آمریکا در نوامبر ۲۰۲۴، چالش بزرگ‌تری را برای عوامل دست‌اندرکار سلامت انتخابات به همراه دارد؛ چرا که عوامل سایبری و گروه‌های نفوذ، اینک محیط تهدید پیچیده‌تر و درهم تنیده‌تری را ایجاد کرده‌اند که به سادگی نمی‌توان آن‌ها را ردیابی کرد.