编者按
微软威胁分析中心2月7日发布题为《伊朗大力开展网络影响力行动以支持哈马斯》报告,分析伊朗针对以色列与哈马斯战争开展的网络影响力行动的三个阶段、四项目标、四种策略和两大趋势。
报告称,自以色列与哈马斯战争爆发战争以来,伊朗将有针对性的黑客攻击与在社交媒体上放大的影响力行动相结合开展网络影响力行动,其网络和影响力行动已经历三个阶段。第一阶段由2023年10月7日持续至10月中旬,特点是“反应性和误导性”。在网络方面,伊朗行为者利用了以前存在的访问权限;在影响力方面,伊朗行为者重新使用旧材料来伪造网络攻击,较少使用网络傀儡角色,未海量发送短信和电子邮件,夸大所声称网络攻击的总体范围和影响。伊朗的影响力行动在战争初期最为有效,其无网络攻击影响力活动具有较强灵活性。第二阶段由2023年10月中旬持续至11月底,特点是“全员出动”。在网络方面,伊朗攻击以色列的团体数量有所增加,并转向破坏性和协调性动攻击,包括数据删除、勒索软件以及攻击物联网设备等,网络影响力行动也在激增,并开始将信息发布融入到网络攻击中;在影响力方面,伊朗开始仓促使用或重新定向网络傀儡角色,发送海量短信电子邮件,将假冒的成功扩展到其他以色列活动分子和巴勒斯坦激进组织。第三阶段由2023年11月底持续至年底,特点是“地理范围扩大”。在网络方面,伊朗将更多地将信息发布融入至网络攻击中,并将网络行动扩展到以色列以外的国家;在影响力方面,伊朗增强了网络傀儡角色的伪装,聚焦于削弱以色列的战争意志和国际社会对以色列的支持,还将人工智能用作其消息传递的关键组成部分。
报告称,伊朗的网络影响力行动旨在实现四项目标;一是通过分化来破坏以色列国内稳定;二是对以色列实施报复;三是恐吓以色列公民及其支持者;四是破坏国际社会对以色列的支持。上述四个目标还试图破坏以色列及其支持者的信息环境,以造成普遍混乱和信任缺乏。报告认为,伊朗依赖四种影响力策略、技术和程序(TTP)来实现其在信息领域的目标:一是冒充以色列活动团体和伊朗合作伙伴;二是动员以色列人开展实地行动;三是通过文本和电子邮件以更高的频率和复杂性来放大影响;四是利用官方媒体来放大网络行动。报告提出,伊朗的网络活动有两大趋势:一是伊朗附属网络组织间的合作迅速发展;二是伊朗网络行为者对以色列的关注加剧。报告总结认为,随着以哈冲突的持续,来自伊朗网络和影响力行动的威胁将会增加,特别是在其他战线升级的可能性不断增加的情况下;伊朗组织最近放慢了行动速度,但有更多时间获得所需的访问权限或开展更复杂的影响行动;伊朗的网络和影响力行动正在缓慢进展,变得更具针对性、协作性和破坏性;日益增多的访问代理、影响团体和网络行为者将造成更加复杂和相互交织的威胁环境。
奇安网情局编译有关情况,供读者参考。
伊朗大力开展网络影响力行动
以支持哈马斯
介绍
随着以色列与哈马斯战争于2023年10月7日爆发,伊朗立即加大了对哈马斯的支持,其现已成熟的技术将有针对性的黑客攻击与在社交媒体上放大的影响力行动相结合,即“网络影响力行动”。伊朗的行动最初是反应性和机会主义的。到2023年10月下旬,几乎所有伊朗的影响力和主要网络参与者都以越来越有针对性、协调性和破坏性的方式集中在以色列,形成了一场看似无止境的针对以色列的“全员出动”的行动。与伊朗过去的一些网络攻击不同,它在这场战争中针对以色列的所有破坏性网络攻击(无论是真实的还是捏造的)都辅以在线影响力行动。
关键术语定义
网络影响行动:
以协调和操纵的方式将进攻性计算机网络行动与消息传递和放大相结合的行动,以改变目标受众的看法、行为或决策,以促进群体或国家的利益和目标。
网络角色:
一个人造的面向公众的团体或个人,负责网络操作,同时为负责的底层团体或国家提供合理推诿。
傀儡(Sockpuppet):
一种虚假的在线角色,使用虚构或盗用的身份进行欺骗。
随着战争的进展,影响力运作变得越来越复杂和不真实,部署了社交媒体“傀儡”网络。在整个战争期间,这些影响力行动试图恐吓以色列民众,同时批评以色列政府处理人质和军事行动的方式,以分化以色列并最终破坏以色列的稳定。
最终,伊朗将网络攻击和影响力行动转向以色列的政治盟友和经济伙伴,以破坏对以色列军事行动的支持。
预计,随着冲突的持续,特别是在战争扩大的可能性不断上升的情况下,伊朗的网络和影响力行动所构成的威胁将会加剧。伊朗和与伊朗有关联的行为体的日益肆无忌惮,加上它们之间的合作不断发展,预示着今年11月美国大选前的威胁将越来越大。
战争的多个阶段
自2023年10月7日哈马斯恐怖袭击以来,伊朗的网络和影响力行动已经历多个阶段。其行动的一个要素始终保持不变:机会主义网络攻击与影响力行动相结合,而影响力行动往往会误导准度或影响范围。
本报告重点关注从2023年10月7日到2023年底的伊朗影响力和网络影响力行动,同时涵盖可追溯到2023年春季的趋势和行动。
1. 第一阶段:反应性和误导性
伊朗团体在以色列与哈马斯战争的初始阶段反应强烈。伊朗官方媒体发布了有关所声称的网络攻击的误导性细节,伊朗组织重复使用了历史行动中的过时材料,重新利用了在战前获得的访问权限,并夸大了所声称的网络攻击的总体范围和影响。
战争已经过去近4个月了,微软仍然没有从数据中发现明确的证据表明伊朗组织已将其网络或影响行动与哈马斯10月7日袭击以色列的计划进行协调。相反,微软大量数据和调查结果表明,伊朗网络行为者反应迅速,在哈马斯袭击以色列后迅速加强网络和影响力行动。
官方媒体声称的攻击细节具有误导性:战争爆发当日,隶属于伊斯兰革命卫队(IRGC)的伊朗媒体塔斯尼姆通讯社错误地声称,名为“网络复仇者”(Cyber Avengers)的组织在哈马斯发动攻击的“同时”,对以色列一家发电厂进行了网络攻击。“网络复仇者”是伊斯兰革命卫队(IRGC)运营的网络角色,实际上声称在哈马斯入侵前一天晚上对一家以色列电力公司进行了网络攻击。他们的证据是:几周前关于“近年来”停电的新闻报道以及该公司网站未注明日期的服务中断的屏幕截图。
重新使用旧材料:哈马斯攻击以色列后,“网络复仇者”声称对以色列开展了一系列网络攻击,微软调查显示最早的攻击是错误的。2023年10月8日,他们声称泄露了以色列一座发电厂的文件,尽管这些文件此前已由伊斯兰革命卫队(IRGC)运营的另一名网络角色“摩西手杖”(Moses Staff)于2022年6月发布。
重新利用访问权限:微软评估的另一个由伊朗情报和安全部(MOIS)运营的网络角色“马利克团队”(Malek Team)于2023年10月8日泄露了以色列一所大学的个人数据,但与该国迅速发展的冲突没有任何明确的联系,表明该目标是机会主义的,可能是根据战争爆发前预先存在的访问权限来选择的。“马利克团队”并没有在泄露的数据和对哈马斯行动的支持间建立联系,而是最初使用社交媒体X(前身为Twitter)上的主题标签来支持哈马斯,仅仅几天后,信息就转变为与在其他伊朗影响力行动中看到的诋毁以色列总理内塔尼亚胡的信息类型一致。
图1:伊朗在全球的宣传消费情况
图2:按国家划分的伊朗宣传消费情况
伊朗的影响力行动在战争初期最为有效。以色列-哈马斯战争爆发后,伊朗官方媒体的影响力激增。在冲突发生的第一周,微软观察到Microsoft AI for Good Lab的伊朗宣传指数增长了42%,该指数监控伊朗国家和国家附属新闻媒体的新闻消费情况(见图1)。该指数衡量访问这些网站的流量占互联网总流量的比例。这种激增在与美国关系密切的英语国家尤其明显(图2),凸显了伊朗通过报道中东冲突来接触西方受众的能力。战争爆发1个月后,这些伊朗来源的覆盖范围仍比战前全球水平高出28-29%。
伊朗无网络攻击影响力显示出灵活性。与冲突后期的综合网络影响行动相比,伊朗的影响行动在战争初期显得更加灵活和有效。在哈马斯袭击以色列的几天内,一个微软追踪为Storm-1364的疑似伊朗国家行为者利用名为“战争之泪”的在线角色发起了一项影响行动,该角色冒充以色列活动人士通过多个社交媒体和消息平台向以色列受众传播反以色列总理内塔尼亚胡的信息。Storm-1364在2023年10月7日攻击后发起此活动的速度突显了该组织的敏捷性,并指出了仅影响力活动的优势,这种活动的形成可能更快,因为他们不需要等待网络影响行动的网络活动。
2. 第二阶段:全员出动
从2023年10月中旬到下旬,越来越多的伊朗组织将重点转向以色列,伊朗的网络影响行动从很大程度上是反应的、虚构的或两者兼而有之,转变为包括破坏性网络攻击和开发感兴趣的行动目标。这些攻击包括数据删除、勒索软件以及明显调整某物联网设备。微软还发现伊朗团体间协调加强的证据。
在战争的第一周,微软威胁情报跟踪了9个活跃针对以色列的伊朗组织;到第15天,这个数字增加到14个团体。在某些情况下,微软观察到多个伊朗伊斯兰革命卫队(IRGC)或伊朗情报和安全部(MOIS)团体针对同一组织或军事基地开展网络或影响活动,这表明存在协调、德黑兰设定的共同目标,或两者兼而有之。
网络影响力行动也在激增。微软观察到战争第一周就发生了4次针对以色列的仓促实施的网络影响行动。到2023年10月底,此类操作的数量增加了一倍以上,标志着这些操作的速度显著加快,是迄今为止最快的速度(见图 4)。
图3:伊朗处于网络和影响力的十字路口
图4:伊朗网络影响力行动时间线揭示
以哈战争期间的激增
2023年10月18日,伊斯兰革命卫队(IRGC)的“沙希德·卡维”(Shahid Kaveh)组织(微软将其追踪为Storm-0784)使用定制勒索软件对以色列的安全摄像头进行网络攻击。然后,该组织利用其网络角色之一“所罗门士兵”(Soldiers of Solomon),错误地声称它已勒索了内瓦蒂姆空军基地的安全摄像头和数据。对“所罗门士兵”泄露的监控录像的检查显示,它来自特拉维夫以北的一个城镇,有一条内瓦蒂姆街,而不是同名的空军基地。事实上,对受害者位置的分析显示,没有人位于军事基地附近(见图5)。尽管伊朗组织已经开始破坏性攻击,但其行动在很大程度上仍然是机会主义的,并继续利用影响力活动来夸大攻击的准度或效果。
2023年10月21日,由伊斯兰革命卫队(IRGC)组织 “棉花沙暴”(Cotton Sandstorm,俗称 Emennet Pasargad)运营的另一个网络角色分享了一段视频,视频中攻击者破坏了犹太教堂的数字显示屏,并发布了将以色列在加沙的行动称为“种族灭绝”的信息。这标志着一种将消息传递直接嵌入到针对相对易受攻击目标的网络攻击中的方法。
在此阶段,伊朗的影响力活动使用了更广泛、更复杂的不真实放大形式。在战争的前两周,微软检测到了最轻微的高级形式的不真实的放大——再次表明行动是反应性的。到了战争的第三周,伊朗最多产的影响力行为者“棉花沙暴”于2023年10月21日登场,发起了3起网络影响行动。正如微软经常从该组织中看到的那样,其利用社交媒体傀儡网络来放大行动,尽管许多行动似乎仓促地改变了用途,没有真实的掩饰将他们伪装成以色列人。“棉花沙暴”多次发送短信或电子邮件来放大或吹嘘其行动,利用遭渗透账户来增强真实性。
图5:伊朗利用误导性影响力行动
夸大网络攻击的准度或效果
3. 第三阶段:扩大地理范围
从2023年11月底开始,伊朗组织将其网络影响力扩展到以色列以外,包括伊朗认为正在援助以色列的国家,这很可能破坏国际社会对以色列军事行动的政治、军事或经济支持。这一目标的扩大与伊朗支持的也门什叶派激进组织胡塞武装开始对与以色列有联系的国际航运发动攻击相一致(见图 8)。
2023年11月20日,伊朗运营的网络角色“国土正义”( Homeland Justice)警告称,阿尔巴尼亚即将遭受重大攻击,随后放大了伊朗情报和安全部(MOIS)组织在2023年12月底针对阿尔巴尼亚议会、国家航空公司和电信提供商的破坏性网络攻击。
2023年11月21日,“棉花沙暴”运营的网络角色“图凡”(Al-Toufan)因巴林与以色列实现关系正常化攻击了巴林政府和金融组织。
到2023年11月22日,伊斯兰革命卫队(IRGC)附属组织开始针对美国(可能还有爱尔兰)的以色列制造的可编程逻辑控制器(PLC),包括于2023年11月25日下线宾夕法尼亚州的水务局1台PLC(见图 6)。PLC 是适用于控制制造过程的工业计算机,例如装配线、机器和机器人设备。
2023年12月初,微软威胁分析中心(MTAC)评估的一个伊朗资助的角色“网络图凡阿克萨”(Cyber Toufan Al-Aksa)声称泄露了两家美国公司的数据,理由是这些公司为以色列提供经济支持并为其军队提供设备。他们此前声称在2023年11月16日对这些公司进行了数据删除攻击。由于缺乏强有力的取证证据将该组织与伊朗联系起来,该角色可能由伊朗境外的伊朗合作伙伴运营,并有伊朗的参与。
图6:2023年11月25日美国宾西法尼亚水务局
被污损的PLC显示“网络复仇者”标志
在最新阶段,伊朗的网络影响力行动也继续变得更加复杂。他们通过重命名一些“傀儡”并更改他们的个人资料照片来更好地伪装他们的“傀儡”,以显示为更真实的以色列人。与此同时,他们利用了微软在伊朗行为者身上从未见过的新技术,包括使用人工智能作为其消息传递的关键组成部分。微软评估了2023年12月“棉花沙暴”以“为了人类”为幌子扰乱了阿联酋和其他地方的流媒体电视服务。“为了人类”在Telegram上发布的视频显示,该组织入侵了3个在线流媒体服务,并通过虚假新闻广播扰乱了多个新闻频道,其中一个明显是人工智能生成的主播据称展示了以色列军事行动中受伤和死亡的巴勒斯坦人的图像(见图7)。阿联酋、加拿大和英国的新闻媒体和观众报告称,包括BBC在内的流媒体电视节目出现中断,这与“为了人类”的说法相符。
图7:利用人工智能生的播扰乱流媒体电视节目
图8:伊朗及其附属扩大对以色列支持者
和商业伙伴的攻击
伊朗在以色列-哈马斯战争
中的影响力目标
伊朗的行动旨在实现四大目标:破坏稳定、报复、恐吓和破坏国际社会对以色列的支持。所有这四个目标还试图破坏以色列及其支持者的信息环境,以造成普遍的混乱和信任的缺乏。
1. 通过分化造成不稳定
以色列-哈马斯战争期间,伊朗针对以色列的攻击越来越集中于因以色列政府的战争方式而煽动国内冲突。多个伊朗影响力行动伪装成以色列活动团体,散布煽动性信息,批评政府对待2023年10月7日被绑架和扣为人质的人的方式。以色列总理内塔尼亚胡一直是此类信息的主要目标,要求他下台的呼声是伊朗影响力行动的一个共同主题。
图9:“网络复仇者”转发以色列国防部长宣布
将封锁加沙的视频
2. 报复
伊朗的许多信息和目标选择都强调其行动的报复性质。例如,“网络复仇者”发布了一段视频,显示以色列国防部长表示以色列将切断加沙城的电力、食品、水和燃料(见图 9),随后发生了一系列据称“网络复仇者”针对以色列电力、水和燃料基础设施的攻击。几天前,他们声称以色列国家供水系统遭到袭击,其中包括“以眼还眼”的信息,伊斯兰革命卫队(IRGC)下属的塔斯尼姆通讯社报道称,该组织表示对供水系统的袭击是对围困加沙的报复。微软追踪的一个与伊朗情报和安全部(MOIS)相关的组织“粉红沙暴”(Pink Sandstorm,又名 Agrius)于2023年11月底对以色列一家医院进行了黑客攻击和信息泄密,这似乎是对两周前以色列围困加沙希法医院(al-Shifa)医院长达数天的报复。
3. 恐吓
伊朗的行动还通过传递威胁信息并使目标受众相信其国家基础设施和政府系统不安全来破坏以色列的安全并恐吓以色列公民及其支持者。伊朗的一些恐吓似乎旨在削弱以色列继续战争的意愿,例如试图说服以色列国防军士兵“离开战争并回家”(见图10)。一个可能伪装成哈马斯的伊朗网络角色声称向以色列士兵的家人发送威胁短信,并补充说“以色列国防军(IDF)士兵应该意识到,除非我们的家人不安全,否则他们的家人也不会。”傀儡在社交媒体X上传播了以色列国防军“没有任何权力保护自己士兵”的信息,并将观众指向一系列据称是以色列国防军士兵发送的信息,要求哈马斯饶恕他们的家人。
图10:某“棉花沙暴”运营的傀儡在社交媒体X上发送回应以色列帖文的威胁信息。该信息附有“棉花沙暴”运营的Telegram频道的链接,包含一系列据称由以色列国防军士兵发送的要求哈马斯饶恕其家人的电子邮件。
4. 削弱国际社会对以色列的支持
伊朗针对国际受众的影响力行动通常包括通过强调以色列袭击加沙造成的损害来寻求削弱国际社会对以色列的支持的信息。一个伪装成亲巴勒斯坦团体的角色将以色列在加沙的行为称为“种族灭绝”。2023年12 月,“棉花沙暴”以“为了巴勒斯坦人”和“为了人类”的名义开展了多项影响行动,呼吁国际社会谴责以色列对加沙的袭击。
影响力趋势
为了实现其在信息领域的目标,伊朗在过去9个月中严重依赖四种影响力策略、技术和程序(TTP)。其中包括使用假冒和增强的能力来激活目标受众,同时增加使用短信活动和与伊斯兰革命卫队相关的媒体来扩大影响力行动。
1. 冒充以色列活动团体和伊朗合作伙伴
伊朗团体以长期存在的冒充技术为基础,开发出更具体、更令人信服的角色,伪装成伊朗的朋友和敌人。伊朗过去的许多行动和形象都声称是支持巴勒斯坦事业的活动分子。微软评估的“棉花沙暴”操纵的角色最近的行动更进一步,使用哈马斯军事组织卡萨姆旅(al-Qassam Brigades)的名称和标志,散布有关加沙被扣押人质的虚假信息,并向以色列人发送威胁信息。另一个威胁以色列国防军人员并泄露其个人数据的Telegram频道也使用了卡萨姆旅徽标,微软评估该频道由某伊朗情报和安全部(MOIS)组织运营。目前尚不清楚伊朗的行动是否得到了哈马斯的同意。
同样,伊朗在以色列政治领域的左翼和右翼都制造了越来越令人信服的虚构以色列活动组织模仿。伊朗试图通过这些假活动分子渗透以色列社区,以获得他们的信任并挑拨离间。
2. 动员以色列人采取行动
2023年4月和11月,伊朗在招募不知情的以色列人进行实地活动以宣传其虚假行动方面屡屡取得成功。据报道,在最近的一项名为“战争之泪”的行动中,伊朗操作人员成功说服以色列人在以色列社区悬挂带有“战争之泪”品牌的横幅,上面有一张看似由人工智能生成的内塔尼亚胡图像,并呼吁将他免职(见图 11)。
3. 通过文本和电子邮件以更高的频率和复杂性进行放大
虽然伊朗的影响力行动继续严重依赖协调一致的不真实的社交媒体放大来接触目标受众,但伊朗越来越多地利用批量短信和电子邮件来增强其网络影响力行动的心理影响。使用傀儡在社交媒体上进行放大并不能产生与收件箱中显示的消息相同的影响,更不用说手机中的消息了。“棉花沙暴”建立在过去成功的基础上,从2022年开始使用该技术,自2023年8月以来至少在6次操作中批量发送短信、电子邮件或两者。他们越来越多地使用这种技术表明该组织已经磨练了这种能力并认为它是有效的。“棉花沙暴”2023年10月底的“网络洪流”行动包括向以色列人发送多达3组批量短信和电子邮件,放大声称的网络攻击或发布哈马斯袭击以色列迪莫纳附近核设施的虚假警告。至少在一种情况下,他们利用遭渗透账户来增强电子邮件的真实性。
图11:以色列悬挂的“战争之泪”横幅上有一张内塔尼亚胡的图像,从微软开发的用于检测人工智能生成图像的模型和开源检测工具来看,该图像很可能是人工智能生成的。横幅上写着“立即弹劾”。他的衣领文字写着“#没有_Bibi_我们会赢”,指的是内塔尼亚胡的昵称“Bibi”。
4. 利用官方媒体
伊朗利用与伊朗革命卫队(IRGC)有关联的公开和秘密媒体来放大所谓的网络行动,有时还夸大其影响。2023年9月,在“网络复仇者”声称对以色列铁路系统进行网络攻击后,与伊朗革命卫队(IRGC)相关的媒体几乎立即放大和夸大了他们的说法。与伊朗革命卫队(IRGC)有关联的塔斯尼姆通讯社错误地引用了以色列对另一事件的新闻报道作为网络攻击发生的证据。该报道被其他伊朗和与伊朗结盟的媒体进一步放大,进一步掩盖了支持网络攻击指控的证据的缺乏。
新兴的人工智能应用于影响力操作
自以色列-哈马斯战争爆发以来,微软威胁分析中心(MTAC)观察到伊朗行为者使用人工智能生成的图像和视频。“棉花沙暴”和Storm-1364以及真主党和哈马斯附属新闻媒体利用人工智能加强恐吓并制作诋毁内塔尼亚胡和以色列领导层的图像。
图12:“棉花沙暴”2023年8月至12月的影响力行动
网络趋势
1. 迅速发展的合作
以色列与哈马斯战争爆发几周后,微软开始发现伊朗附属组织间合作的例子,从而增强了行为者的能力。协作降低了进入门槛,允许每个团队贡献现有的能力,并消除了单个团队开发全系列工具或技术的需要。
微软评估认为,两个与伊朗情报和安全部(MOIS)相关的组织Storm-0861和 Storm-0842分别于2023年10月底在以色列和2023年12月底再次在阿尔巴尼亚合作发动了破坏性网络攻击。在这两种情况下,Storm-0861很可能在Storm-0842执行恶意擦除软件前提供了对网络的访问权限。同样,Storm-0861获得访问权限后,Storm-0842于2022年7月在阿尔巴尼亚政府实体执行了恶意擦除软件。
2023年10月,另一个与伊朗情报和安全部(MOIS)相关的组织Storm-1084也可能访问了以色列的一个组织Storm-0842在该组织中部署了“BiBi”擦除软件,该擦除软件以恶意软件使用字符串“BiBi”重新命名已擦除文件而命名。 目前尚不清楚Storm-1084在这次破坏性攻击中扮演了什么角色(如果有的话)。Storm-1084于2023年初对另一个以色列组织进行了破坏性网络攻击,攻击者是另一个与伊朗情报和安全部(MOIS)相关的组织“芒果沙暴”(Mango Sandstorm,又名 MuddyWater)。
自战争爆发以来,微软威胁情报中心还检测到与伊朗情报和安全部(MOIS)有关的组织“粉红沙暴”和真主党网络单位间的合作。微软已经观察到基础设施重叠和共享工具的情况。伊朗与真主党在网络行动上的合作虽然并非史无前例,但令人担忧的是,战争可能会让这些跨越国界的组织在行动上更加紧密地联系在一起。由于伊朗在这场战争中的网络攻击全部与影响力行动相结合,因此伊朗还有可能通过利用阿拉伯语母语人士来增强其不真实角色的真实性,从而改善其影响力行动及其影响力。
2. 高度关注以色列
伊朗网络行为者对以色列的关注加剧。伊朗长期以来一直关注以色列,德黑兰将以色列视为与美国并列的主要对手。因此,根据微软威胁情报数据,过去几年,以色列和美国企业几乎一直是伊朗最常见的目标。战争爆发前,伊朗行为者最关注以色列,其次是阿联酋和美国。战争爆发后,伊朗对以色列的关注激增。微软跟踪的伊朗国家网络活动中有43%针对以色列,超过了接下来的14个目标国家的总和。
图13:这些数据跟踪了微软在战前 75 天(上)和2023年10月7日战争爆发后75 天(下)对伊朗民族国家行为者的观察。这包括与攻击相关的 MITRE Att&ck 框架14个阶段的全部活动。
展望未来
微软预计,随着以色列与哈马斯冲突的持续,来自伊朗网络和影响力行动的威胁将会增加,特别是在其他战线升级的可能性不断增加的情况下。虽然伊朗组织在战争初期急于开展或干脆捏造行动,但伊朗组织最近放慢了行动速度,使他们有更多时间获得所需的访问权限或开展更复杂的影响行动。本报告中概述的战争阶段清楚地表明,伊朗的网络和影响力行动正在缓慢进展,变得更具针对性、协作性和破坏性。
伊朗行为者的攻击目标也变得越来越大胆,最引人注目的是对一家医院进行网络攻击,并测试华盛顿的红线,似乎并不关心后果。伊斯兰革命卫队(IRGC)对美国水控制系统的攻击虽然是机会主义的,但似乎是一个聪明的策略,旨在通过声称攻击以色列制造的设备的合法性来测试华盛顿。
在2024年11月美国大选前,伊朗及其附属组织间合作的加强预示着那些参与选举防御的人将面临更大的挑战。防御者再也不能因为追踪几个群体而感到安慰了。相反,越来越多的访问代理、影响团体和网络行为者造成了更加复杂和相互交织的威胁环境。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。