Bốn tháng kể từ ngày Hamas xâm nhập qua biên giới Israel ở Gaza gây ra một cuộc chiến dẫn đến cái chết của hàng nghìn người Israel và hàng chục nghìn người Palestine, Microsoft đã chia sẻ thông tin tình báo mới về cách các tác nhân đe dọa liên kết hoặc được hỗ trợ bởi Hamas. Chính phủ Iran đã tăng cường các hoạt động tấn công mạng chống lại Israel.
Iran, một đồng minh của Hamas, đã tiến hành một loạt các cuộc tấn công mạng và các hoạt động gây ảnh hưởng nhằm hỗ trợ phe ủy quyền của họ và làm suy yếu Israel, các đồng minh và đối tác kinh doanh của họ, phần lớn trong số đó được tiến hành một cách vội vàng và hỗn loạn.
Clint Watts, tổng giám đốc Trung tâm phân tích mối đe dọa của Microsoft (MTAC), viết: “Trái ngược với một số tuyên bố của truyền thông nhà nước Iran, các tác nhân mạng và IO (hoạt động gây ảnh hưởng) của Iran đã phản ứng trong giai đoạn đầu của cuộc chiến Israel-Hamas”.
“MTAC đã quan sát thấy phương tiện truyền thông nhà nước Iran đưa ra các chi tiết sai lệch về các cuộc tấn công được xác nhận và các nhóm Iran sử dụng lại tài liệu cũ từ các hoạt động lịch sử, đồng thời phóng đại phạm vi và tác động tổng thể của các cuộc tấn công mạng được xác nhận. Ba tháng sau, dữ liệu vượt trội cho thấy các tác nhân mạng Iran đã phản ứng, nhanh chóng tăng cường các hoạt động mạng và gây ảnh hưởng sau các cuộc tấn công của Hamas để chống lại Israel.
Ông nói: “Kể từ khi cuộc chiến Israel-Hamas bùng nổ vào ngày 7 tháng 10, Iran đã tăng cường các hoạt động gây ảnh hưởng và nỗ lực tấn công vào Israel, tạo ra một môi trường đe dọa ‘tất cả cùng chung tay’.
“Những cuộc tấn công này mang tính phản ứng và mang tính cơ hội trong những ngày đầu của cuộc chiến, nhưng đến cuối tháng 10, gần như toàn bộ ảnh hưởng và các tác nhân mạng chính của nó đều nhắm vào Israel. Các cuộc tấn công mạng ngày càng trở nên có mục tiêu và mang tính hủy diệt, đồng thời các chiến dịch IO ngày càng tinh vi và không xác thực, triển khai mạng lưới các tài khoản ‘con rối’ trên mạng xã hội.”
Tuy nhiên, Watts nói rằng công việc của Iran thay mặt cho Hamas dường như nhằm mục đích tạo ra vẻ ngoài có ảnh hưởng toàn cầu cũng như có tác động cụ thể, gây tổn hại, đồng thời lưu ý rằng có khả năng các nhóm đe dọa dai dẳng (APT) cấp cao của Iran có thể sử dụng các biện pháp tương tự. chiến thuật chống lại cuộc bầu cử tổng thống Mỹ sắp tới.
Chiến thuật mạng của Iran trong cuộc chiến Gaza
Theo MTAC, các hoạt động gây ảnh hưởng qua mạng của Iran đã trải qua ba giai đoạn quan trọng kể từ ngày 7 tháng 10. Báo cáo của nó lồng tiếng cho các giai đoạn này như sau:
- Phản ứng và gây hiểu lầm;
- All-Hands-on-Deck;
- Phạm vi địa lý mở rộng.
Trong giai đoạn đầu tiên, Iran tận dụng quyền truy cập có sẵn, chẳng hạn như khả năng tiếp cận của các đài truyền hình liên kết với nhà nước như mạng Press TV – bị cấm ở Anh kể từ năm 2012 – nhưng có xu hướng dựa vào tài liệu cũ hơn để rò rỉ, sử dụng rất ít thông tin. những con rối và tránh xa các chiến dịch SMS hoặc email hàng loạt.
Một số điểm nổi bật trong giai đoạn đầu tiên này bao gồm các tuyên bố từ Tasnim, hãng thông tấn liên kết với Quân đoàn Vệ binh Cách mạng Iran (IGRC), cáo buộc một nhóm có tên Cyber Avengers (tồn tại) đã tấn công cơ sở hạ tầng năng lượng của Israel trong cuộc tấn công ngày 7 tháng 10. Bằng chứng được đưa ra là báo cáo về tình trạng mất điện cách đây nhiều tuần và ảnh chụp màn hình về tình trạng mất điện không ghi ngày tháng trên trang web được cho là của nạn nhân.
Một nhà điều hành khác, được gọi là Nhóm Malek, có thể do Bộ Tình báo và An ninh (MOIS) của Tehran điều hành, đã rò rỉ dữ liệu bị đánh cắp từ một trường đại học của Israel vào ngày 8 tháng 10, nhưng dữ liệu này không thực sự liên quan đến những gì đang xảy ra ở Gaza vào thời điểm đó, cho thấy việc nhắm mục tiêu mang tính cơ hội và dựa trên quyền truy cập có sẵn.
Vào giữa tháng 10, Iran đang chuyển sang giai đoạn thứ hai, trong đó MTAC quan sát thấy số lượng nhóm nhắm mục tiêu vào Israel tăng gần gấp đôi và chuyển sang các cuộc tấn công hủy diệt và đôi khi phối hợp chống lại các mục tiêu tương tự kết hợp với thông điệp ủng hộ Hamas. .
Phần mềm độc hại tùy chỉnh
Một sự cố đặc biệt đáng chú ý vào ngày 18 tháng 10 đã chứng kiến nhà điều hành Shahid Kaveh được IRGC hậu thuẫn triển khai phần mềm độc hại tùy chỉnh chống lại các camera an ninh ở Israel. Sau đó, nó sử dụng một nhân vật tên là Những người lính của Solomon để tuyên bố sai sự thật rằng nó đã lấy được dữ liệu và camera an ninh tại Căn cứ Không quân Nevatim, một cơ sở lớn gần Beersheba ở phía nam sa mạc Negev. Tuy nhiên, xem xét kỹ hơn đoạn phim bị rò rỉ cho thấy nó được chụp từ phố Nevatim nằm ở một thị trấn phía bắc Tel Aviv chứ không phải căn cứ không quân.
Về phía IO, việc sử dụng những con rối bít tất đã tăng vọt – nhiều trong số chúng đã được sử dụng lại – cũng như các chiến dịch gửi SMS và email hàng loạt, và người Iran bắt đầu tăng cường mạo danh các nhà hoạt động Israel và Palestine.
Giai đoạn hoạt động thứ ba bắt đầu vào cuối tháng 11, khi người Iran bắt đầu mở rộng ảnh hưởng được hỗ trợ trên mạng của họ ra ngoài Israel để nhắm mục tiêu vào các quốc gia thân thiện với Israel và/hoặc thù địch với Iran. Điều này phù hợp với việc lực lượng Houthis có trụ sở tại Yemen và được Iran hậu thuẫn đang tăng cường các cuộc tấn công vào hoạt động vận chuyển hàng hải ở Biển Đỏ.
Hai sự cố đặc biệt đáng chú ý nổi bật ở đây, một vụ nhắm vào một số tổ chức ở Albania vào ngày Giáng sinh – ban đầu có vẻ là một lựa chọn mục tiêu kỳ lạ, nhưng hãy nhớ rằng Albania thực sự đã cắt đứt quan hệ ngoại giao với Iran vào năm 2022 sau một cuộc tấn công mạng.
Các cuộc tấn công khác nhắm vào chính phủ và các tổ chức tài chính Bahrain, Bahrain là một bên ký kết Hiệp định Abraham năm 2020 bình thường hóa quan hệ giữa Israel và một số quốc gia Ả Rập, và cơ sở hạ tầng quốc gia quan trọng (CNI) ở Hoa Kỳ, bao gồm cả vụ việc cuối tháng 11 nhắm vào chương trình lập trình do Israel sản xuất. bộ điều khiển logic tại Cơ quan cấp nước thành phố Aliquippa, Pennsylvania.
Iran muốn gì?
Watts cho biết, Iran có bốn mục tiêu chính trong chiến dịch đang diễn ra nhằm làm suy yếu Israel và những người ủng hộ nước này, gây nhầm lẫn và tổn hại đến niềm tin.
- Mục tiêu đầu tiên trong số này là mở ra và làm trầm trọng thêm những rạn nứt chính trị và xã hội trong nước, chẳng hạn như tập trung vào sự chia rẽ nảy sinh về cách chính phủ Israel tiếp cận để cố gắng giải cứu các con tin bị Hamas bắt giữ.
- Thứ hai là để trả đũa Israel, nhóm Cyber Avengers đã nhắm mục tiêu cụ thể vào CNI của Israel để đáp trả các cuộc tấn công của Israel vào các cơ sở như vậy ở Gaza, trích dẫn câu ngạn ngữ cổ trong Kinh thánh về “mắt đền mắt”.
- Thứ ba là đe dọa công dân Israel và đe dọa gia đình các binh sĩ phục vụ trong Lực lượng Phòng vệ Israel.
Ông viết: “Chúng tôi đánh giá rằng tiến triển thể hiện cho đến nay trong ba giai đoạn chiến tranh sẽ tiếp tục”. “Trong bối cảnh tiềm năng gia tăng của một cuộc chiến tranh ngày càng mở rộng, chúng tôi dự đoán các hoạt động gây ảnh hưởng và tấn công mạng của Iran sẽ tiếp tục có mục tiêu rõ ràng hơn, mang tính hợp tác hơn và mang tính tàn phá nhiều hơn khi xung đột Israel-Hamas kéo dài. Iran sẽ tiếp tục thử nghiệm các giới hạn đỏ, như họ đã làm với cuộc tấn công vào bệnh viện Israel và hệ thống nước của Mỹ vào cuối tháng 11.
“Sự hợp tác ngày càng tăng mà chúng tôi nhận thấy giữa các tác nhân đe dọa khác nhau của Iran sẽ gây ra mối đe dọa lớn hơn vào năm 2024 đối với những người bảo vệ bầu cử, những người không còn có thể yên tâm khi chỉ theo dõi một số nhóm. Thay vào đó, số lượng tác nhân truy cập, nhóm ảnh hưởng và tác nhân mạng ngày càng tăng tạo nên một môi trường đe dọa phức tạp và đan xen hơn”.