ITanalyze

این در حالیست که در گزارش‌های امنیتی و دوره‌ای مایکروسافت، هیچگاه به حملات متعدد و گسترده سایبری اسراییل و آمریکا به ایران و تهدیدهایی اعمال شده از سوی این کشورها پرداخته نشده و نمی‌شود که همین امر اهمیت، صحت و بی‌طرفی گزارش‌های این شرکت آمریکایی را زیر سوال می‌برد.

با این وجود مایکروسافت در گزارشی که اخیرا منتشر کرده، بار دیگر مدعی حملات سایبری منتسب به ایران شده است که در ادامه می‌خوانید.

از زمان حمله حماس به اسرائیل در اکتبر 2023، بازیگران همسو با دولت ایران، مجموعه‌ای از حملات سایبری و عملیات نفوذ (IO) را با هدف کمک به حماس و تضعیف اسرائیل، متحدان سیاسی و شرکای تجاری‌اش انجام داده‌اند. بسیاری از عملیات‌های فوری ایران پس از 7 اکتبر، شتاب‌زده بوده است. این امر نشان می‌دهد این عملیات، هماهنگی کمی با حماس داشته یا اصلا وجود نداشته است. با این وجود، این حملات، به موفقیت‌های فزاینده‌ای دست یافته است.

در این رابطه، چهار مورد از یافته‌ها یا نتایج ناشی از عملیات نفوذ و هجوم سایبری ایران علیه اسرائیل، برجسته‌تر است.

این یافته‌ها، از آخرین گزارش دوسالانه مرکز تحلیل تهدیدات مایکروسافت (MTAC)، درباره ایران، حاصل شده است:

• افزایش 42 درصدی ترافیک سایت‌های خبری در هفته اول جنگ که توسط دولت ایران یا وابسته به آن اداره می‌شوند. حتی سه هفته بعد، این ترافیک همچنان 28 درصد، بالاتر از زمان قبل از جنگ بود.
• علی‌رغم ادعاهای اولیه ایران، بسیاری از «حملات» در روزهای اولیه جنگ یا «نشت» مطالب قدیمی، با دسترسی موجود قبلی به شبکه‌ها یا ادعاهای دروغ بوده است.
• فعالیت ایران به سرعت از 9 گروه تحت ردیابی فعال در اسرائیل (طبق بررسی مایکروسافت)، در هفته اول جنگ به 14 مورد در دو هفته پس از جنگ افزایش یافت. همچنین عملیات نفوذ سایبری از حدود یک عملیات ماهانه در سال 2021 به 11 مورد در اکتبر 2023 رسید.
• با پیشروی جنگ، بازیگران ایرانی دامنه جغرافیایی خود را گسترش داده و حملات به آلبانی، بحرین و ایالات متحده را انجام دادند. آنها همچنین فعالیت خود را بیشتر و تخصصی‌تر کرده و اثربخشی بیشتر را ایجاد کردند.

بعضا به نظر می‌رسد اقدام ایران در حمایت از حماس به همان اندازه که درباره تاثیرگذاری‌اش بر این گروه ملموس است، به تاثیرات در صحنه جهانی نیز مربوط می‌شود. در حالی که منتظر انتخابات ریاست جمهوری 2024 آمریکا هستیم، فعالیت‌های ایران می‌تواند بار دیگر بر مبنای اتفاقاتی که در سال 2020 رخ داد، استوار شود؛ یعنی زمانی که آنها تندروهای آمریکایی را جعل کرده و به خشونت علیه مقامات دولتی آمریکا دامن زدند.

• از آغاز واکنش تا آماده باش

برخلاف برخی ادعاهای رسانه‌های دولتی ایران، بازیگران سایبری و عملیات نفوذ این کشور، در مرحله آغازین جنگ اسرائیل و حماس واکنش نشان داده‌اند. مرکز تحلیل تهدیدات مایکروسافت (MTAC) مشاهده کرد رسانه دولتی ایران، جزییات گمراه‌کننده حملات ادعایی را منتشر می‌کند. همچنین گروه‌های ایرانی از محتواهای تاریخ‌دار مرتبط با عملیات‌‌ قبلی استفاده کرده و درباره دامنه و تاثیر حملات سایبری ادعاشده اغراق می‌کنند. سه ماه بعد، نتایج داده‌ها نشان داد بازیگران سایبری ایران واکنش نشان داده و به سرعت عملیات سایبری و عملیات نفوذ را پس از حملات حماس، برای مقابله با اسرائیل افزایش داده‌اند.

از زمان آغاز جنگ اسرائیل و حماس در 7 اکتبر، ایران عملیات نفوذ و تلاش‌های هکری خود علیه اسرائیل را گسترش داده و یک محیط تهدید « همه‌چیز در حالت آماده‌باش» ایجاد کرده است. این حملات در روزهای اولیه جنگ، واکنشی و فرصت‌طلبانه بود اما در اواخر اکتبر، تقریبا در قالب عملیات نفوذ، بازیگران اصلی سایبری اسرائیل را هدف قرار داد. حملات سایبری به طور فزاینده‌ای، هدفمند و مخرب شدند و البته کمپین‌های عملیات نفوذ نیز حالت پیچیده به خود گرفتند و شبکه‌هایی از اکانت‌های «عروسک جورابی» (sock puppet) در رسانه‌های اجتماعی را گسترش دادند.

گفتنی است عروسک جورابی، هویت آنلاین جعلی است که برای اهداف فریبنده استفاده می‌شود. این اصطلاح، در اصل به عروسک دستی ساخته‌شده با جوراب اشاره دارد. عروسک‌های جورابی، هویت‌های آنلاینی هستند که برای تمجید، دفاع یا حمایت از یک شخص یا سازمان برای دستکاری افکار عمومی یا برای دور زدن محدودیت‌هایی مانند مشاهده حساب رسانه‌های اجتماعی که کاربر برای ورود به آن مسدود شده، ایجاد شده است. عروسک‌های جورابی در بسیاری از فروم‌های آنلاین، ناخواسته موجود هستند.

• ایران، سرویس‌های تلویزیونی را توسط هوش مصنوعی قطع کرد

اوایل دسامبر 2023، ایران سرویس‌های پخش تلویزیونی را قطع و آنها را با ویدئوی اخبار جعلی که ظاهرا یک مجری خبری تولیدشده توسط هوش مصنوعی را نشان می‌داد، جایگزین کرد. این، اولین عملیات نفوذ ایران است که مایکروسافت تشخیص داده هوش مصنوعی در پیام‌های آن نقش کلیدی داشته و نمونه‌ گسترش سریع و چشمگیر دامنه عملیات ایران از آغاز درگیری اسرائیل و حماس است. وسعت این اختلال به مخاطبان در امارات متحده عربی، بریتانیا و کانادا نیز رسید.

اختلال در پخش برنامه‌های تلویزیونی با استفاده از مجری تولیدشده توسط هوش مصنوعی (شرح عکس)

• رسانه‌های ایران در کشورهای انگلیسی زبان بیشترین موفقیت را دارند

یک آزمایشگاه شرکت مایکروسافت، شاخص پروپاگاندای ایرانی (IPI) در حوزه هوش مصنوعی، درباره نسبت ترافیک بازدیدکننده از خبرگزاری‌ها و تقویت‌کننده‌های دولتی ایران را در مقایسه با ترافیک کلی اینترنت بررسی کرد.

بر اساس نتایج حاصل‌شده، در هفته اول درگیری، شاهد افزایش 42 درصدی بودیم. این افزایش به‌ویژه در آمریکا و متحدان انگلیسی زبان آن (بریتانیا، کانادا، استرالیا، نیوزلند) مشهود بود. این امر، بیانگر توانایی ایران برای دستیابی به مخاطبان غربی با گزارش‌های خود درباره درگیری‌های خاورمیانه است. در حالی که این موفقیت در روزهای اولیه جنگ، قوی‌ترین بود، دسترسی این منابع ایرانی یک ماه پس از جنگ، 28 درصد بالاتر از سطح قبل از جنگ، در عرصه جهانی باقی ماند.

• مراحل عملیات نفوذ سایبری ایران در جنگ اسرائیل

عملیات سایبری ایران در جنگ اسرائیل و حماس از 7 اکتبر، در سه مرحله طی شده است:

• مرحله 1: واکنشی و گمراه‌کننده

در ادامه این گزارش ادعا شده، مرحله اول، ادعاهای گمراه‌کننده رسانه‌های دولتی ایران را شامل می‌شود. یکی از نمونه‌ها، «خبرگزاری تسنیم» است که مدعی شد گروهی به نام «انتقام‌جویان سایبری» همزمان با حملات حماس، هجوم سایبری علیه نیروگاه اسرائیل انجام داده‌اند. خود انتقام‌جویان سایبری (که احتمالا وابسته به ایران هستند) مدعی شدند عصر قبل از حملات حماس، به یک شرکت برق اسرائیلی حمله کرده‌اند. با این حال، شواهد آنها، تنها گزارش چند هفته‌ای رسانه‌ای از قطع برق «در سال‌های اخیر» و تصویری از یک اختلال بدون تاریخ در وب‌سایت شرکت بود.

در جای دیگر، یک شخصیت‌ سایبری به نام «تیم ملک» که (مایکروسافت مدعی است) توسط ایران اداره می‌شود، اطلاعات شخصی یک دانشگاه اسرائیلی را در 8 اکتبر به بیرون فاش کرد. این موضوعات، به جز برخی موارد، هیچ ارتباطی با درگیری‌های در حال وقوع در غزه نداشت. هشتگ‌های مورد استفاده در توییتر برای حمایت از حماس، نشان می‌دهد که هدف، بینش فرصت‌طلبانه بوده و احتمالا براساس دسترسی از قبل، میسر بوده است.

• مرحله 2: آماده‌باش عمومی

اواسط تا اواخر اکتبر، مرحله دوم در حال ظهور بود. این مرحله باعث شد تعداد گروه‌های فعال در اسرائیل که توسط مایکروسافت ردیابی می‌شد، از 9 گروه در روزهای اول به 14 مورد در روز پانزدهم برسد. این موضوع، بیانگر هماهنگی، اهداف مشترک تعیین‌شده در تهران یا هر دو است.

علاوه بر آن، استفاده از عملیات نفوذ سایبری علیه اسرائیل به طور قابل توجهی با تسریع همراه شد. ایران، ترجیح خود را برای چنین حملاتی در سال 2022 نشان داد؛ زمانی که سرعت چنین عملیاتی را از حدود یک ماه در میان، به چندین عملیات ماهانه افزایش داد. 10 عملیات سایبری ایران علیه اسرائیل در ماه اکتبر، یک نقطه اوج جدید است. این میزان، تقریبا دو برابر بالاترین تعداد قبلی یعنی شش عملیات ماهانه در نوامبر 2022 بود. البته حملات قبلی، شامل عملیاتی با هدف قرار دادن چهار کشور بود.

یک نمونه حملات، در 18 اکتبر رخ داد که یک گروه منتسب به ایران، از باج‌افزار سفارشی برای انجام حملات سایبری علیه دوربین‌های امنیتی در اسرائیل استفاده کرد. سپس از یکی از شخصیت‌های سایبری خود به نام «سربازان سلیمان» بهره برد تا به دروغ ادعا کند دوربین‌های امنیتی و داده‌های پایگاه نیروی هوایی نواتیم (Nevatim) را باج گرفته است. بررسی فیلم امنیتی که سربازان سلیمان فاش کرده‌اند، نشان می‌دهد این فیلم مربوط به شهری در شمال تل‌آویو، خیابان نواتیم است، نه پایگاه هوایی به همین نام.

• مرحله 3: گسترش دامنه جغرافیایی

اواخر نوامبر 2023، گروه‌های ایرانی شروع به گسترش نفوذ سایبری خود، فراتر از اسرائیل کردند و کشورهایی را هدف قرار دادند که ایران تصور می‌کند از اسرائیل حمایت می‌کنند. این اتفاق، همسو با شروع حملات حوثی‌های مورد حمایت ایران به کشتیرانی بین‌المللی بود.

در 20 نوامبر، شخصیت سایبری “Homeland Justice” همسو با ایران درباره حملات سایبری آتی به آلبانی هشدار داد. آنها بعدا مسئولیت حملات به تعدادی از سازمان‌ها و موسسات آلبانیایی در روز کریسمس را برعهده گرفتند.

در 21 نوامبر، شخصیت سایبری «الطوفان»، دولت و سازمان‌های مالی بحرین را به دلیل عادی‌سازی روابط با اسرائیل، هدف قرار داد. تا 22 نوامبر، گروه‌های وابسته به ایران کنترل‌گرهای منطقی قابل برنامه‌ریزی (PLC) ساخت اسرائیل در ایالات متحده را هدف قرار دادند. در این رابطه، 25 نوامبر، PLC ساخت اسرائیل مانند خطوط مونتاژ، ماشین‌آلات و دستگاه‌های رباتیک مورد هدف آنها قرار گرفت.

PLC تخریب‌شده در آب‌های پنسیلوانیا با آرم Cyber Avengers در 25 نوامبر دنباله این حملات بود. انتقام‌جویان سایبری همان پیام را روز بعد در کانال تلگرام خود به عنوان شرح ویدئویی از نتانیاهو که در کنفرانس کمیته روابط عمومی آمریکا – اسرائیل (AIPAC) صحبت می‌کرد، پست کردند. این امر، بیانگر تصمیم‌گیری برای هدف قرار دادن تجهیزات آمریکایی ساخت اسرائیل است. (شرح عکس)

• اهداف نفوذ ایران در جنگ اسرائیل و حماس

تلاش‌های ایران برای تضعیف اسرائیل و حامیان آن در اینترنت و رسانه‌های اجتماعی، که باعث سردرگمی عمومی و از دست دادن اعتماد می‌شود، به منظور دستیابی به چهار هدف اساسی صورت می‌گیرد:

1. بی‌ثباتی از طریق قطبی‌سازی

هدف ایران، تشدید شکاف‌های سیاسی و اجتماعی داخلی است و اغلب بر رویکرد دولت اسرائیل در قبال 240 گروگان گرفته‌شده توسط حماس در غزه تمرکز دارد و خود را به عنوان گروه‌های فعال صلح‌طلب در انتقاد از دولت اسرائیل نشان می‌دهد.

نتانیاهو، نخست وزیر اسرائیل، هدف اصلی چنین پیام‌هایی است که اغلب خواستار برکناری او هستند.

2. تلافی‌ و انتقام

بسیاری از پیام‌ها و اهداف ایران، صراحتا تلافی‌جویانه هستند. شخصیت انتقام‌جویان سایبری مدعی شد که زیرساخت‌های برق، آب و سوخت اسرائیل را به خاطر انتقام گرفتن از اسرائیل هدف قرار داده، زیرا برق، آب و سوخت غزه را قطع می‌کند. همچنین در جاهای دیگر، به «چشم در برابر چشم» اشاره شده است.

3. ارعاب و ایجاد ترس

هدف عملیات ایران، تضعیف امنیت اسرائیل و ارعاب شهروندان، حامیان بین‌المللی‌اش و تهدید خانواده‌های سربازان ارتش اسرائیل است. اکانت‌های عروسک جورابی (Sock puppet)، پیام‌هایی را مبنی بر اینکه «دولت اسرائیل هیچ قدرتی برای محافظت از سربازان خود ندارد» در ایکس (توییتر سابق) پخش کردند. همچنین پیام‌های دیگر، مانند نمونه زیر با هدف متقاعدسازی سربازان ارتش اسرائیل به تسلیم شدن صورت گرفته است:

4. تضعیف حمایت بین‌المللی از اسرائیل

بازیگران عملیات نفوذ ایران اغلب پیام‌هایی را ارسال می‌کنند که به دنبال تضعیف حمایت بین‌المللی از اسرائیل با برجسته‌سازی آسیب‌های ناشی از حملات اسرائیل به غزه است.

• ترندهای عملیات نفوذ ایران

در بخش دیگری از این گزارش ادعا شده، جعل هویت چیز جدیدی نیست اما بازیگران تهدیدکننده ایرانی اکنون نه تنها برای دشمنان خود، بلکه برای دوستان خود نیز اقدام می‌کنند. عملیات‌ اخیر گروه‌های ایرانی، از نام و نشان شاخه نظامی حماس و گردان‌های القسام، برای انتشار پیام‌های نادرست و تهدید کارکنان ارتش اسرائیل استفاده کرده است. مشخص نیست آیا ایران با رضایت حماس عمل می‌کند یا خیر.

ایران موفق شده مکررا اسرائیلی‌های ناآگاه را برای شرکت در فعالیت‌های زمینی برای ترویج عملیات دروغین استخدام کند.

در یکی از عملیات‌های اخیر با عنوان «اشک‌های جنگ» (Tears of War)، عوامل ایرانی، اسرائیلی‌ها را متقاعد کردند طبق گزارش‌های رسانه‌ای اسرائیل، بنرهای اشک‌های جنگ را با تصاویر تولیدشده توسط هوش مصنوعی در محله‌های اسرائیل آویزان کنند.

بنر Tears of War با تصویر نتانیاهو که احتمالا توسط هوش مصنوعی تولید شده است. روی متن این بنر نوشته شده: «اکنون استیضاح». ترجمه متن روی یقه او: «#بدون بی‌بی پیروز می‌شویم» کد QR عمدا برای انتشار محو شده است. (شرح عکس)

استفاده ایران از پیام‌های متنی انبوه و کمپین‌های ایمیلی، به منظور افزایش تاثیرات روانی عملیات نفوذ سایبری افزایش یافته است؛ پیام‌هایی که در تلفن‌ها یا صندوق ورودی افراد ظاهر می‌شوند، تاثیر بیشتری نسبت به حساب‌های عروسکی در رسانه‌های اجتماعی دارند.

ایران از رسانه‌های آشکار و پنهان مرتبط با خود برای تقویت عملیات سایبری ادعایی و بعضا اغراق‌آمیز از نظر تاثیرات، استفاده می‌کند. در سپتامبر، پس از اینکه انتقام‌جویان سایبری، مدعی حملات سایبری علیه سیستم راه‌آهن اسرائیل شدند، رسانه‌های ایران، تقریبا بلافاصله ادعاهای خود را تشدید و به طور اغراق‌آمیز مطرح کردند.

• ترندهای عملیات سایبری

هفته‌ها پس از جنگ اسرائیل و حماس، در جریان آنچه ما به عنوان مرحله 2 درنظر گرفتیم، شاهد نمونه‌هایی از همکاری بین گروه‌های وابسته به ایران بودیم؛ مشارکت‌هایی که عملا باعث افزایش دستاوردهای این بازیگران شد. این امر همکاری بین گروه MOIS Pink Sandstorm و واحدهای سایبری حزب‌الله بود. این همکاری، موانع ورود را کاهش داده و به هر گروه اجازه می‌دهد توانایی‌ موجود را اشتراک‌گذاری کند. این کار نیاز به گروه واحد برای توسعه طیف کامل ابزارآلات یا صنایع تجاری را از بین می‌برد.

تمرکز ایران بر اسرائیل، تشدید شده است. در حالی که اسرائیل و ایالات متحده، همیشه اهداف اصلی تهران بوده‌اند، با شروع جنگ اسرائیل و حماس، 43 درصد فعالیت‌های سایبری دولت – ملت ایران، بر اسرائیل متمرکز شده؛ یعنی بیش از مجموع 14 کشور که جزء اهداف بعدی هستند.

• انتظار مشتاقانه

طبق ارزیابی‌ ما، پیشرفت حاصل‌شده تاکنون، در سه مرحله جنگ ادامه خواهد داشت. با توجه به افزایش پتانسیل جنگ گسترده، انتظار داریم با ادامه درگیری اسرائیل و حماس، عملیات نفوذ ایران و حملات سایبری، همچنان هدفمندتر، مشارکتی‌تر و مخرب‌تر تداوم یابد. ایران به آزمایش خطوط قرمز ادامه می‌دهد؛ همان‌طور که این کار را با حمله به بیمارستان اسرائیل و سیستم‌های آب‌رسانی آمریکا در اواخر نوامبر انجام داد.

افزایش همکاری بین بازیگران مختلف تهدیدکننده ایرانی در سال 2024، برای مدافعان انتخابات که دیگر نمی‌توانند تنها با ردیابی چند گروه آرامش داشته باشند، تهدیدهای بزرگ‌تری در سال جاری ایجاد می‌کند. از سوی دیگر، تعداد فزاینده‌ عوامل دسترسی، گروه‌های نفوذ و بازیگران سایبری، محیط‌های تهدید پیچیده‌تر و درهم‌تنیده‌تری را فراهم می‌سازد.(منبع: عصر ارتباط)