Согласно отчетуЦентра анализа угроз Microsoft (MTAC), после начала конфликта между ХАМАС и Израилем в октябре 2023 года, хакеры, ассоциированные с иранским правительством, начали серию кибератак и операций влияния, направленных на поддержку ХАМАС и ослабление Израиля, его политических союзников и деловых партнеров. Первоначальные операции Ирана были поспешными и хаотичными, что указывало на отсутствие координации с ХАМАСом, но, тем не менее, с течением времени кампании стали более успешными.
В первую неделю конфликта наблюдался 42% рост трафика на новостные сайты, управляемые или аффилированные с иранским государством, причем через 3 недели после начала противостояния показатель все еще был на 28% выше уровня в мирное время. Несмотря на ранние заявления Ирана, многие атаки в первые дни конфликта либо представляли собой утечку старых материалов, либо использовали ранее полученный доступ к сетям, либо были ложными.
Активность Ирана быстро выросла с 9 групп, отслеживаемых Microsoft и активных в Израиле в первую неделю конфликта, до 14 группировок через 2 недели. Операции влияния увеличились с одной операции каждые 2 месяца в 2021 году до 11 операций только в октябре 2023 года.
Связи некоторых субъектов угроз, действующих в интересах Ирана по мнению Microsoft
По мере развития конфликта иранские киберпреступники расширили географию своих атак, включив Албанию, Бахрейн и США, а также увеличили свое сотрудничество, что позволило добиться большей специализации и эффективности. В декабре 2023 года Иран атаковал стриминговые телевизионные сервисы, внедрив в трансляцию поддельные новостные видео с использованием, предположительно, искусственно созданного ведущего новостей. Атака стала первой операцией влияния Ирана, обнаруженной Microsoft, где искусственный интеллект играл ключевую роль в передаче сообщений.
Среди англоязычных стран, тесно связанных с США (Великобритания, Канада, Австралия, Новая Зеландия), наблюдался особенно выраженный рост интереса к иранским источникам, что указывает на способность Ирана воздействовать на западную аудиторию своим освещением конфликтов на Ближнем Востоке.
Иран прошел через 3 фазы киберопераций в ситуации между Израилем и ХАМАС, начиная с оперативных и вводящих в заблуждение операций и заканчивая расширением географического охвата и увеличением количества атак на страны, воспринимаемые Ираном как поддерживающие Израиль.
Иран стремится подорвать влияние Израиля и его сторонников в интернете и соцсетях, вызывая общее замешательство и потерю доверия, что подкрепляется четырьмя основными целями: дестабилизацией через поляризацию, местью, запугиванием и подрывом международной поддержки Израиля.
Взгляд в будущее предполагает, что Иран будет продолжать тестировать “красные линии”, как это было с атакой на израильскую больницу и системы водоснабжения США в конце 2023 года, и что увеличение сотрудничества между различными иранскими хакерами создаст большие угрозы в 2024 году, особенно в контексте выборов.