مایکروسافت درباره اقدامات سایبری ایران چه گفت؟

مایکروسافت درباره اقدامات سایبری ایران چه گفت؟
تاریخ انتشار : ۰۱ اسفند ۱۴۰۲

گزارش این شرکت به بررسی تحولات سایبری پس از آغاز نبرد طوفان الاقصی پرداخته است.

به گزارش گرداب، شرکت مایکروسافت اخیراً ارزیابی خود را از روند و چگونگی فعالیت گروه‌های سایبری منتسب به ایران در نبرد اخیر غزه ارائه کرد.
این ارزیابی با اشاره به پیشرفت‌های فنی و تاکتیکی گروه‌های ایرانی در اجرای حملات سایبری و رسانه‌ای، به این نکته اشاره کرد که همکاری بین آن‌ها توانسته‌اند سطح پیچیدگی و تأثیرگذاری حملات را بالاتر ببرد.

از دیگر نکات شایان توجه در گزارش مایکروسافت این است که پایگاه‌های رسانه‌ای منتسب به ایران در روز‌های پس از آغاز نبرد در غزه مورد مراجعه مردم کشور‌های انگلیسی‌زبان برای دریافت اطلاعات بوده‌اند.

ذکر این نکته برای مخاطبان گرامی ضروری است که شرکت مایکروسافت این گزارش را در راستای رویکرد ضدایرانی دولت‌های غربی و در حمایت از رژیم صهیونیستی ارائه کرده است و داده‌ها و نتایج مورد اشاره در آن به شکل مستقل قابل رد یا تأیید نیست. بدیهی است که با هدف نشان دادن این رویکرد خصمانه، برخی واژه‌ها و اصطلاحات مورد استفاده در این گزارش به شکل اصلی ترجمه شده‌اند و منعکس کننده دیدگاه و موضع پایگاه رسانه‌ای گرداب نیستند.

آنچه در ادامه می‌خوانید خلاصه‌ای از گزارش تفصیلی مایکروسافت است.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


از زمان حمله حماس به اسرائیل در اکتبر ۲۰۲۳ گروه‌های همسو با دولت ایران مجموعه‌ای از حملات سایبری و عملیات رسانه‌ای (Influence Operation) را با هدف کمک به حماس و تضعیف اسرائیل و متحدان سیاسی و شرکای تجاری آن انجام داده‌اند. بسیاری از عملیات‌های فوری ایران پس از ۷ اکتبر شتاب‌زده و پر هرج‌ومرج بود - که نشان می‌دهد هماهنگی کمی با حماس داشته یا اصلاً نداشته -، اما با این وجود به موفقیت فزاینده‌ای دست یافته است.

چهار نکته برجسته:

• افزایش ۴۲ درصدی ترافیک در هفته اول جنگ به سایت‌های خبری که توسط دولت ایران یا وابسته به آن اداره می‌شوند. حتی سه هفته بعد این ترافیک همچنان ۲۸ درصد بالاتر از سطح قبل از جنگ بود.
• علیرغم ادعا‌های اولیه ایران، بسیاری از «حملات» در روز‌های اولیه جنگ یا «نشت» مطالب قدیمی با استفاده از دسترسی از قبل موجود به شبکه‌ها بود یا دروغ بود.
• فعالیت ایران به سرعت از ۹ گروه تحت ردیابی مایکروسافت در هفته اول جنگ به ۱۴ گروه در دو هفته پس از جنگ افزایش یافت. عملیات نفوذ رسانه‌ای از تقریباً یک عملیات در هر ماه در سال ۲۰۲۱ به ۱۱ در اکتبر ۲۰۲۳ رسید.
• با پیشروی جنگ، گروه‌های ایرانی دامنه جغرافیایی خود را گسترش دادند و حملات آن‌ها آلبانی، بحرین و ایالات متحده را نیز در بر گرفت. آن‌ها همچنین همکاری خود را افزایش دادند و تخصص و اثربخشی بیشتر را فراهم کردند.

از برخی جهات، به نظر می‌رسد اقدامات ایران در حمایت از حماس به همان اندازه که در مورد تأثیرگذاری ظاهری و نمایش قدرت در صحنه جهانی است به دنبال تأثیرگذاری واقعی نیز می‌باشد. درحالی‌که ما منتظر انتخابات ریاست جمهوری ۲۰۲۴ ایالات متحده هستیم، فعالیت‌های ایران می‌تواند اقدامات سال ۲۰۲۰ را تکرار کند که در آن ایرانی‌ها خود را به عنوان تندرو‌های آمریکایی جا زدند و به خشونت علیه مقامات دولتی ایالات متحده دامن زدند.

این نکات از آخرین گزارش دوسالانه مرکز تحلیل تهدیدات مایکروسافت (MTAC) در مورد ایران گرفته شده است.

از یک شروع واکنشی تا رو کردن تمام برگ‌ها

برخلاف برخی ادعا‌های رسانه‌های دولتی ایران، بازیگران سایبری و رسانه‌ای ایران در مرحله اولیه جنگ اسرائیل و حماس رویکرد واکنشی نشان دادند. سه ماه بعد از آغاز جنگ تجمیع داده‌ها نشان می‌دهد که گروه‌های سایبری ایرانی رویکرد واکنشی داشتند و به سرعت عملیات سایبری و نفوذ خود را پس از حملات حماس برای مقابله با اسرائیل افزایش دادند.

از زمان آغاز جنگ اسرائیل و حماس در ۷ اکتبر، ایران عملیات رسانه‌ای و تلاش‌های هکری خود علیه اسرائیل را افزایش داده است و یک محیط تهدید ایجاد کرده که در آن همه برگ‌ها را رو کرده است. این حملات در روز‌های اولیه جنگ واکنشی و فرصت‌طلبانه بود، اما در اواخر اکتبر، تقریباً تمام عاملان رسانه‌ای و گروه‌های اصلی سایبری ایران، اسرائیل را هدف قرار دادند. حملات سایبری به طور فزاینده‌ای هدفمند و مخرب می‌شدند و کمپین‌های رسانه‌ای به طور فزاینده‌ای پیچیده و غیرقابل تشخیص می‌شدند و شبکه‌هایی از حساب‌های ساختگی را در رسانه‌های اجتماعی گسترش می‌دادند.

ایران سرویس‌های تلویزیونی را با گزارش‌های خبری جعلی یک مجری تولید شده توسط هوش مصنوعی قطع کرد

در اوایل دسامبر ۲۰۲۳ ایران سرویس‌های پخش تلویزیونی را قطع کرد و آن‌ها را با یک ویدیوی خبری جعلی که ظاهراً یک مجری خبری تولید شده توسط هوش مصنوعی را نشان می‌داد، جایگزین کرد. این اولین عملیات نفوذ ایران است که مایکروسافت متوجه شده است که هوش مصنوعی در پیام‌هایش نقش مهمی را ایفا می‌کند و نمونه‌ای از گسترش سریع و چشمگیر دامنه عملیات ایران از زمان آغاز درگیری اسرائیل و حماس است. این اختلال به مخاطبان در امارات متحده عربی، بریتانیا و کانادا رسید.

مایکروسافت درباره اقدامات سایبری ایران چه گفت؟


رسانه‌های وابسته به دولت ایران در کشور‌های انگلیسی‌زبان که متحد نزدیک ایالات متحده هستند، بیشترین موفقیت را کسب می‌کنند

آزمایشگاه AI for Good مایکروسافت با شاخص پروپاگاندای ایران (Iranian Propaganda Index)، نسبت ترافیک بازدیدکننده از رسانه‌ها و تقویت‌کننده‌های خبری رسمی و غیررسمی دولتی ایران را در مقایسه با ترافیک کلی اینترنت رصد می‌کند. در هفته اول درگیری شاهد افزایش ۴۲ درصدی بودیم. این افزایش به ویژه در ایالات متحده و متحدان انگلیسی‌زبان آن (بریتانیا، کانادا، استرالیا، نیوزلند) مشهود بود که نشان دهنده توانایی ایران برای دستیابی به مخاطبان غربی با گزارش‌های خود در مورد درگیری‌های خاورمیانه است. درحالی‌که این موفقیت در روز‌های اولیه جنگ قوی‌ترین بود، دسترسی به این منابع ایرانی یک ماه پس از جنگ ۲۸ درصد بالاتر از سطح قبل از جنگ در سطح جهانی باقی ماند.

مراحل عملیات نفوذ سایبری ایران در جنگ اسرائیل و حماس
عملیات سایبری ایران در جنگ اسرائیل و حماس از ۷ اکتبر سه مرحله را طی کرده است.

مایکروسافت درباره اقدامات سایبری ایران چه گفت؟

فاز ۱: واکنشی و گمراه‌کننده

مرحله اول شاهد ادعا‌های گمراه‌کننده رسانه‌های دولتی ایران بود. حملاتی ادعایی در روز ۷ اکتبر یا روز‌های اولیه درگیری اغلب با اطلاعات گمراه‌کننده همراه بودند. حملات به سیستم برق و دانشگاهی در اسرائیل یا قدیمی بوده و یا بر اساس دسترسی‌های از قبل موجود و به صورت واکنشی انجام شدند.

فاز ۲: رو کردن همه کارت‌ها

در اواسط تا اواخر اکتبر، مرحله دوم در حال ظهور بود. این باعث شد که تعداد گروه‌های فعال در اسرائیل که توسط مایکروسافت ردیابی می‌شد، از ۹ گروه در روز‌های اول به ۱۴ گروه در روز پانزدهم رسید. این نشان دهنده وجود هماهنگی و/یا تعیین اهداف مشترک از سوی تهران است.

علاوه بر این، استفاده از عملیات رسانه‌ای علیه اسرائیل به طور قابل توجهی تسریع شد. ایران ترجیح خود را برای چنین حملاتی در سال ۲۰۲۲ نشان داد، زمانی که سرعت چنین عملیاتی را از تقریباً یک ماه در میان به چندین عملیات در ماه افزایش داد. ۱۰ عملیات سایبری ایران علیه اسرائیل در ماه اکتبر نقطه اوج جدیدی است. این تقریباً دو برابر بالاترین نقطه قبلی است که شش عملیات ماهانه در نوامبر ۲۰۲۲ بود. اگرچه این حملات قبلی شامل عملیات‌هایی با هدف قرار دادن چهار کشور بود.

یک نمونه در ۱۸ اکتبر رخ داد که گروه وابسته به سپاه پاسداران انقلاب اسلامی از باج‌افزار سفارشی‌سازی شده برای انجام حملات سایبری علیه دوربین‌های امنیتی در اسرائیل استفاده کرد و سپس با نام گروه سایبری «سربازان سلیمان» ادعا کرد که دوربین‌های امنیتی و داده‌های پایگاه نیروی هوایی نواتیم را باج گرفته است.

فاز ۳: گسترش دامنه جغرافیایی

در اواخر نوامبر ۲۰۲۳ گروه‌های ایرانی شروع به گسترش داده نفوذ سایبری خود فراتر از اسرائیل کردند و کشور‌هایی را هدف قرار دادند که ایران تصور می‌کند از اسرائیل حمایت می‌کنند. این با شروع حملات حوثی‌های مورد حمایت ایران به کشتی‌ها همسو بود.

در ۲۱ نوامبر، گروه موسوم سایبری «الطوفان» دولت و سازمان‌های مالی بحرین را به دلیل عادی‌سازی روابط با اسرائیل هدف قرار داد. در ۲۲ نوامبر برخی گروه‌ها شروع به هدف قرار دادن کنترل‌کننده‌های منطقی قابل برنامه‌ریزی (PLC) ساخت اسرائیل در ایالات متحده کردند، از جمله در ۲۵ نوامبر که PLC‌های ساخت اسرائیل در یک تأسیسات آبی در پنسیلوانیا از کار افتاد. در واقع PLC‌ها رایانه‌های صنعتی هستند که در کنترل فرآیند‌های صنعتی نظیر خطوط تولید، ربات‌ها و ماشین‌آلات مورد استفاده قرار می‌گیرند.

مایکروسافت درباره اقدامات سایبری ایران چه گفت؟

اهداف نفوذ رسانه‌ای ایران در جنگ اسرائیل و حماس

تلاش‌های ایران برای تضعیف اسرائیل و حامیان آن در اینترنت و رسانه‌های اجتماعی که باعث سردرگمی عمومی و از دست دادن اعتماد می‌شود برای رسیدن به چهار هدف اساسی هدایت می‌شود.

۱. بی‌ثباتی از طریق قطبی‌سازی

هدف ایران تشدید شکاف‌های سیاسی و اجتماعی داخلی در اهداف خود است و اغلب بر رویکرد دولت اسرائیل در قبال ۲۴۰ گروگانی که حماس در غزه گروگان گرفته‌اند تمرکز می‌کند و خود را به عنوان گروه‌های فعال صلح‌خواه در انتقاد از دولت اسرائیل نشان می‌دهد. نتانیاهو نخست‌وزیر اسرائیل هدف اصلی چنین پیام‌هایی است که اغلب خواستار برکناری او می‌شوند.

۲. تلافی

بسیاری از پیام‌ها و اهداف ایران صراحتاً تلافی‌جویانه هستند. شخصیت انتقام‌جویان سایبری مدعی شد که زیرساخت‌های برق، آب و سوخت اسرائیل را در انتقام از اسرائیل هدف قرار داده است و اعلام کرده است که برق، آب و سوخت غزه را قطع می‌کند و در جا‌های دیگر به «چشم در برابر چشم» اشاره می‌کند.

۳. ارعاب

هدف از عملیات ایران تضعیف امنیت اسرائیل و ارعاب شهروندان اسرائیلی و حامیان بین‌المللی و تهدید خانواده‌های سربازان ارتش اسرائیل است. حساب‌های ساختگی پیام‌هایی را بر روی ایکس پخش کردند با این مضمون که «دولت اسرائیل هیچ قدرتی برای محافظت از سربازان خود ندارد». پیام‌های دیگر، مانند مثال زیر، به نظر می‌رسد با هدف متقاعد کردن سربازان ارتش اسرائیل به تسلیم شدن.


مایکروسافت درباره اقدامات سایبری ایران چه گفت؟

۴. تضعیف حمایت بین‌المللی از اسرائیل

عاملان رسانه‌ای ایرانی اغلب پیام‌هایی را شامل می‌شوند که به دنبال تضعیف حمایت بین‌المللی از اسرائیل با برجسته کردن آسیب‌های ناشی از حملات اسرائیل به غزه هستند.

روند‌های عملیات نفوذ رسانه‌ای ایران

جعل هویت چیز جدیدی نیست، اما عاملان ایرانی اکنون نه فقط خود را به عنوان دشمنانشان جا می‌زنند بلکه به شکل دوستان‌شان هم در می‌آیند. در عملیات‌های اخیر گروه‌های ایرانی از نام و نشان شاخه نظامی حماس، گردان‌های القسام، برای انتشار پیام‌های نادرست و تهدید کارکنان ارتش اسرائیل استفاده شده است. مشخص نیست که آیا ایران با رضایت حماس عمل می‌کند یا خیر.

ایران موفق شده است مکرراً اسرائیلی‌های ناآگاه را برای شرکت در فعالیت‌های زمینی برای ترویج عملیات دروغین خود استخدام کند. در یکی از عملیات‌های اخیر، «اشک‌های جنگ»، عوامل ایرانی اسرائیلی‌ها را متقاعد کردند که بر اساس گزارش‌های مطبوعاتی اسرائیل، بنر‌های اشک‌های جنگ را با استفاده از تصاویر تولید شده توسط هوش مصنوعی در محله‌های اسرائیل آویزان کنند.


مایکروسافت درباره اقدامات سایبری ایران چه گفت؟

استفاده ایران از پیام‌های متنی انبوه و کمپین‌های ایمیل به منظور افزایش اثرات روانی عملیات نفوذ رسانه‌ای خود افزایش یافته است. پیام‌هایی که در تلفن‌های افراد یا در حساب ایمیل آن‌ها ظاهر می‌شوند، تأثیر بیشتری نسبت به حساب‌های جعلی در رسانه‌های اجتماعی دارند. ایران از رسانه‌های مختلف خود برای تقویت عملیات سایبری ادعایی استفاده می‌کند. در ماه سپتامبر، پس از اینکه انتقام‌جویان سایبری ادعای حملات سایبری علیه سیستم راه‌آهن اسرائیل را کردند، رسانه‌های ایران تقریباً بلافاصله این ادعا‌ها را تشدید و در آن اغراق کردند.

روند‌های عملیات سایبری

هفته‌ها پس از جنگ اسراییل و حماس، در جریان آنچه ما به عنوان فاز ۲ در نظر می‌گیریم، شاهد نمونه‌هایی از همکاری میان گروه‌های وابسته به ایران بودیم که باعث افزایش دستاورد‌های بازیگران شد. این شامل همکاری بین گروه Pink Sandstorm و واحد‌های سایبری حزب‌الله بود. همکاری کردن موانع ورود را کاهش می‌دهد و به هر گروه اجازه می‌دهد تا توانایی‌های موجود را به اشتراک بگذارد و نیاز به یک گروه واحد برای توسعه طیف کاملی از ابزار‌ها و مهارت‌ها را از بین می‌برد.

تمرکز ایران بر اسرائیل تشدید شده است. درحالی‌که اسرائیل و ایالات متحده همیشه اهداف اصلی تهران بوده‌اند، با شروع جنگ اسرائیل و حماس، ۴۳ درصد از فعالیت‌های سایبری دولت ملت ایران بر اسرائیل متمرکز شده است، یعنی بیش از مجموع ۱۴ کشور هدف بعدی.

آینده

ما ارزیابی می‌کنیم که روند نشان داده شده تاکنون در سه مرحله جنگ ادامه خواهد داشت. در میان افزایش پتانسیل یک جنگ گسترده، ما انتظار داریم که عملیات نفوذ ایران و حملات سایبری همچنان هدفمندتر، مشارکتی‌تر و مخرب‌تر با ادامه درگیری اسرائیل و حماس ادامه یابد. ایران به آزمایش خطوط قرمز ادامه خواهد داد.

افزایش همکاری که ما بین بازیگران مختلف تهدیدکننده ایرانی مشاهده کرده‌ایم، در سال ۲۰۲۴ برای مدافعان انتخاباتی تهدید‌های بزرگ‌تری در سال ۲۰۲۴ ایجاد خواهد کرد. در عوض، تعداد فزاینده‌ای از عوامل دسترسی، عاملان رسانه‌ای و گروه‌های سایبری، محیط تهدید پیچیده‌تر و درهم‌تنیده‌تری را ایجاد می‌کند.