ガザ地区のイスラエル国境を越えたハマス侵攻により戦争が勃発し、数千人のイスラエル人と数万人のパレスチナ人が死亡した翌日から4か月後、マイクロソフトは、脅威アクターがどのように組織と関係しているか、あるいは組織の支援を受けているかに関する新たな情報を共有した。イラン政府はイスラエルに対する攻撃的なサイバー作戦を強化している。
ハマスの同盟国であるイランは、その代理人を支援し、イスラエルとその同盟国、ビジネスパートナーを弱体化させることを目的とした一連のサイバー攻撃と影響力作戦を開始したが、その多くは性急で無秩序なやり方で行われた。
「イラン国営メディアの一部の主張に反して、イランのサイバー攻撃者とIO(影響力作戦)攻撃者は、イスラエル・ハマス戦争の初期段階では反応的だった」とマイクロソフト脅威分析センター(MTAC)のゼネラルマネージャー、クリント・ワッツ氏は書いている。
「MTACは、イラン国営メディアが主張する攻撃の誤解を招く詳細を発表し、イランのグループが過去の作戦からの古い資料を再利用し、主張するサイバー攻撃の全体的な範囲と影響を誇張していることを観察した。 3 か月が経過した現在、多数のデータは、イランのサイバー攻撃者が反動的であり、イスラエルに対抗するハマスの攻撃後、サイバー攻撃と影響力作戦を急速に活発化させたことを示唆しています。
同氏は、「10月7日にイスラエル・ハマス戦争が勃発して以来、イランはイスラエルに対する影響力作戦やハッキング活動を強化し、『総力戦』の脅威環境を作り出している」と述べた。
「これらの攻撃は、戦争の初期には反応的で日和見的でしたが、10月下旬までに、その影響力と主要なサイバー攻撃者のほぼすべてがイスラエルを標的にするようになりました。 サイバー攻撃はますます標的を絞った破壊的なものになり、IO キャンペーンはますます洗練され、本物ではなくなっていき、ソーシャル メディアの「靴下の人形」アカウントのネットワークが展開されました。」
しかし、ワッツ氏は、ハマスに代わってイランが行っている活動は、具体的で有害な影響を与えることであると同時に、世界的な影響力を持っているように見せることも目的としているようだと述べ、イランの高度持続的脅威(APT)グループが同様の手段を使用する可能性が高いと指摘した。来たるアメリカ大統領選挙に対抗する戦術。
ガザ戦争におけるイランのサイバー戦術
MTACによると、イランのサイバーを活用した影響力作戦は10月7日以降、3つの重要な段階を経たという。 その報告書では、これらの段階を次のように呼んでいます。
- 反応的で誤解を招く;
- オールハンズオンデッキ。
- 地理的範囲の拡大。
第一段階では、イランはプレスTVネットワーク(英国では2012年から禁止されている)などの国営放送局のリーチなど既存のアクセスを活用したが、リークに関しては古い素材に依存する傾向があり、靴下の使用は最小限にとどめた操り人形、大量の SMS や電子メールのキャンペーンを控えていました。
この第一段階で目立った点としては、サイバー・アベンジャーズと呼ばれるグループ(存在する)が10月7日の侵攻中にイスラエルの電力インフラを攻撃したと主張する、イラン革命防衛隊(IGRC)系通信社タスニムの主張が挙げられる。 提示された証拠は、数週間前の停電に関する報告と、被害者とされるウェブサイト上の日付不明の停電のスクリーンショットでした。
マレック・チームとして知られる別のオペレーターは、おそらくテヘラン情報治安省(MOIS)が運営しており、10月8日にイスラエルの大学から盗まれたデータを漏洩したが、このデータはその時点でガザで起こっていたことと実際の関連性はなかった。ターゲティングはご都合主義であり、既存のアクセスに基づいていました。
10月中旬までにイランは第2段階に移行しており、この期間中、MTACはイスラエルを標的とするグループの数がほぼ2倍に増加し、親ハマスのメッセージを組み込んだ同じ標的に対する破壊的かつ時折組織的な攻撃に移行していることを観察した。 。
カスタムマルウェア
10月18日の特に注目すべき事件の1つは、IRGCが支援するShahid Kavehオペレーターがイスラエルの監視カメラに対してカスタムマルウェアを展開するというものでした。 その後、ソルジャーズ・オブ・ソロモンという人物を使って、ネゲブ砂漠南部のベールシェバ近くの大規模施設であるネバティム空軍基地の監視カメラとデータを身代金要求したと虚偽の主張を行った。 しかし、流出した映像を詳しく調べたところ、それは空軍基地ではなく、テルアビブ北部の町にあるネバティム通りから撮影されたものであることが判明した。
IO側では、大量のSMSや電子メールキャンペーンと同様に、靴下人形の使用が急増し(その多くは再利用された)、イランはイスラエルとパレスチナの活動家になりすます行為を強化し始めた。
活動の第 3 段階は 11 月下旬に始まり、イランはサイバーを活用した影響力をイスラエルを越えて拡大し、イスラエルに友好的な国および/またはイランに敵対する国を標的にし始めました。 これは、イエメンを拠点とし、イランの支援を受けるフーシ派が紅海の海運への攻撃を強化していることと一致している。
ここでは2つの特に注目すべき事件が際立っている。1つはクリスマスの日にアルバニアの多くの機関を標的としたものである。これは一見奇妙な標的の選択のように思えるかもしれないが、アルバニアが実際に2022年にサイバー攻撃を理由にイランとの国交を断絶したことを思い出してほしい。
他の攻撃は、イスラエルと一部のアラブ諸国との関係を正常化した2020年アブラハム協定の署名国であるバーレーン政府と金融機関、そして米国の重要な国家インフラ(CNI)を標的としたもので、これにはイスラエル製のプログラム可能なプログラムを標的とした11月下旬の事件も含まれる。ペンシルベニア州アリクイッパ市水道局のロジック コントローラー (PLC)。
イランは何を望んでいるのか?
ワッツ氏によると、イランは現在進行中の作戦において、イスラエルとその支持者を弱体化させ、混乱を引き起こし、信頼を損なうという4つの主要な目的を持っていると述べた。
- これらの目的の最初は、例えば、ハマスに拘束されている人質奪還へのイスラエル政府の取り組み方を巡って生じた意見の相違に焦点を当て、国内の政治的・社会的亀裂を広げ、悪化させることである。
- 2つ目はイスラエルへの報復で、サイバー・アベンジャーズ・グループは「目には目を」という古い聖書の格言を引用し、ガザ地区の施設に対するイスラエルの攻撃に対抗し、イスラエルのCNIを特に標的にした。
- 3つ目は、イスラエル国民を脅迫し、イスラエル国防軍(IDF)に勤務する兵士の家族を脅迫することだ。
「戦争の 3 つの段階でこれまでに示された進展は今後も続くと我々は判断している。 戦争が拡大する可能性が高まる中、イスラエルとハマスの紛争が長引くにつれ、イランの影響力作戦とサイバー攻撃は今後もより標的を絞ったものとなり、より協力的で、より破壊的なものになると予想される。 11月末のイスラエルの病院と米国の水道システムへの攻撃で行ったように、イランはレッドラインの実験を続けるだろう」と彼は書いた。
「私たちが観察したさまざまなイランの脅威主体間の協力の増加は、少数のグループを追跡するだけではもはや安心できない選挙擁護者にとって、2024年にはさらに大きな脅威となるでしょう。 むしろ、アクセスエージェント、影響力グループ、サイバー攻撃者の数が増加することで、より複雑で絡み合った脅威環境が生じています。」