سعید میرشاهی
شرکت آمریکایی مایکروسافت در ادامه ارایه گزارشهای یکطرفه و ضد ایرانی، بار دیگر گزارش مشروحی از اتهامات سایبری به ایران منتشر کرد و مدعی تشدید و تسریع حملات سایبری ایران به اسراییل شد. گزارشی که در رسانههای غربی بازتاب زیادی داشت.
این در حالیست که در گزارشهای امنیتی و دورهای مایکروسافت، هیچگاه به حملات متعدد و گسترده سایبری اسراییل و آمریکا به ایران و تهدیدهایی اعمال شده از سوی این کشورها پرداخته نشده و نمیشود که همین امر اهمیت، صحت و بیطرفی گزارشهای این شرکت آمریکایی را زیر سوال میبرد.
با این وجود مایکروسافت در گزارشی که اخیرا منتشر کرده، بار دیگر مدعی حملات سایبری منتسب به ایران شده است که در ادامه میخوانید.
از زمان حمله حماس به اسرائیل در اکتبر 2023، بازیگران همسو با دولت ایران، مجموعهای از حملات سایبری و عملیات نفوذ (IO) را با هدف کمک به حماس و تضعیف اسرائیل، متحدان سیاسی و شرکای تجاریاش انجام دادهاند. بسیاری از عملیاتهای فوری ایران پس از 7 اکتبر، شتابزده بوده است. این امر نشان میدهد این عملیات، هماهنگی کمی با حماس داشته یا اصلا وجود نداشته است. با این وجود، این حملات، به موفقیتهای فزایندهای دست یافته است.
در این رابطه، چهار مورد از یافتهها یا نتایج ناشی از عملیات نفوذ و هجوم سایبری ایران علیه اسرائیل، برجستهتر است.
این یافتهها، از آخرین گزارش دوسالانه مرکز تحلیل تهدیدات مایکروسافت (MTAC)، درباره ایران، حاصل شده است:
- افزایش 42 درصدی ترافیک سایتهای خبری در هفته اول جنگ که توسط دولت ایران یا وابسته به آن اداره میشوند. حتی سه هفته بعد، این ترافیک همچنان 28 درصد، بالاتر از زمان قبل از جنگ بود.
- علیرغم ادعاهای اولیه ایران، بسیاری از «حملات» در روزهای اولیه جنگ یا «نشت» مطالب قدیمی، با دسترسی موجود قبلی به شبکهها یا ادعاهای دروغ بوده است.
- فعالیت ایران به سرعت از 9 گروه تحت ردیابی فعال در اسرائیل (طبق بررسی مایکروسافت)، در هفته اول جنگ به 14 مورد در دو هفته پس از جنگ افزایش یافت. همچنین عملیات نفوذ سایبری از حدود یک عملیات ماهانه در سال 2021 به 11 مورد در اکتبر 2023 رسید.
- با پیشروی جنگ، بازیگران ایرانی دامنه جغرافیایی خود را گسترش داده و حملات به آلبانی، بحرین و ایالات متحده را انجام دادند. آنها همچنین فعالیت خود را بیشتر و تخصصیتر کرده و اثربخشی بیشتر را ایجاد کردند.
بعضا به نظر میرسد اقدام ایران در حمایت از حماس به همان اندازه که درباره تاثیرگذاریاش بر این گروه ملموس است، به تاثیرات در صحنه جهانی نیز مربوط میشود. در حالی که منتظر انتخابات ریاست جمهوری 2024 آمریکا هستیم، فعالیتهای ایران میتواند بار دیگر بر مبنای اتفاقاتی که در سال 2020 رخ داد، استوار شود؛ یعنی زمانی که آنها تندروهای آمریکایی را جعل کرده و به خشونت علیه مقامات دولتی آمریکا دامن زدند.
- از آغاز واکنش تا آماده باش
برخلاف برخی ادعاهای رسانههای دولتی ایران، بازیگران سایبری و عملیات نفوذ این کشور، در مرحله آغازین جنگ اسرائیل و حماس واکنش نشان دادهاند. مرکز تحلیل تهدیدات مایکروسافت (MTAC) مشاهده کرد رسانه دولتی ایران، جزییات گمراهکننده حملات ادعایی را منتشر میکند. همچنین گروههای ایرانی از محتواهای تاریخدار مرتبط با عملیات قبلی استفاده کرده و درباره دامنه و تاثیر حملات سایبری ادعاشده اغراق میکنند. سه ماه بعد، نتایج دادهها نشان داد بازیگران سایبری ایران واکنش نشان داده و به سرعت عملیات سایبری و عملیات نفوذ را پس از حملات حماس، برای مقابله با اسرائیل افزایش دادهاند.
از زمان آغاز جنگ اسرائیل و حماس در 7 اکتبر، ایران عملیات نفوذ و تلاشهای هکری خود علیه اسرائیل را گسترش داده و یک محیط تهدید « همهچیز در حالت آمادهباش» ایجاد کرده است. این حملات در روزهای اولیه جنگ، واکنشی و فرصتطلبانه بود اما در اواخر اکتبر، تقریبا در قالب عملیات نفوذ، بازیگران اصلی سایبری اسرائیل را هدف قرار داد. حملات سایبری به طور فزایندهای، هدفمند و مخرب شدند و البته کمپینهای عملیات نفوذ نیز حالت پیچیده به خود گرفتند و شبکههایی از اکانتهای «عروسک جورابی» (sock puppet) در رسانههای اجتماعی را گسترش دادند.
گفتنی است عروسک جورابی، هویت آنلاین جعلی است که برای اهداف فریبنده استفاده میشود. این اصطلاح، در اصل به عروسک دستی ساختهشده با جوراب اشاره دارد. عروسکهای جورابی، هویتهای آنلاینی هستند که برای تمجید، دفاع یا حمایت از یک شخص یا سازمان برای دستکاری افکار عمومی یا برای دور زدن محدودیتهایی مانند مشاهده حساب رسانههای اجتماعی که کاربر برای ورود به آن مسدود شده، ایجاد شده است. عروسکهای جورابی در بسیاری از فرومهای آنلاین، ناخواسته موجود هستند.
- ایران، سرویسهای تلویزیونی را توسط هوش مصنوعی قطع کرد
اوایل دسامبر 2023، ایران سرویسهای پخش تلویزیونی را قطع و آنها را با ویدئوی اخبار جعلی که ظاهرا یک مجری خبری تولیدشده توسط هوش مصنوعی را نشان میداد، جایگزین کرد. این، اولین عملیات نفوذ ایران است که مایکروسافت تشخیص داده هوش مصنوعی در پیامهای آن نقش کلیدی داشته و نمونه گسترش سریع و چشمگیر دامنه عملیات ایران از آغاز درگیری اسرائیل و حماس است. وسعت این اختلال به مخاطبان در امارات متحده عربی، بریتانیا و کانادا نیز رسید.
اختلال در پخش برنامههای تلویزیونی با استفاده از مجری تولیدشده توسط هوش مصنوعی (شرح عکس)
- رسانههای ایران در کشورهای انگلیسی زبان بیشترین موفقیت را دارند
یک آزمایشگاه شرکت مایکروسافت، شاخص پروپاگاندای ایرانی (IPI) در حوزه هوش مصنوعی، درباره نسبت ترافیک بازدیدکننده از خبرگزاریها و تقویتکنندههای دولتی ایران را در مقایسه با ترافیک کلی اینترنت بررسی کرد.
بر اساس نتایج حاصلشده، در هفته اول درگیری، شاهد افزایش 42 درصدی بودیم. این افزایش بهویژه در آمریکا و متحدان انگلیسی زبان آن (بریتانیا، کانادا، استرالیا، نیوزلند) مشهود بود. این امر، بیانگر توانایی ایران برای دستیابی به مخاطبان غربی با گزارشهای خود درباره درگیریهای خاورمیانه است. در حالی که این موفقیت در روزهای اولیه جنگ، قویترین بود، دسترسی این منابع ایرانی یک ماه پس از جنگ، 28 درصد بالاتر از سطح قبل از جنگ، در عرصه جهانی باقی ماند.
- مراحل عملیات نفوذ سایبری ایران در جنگ اسرائیل
عملیات سایبری ایران در جنگ اسرائیل و حماس از 7 اکتبر، در سه مرحله طی شده است:
- مرحله 1: واکنشی و گمراهکننده
در ادامه این گزارش ادعا شده، مرحله اول، ادعاهای گمراهکننده رسانههای دولتی ایران را شامل میشود. یکی از نمونهها، «خبرگزاری تسنیم» است که مدعی شد گروهی به نام «انتقامجویان سایبری» همزمان با حملات حماس، هجوم سایبری علیه نیروگاه اسرائیل انجام دادهاند. خود انتقامجویان سایبری (که احتمالا وابسته به ایران هستند) مدعی شدند عصر قبل از حملات حماس، به یک شرکت برق اسرائیلی حمله کردهاند. با این حال، شواهد آنها، تنها گزارش چند هفتهای رسانهای از قطع برق «در سالهای اخیر» و تصویری از یک اختلال بدون تاریخ در وبسایت شرکت بود.
در جای دیگر، یک شخصیت سایبری به نام «تیم ملک» که (مایکروسافت مدعی است) توسط ایران اداره میشود، اطلاعات شخصی یک دانشگاه اسرائیلی را در 8 اکتبر به بیرون فاش کرد. این موضوعات، به جز برخی موارد، هیچ ارتباطی با درگیریهای در حال وقوع در غزه نداشت. هشتگهای مورد استفاده در توییتر برای حمایت از حماس، نشان میدهد که هدف، بینش فرصتطلبانه بوده و احتمالا براساس دسترسی از قبل، میسر بوده است.
- مرحله 2: آمادهباش عمومی
اواسط تا اواخر اکتبر، مرحله دوم در حال ظهور بود. این مرحله باعث شد تعداد گروههای فعال در اسرائیل که توسط مایکروسافت ردیابی میشد، از 9 گروه در روزهای اول به 14 مورد در روز پانزدهم برسد. این موضوع، بیانگر هماهنگی، اهداف مشترک تعیینشده در تهران یا هر دو است.
علاوه بر آن، استفاده از عملیات نفوذ سایبری علیه اسرائیل به طور قابل توجهی با تسریع همراه شد. ایران، ترجیح خود را برای چنین حملاتی در سال 2022 نشان داد؛ زمانی که سرعت چنین عملیاتی را از حدود یک ماه در میان، به چندین عملیات ماهانه افزایش داد. 10 عملیات سایبری ایران علیه اسرائیل در ماه اکتبر، یک نقطه اوج جدید است. این میزان، تقریبا دو برابر بالاترین تعداد قبلی یعنی شش عملیات ماهانه در نوامبر 2022 بود. البته حملات قبلی، شامل عملیاتی با هدف قرار دادن چهار کشور بود.
یک نمونه حملات، در 18 اکتبر رخ داد که یک گروه منتسب به ایران، از باجافزار سفارشی برای انجام حملات سایبری علیه دوربینهای امنیتی در اسرائیل استفاده کرد. سپس از یکی از شخصیتهای سایبری خود به نام «سربازان سلیمان» بهره برد تا به دروغ ادعا کند دوربینهای امنیتی و دادههای پایگاه نیروی هوایی نواتیم (Nevatim) را باج گرفته است. بررسی فیلم امنیتی که سربازان سلیمان فاش کردهاند، نشان میدهد این فیلم مربوط به شهری در شمال تلآویو، خیابان نواتیم است، نه پایگاه هوایی به همین نام.
- مرحله 3: گسترش دامنه جغرافیایی
اواخر نوامبر 2023، گروههای ایرانی شروع به گسترش نفوذ سایبری خود، فراتر از اسرائیل کردند و کشورهایی را هدف قرار دادند که ایران تصور میکند از اسرائیل حمایت میکنند. این اتفاق، همسو با شروع حملات حوثیهای مورد حمایت ایران به کشتیرانی بینالمللی بود.
در 20 نوامبر، شخصیت سایبری “Homeland Justice” همسو با ایران درباره حملات سایبری آتی به آلبانی هشدار داد. آنها بعدا مسئولیت حملات به تعدادی از سازمانها و موسسات آلبانیایی در روز کریسمس را برعهده گرفتند.
در 21 نوامبر، شخصیت سایبری «الطوفان»، دولت و سازمانهای مالی بحرین را به دلیل عادیسازی روابط با اسرائیل، هدف قرار داد. تا 22 نوامبر، گروههای وابسته به ایران کنترلگرهای منطقی قابل برنامهریزی (PLC) ساخت اسرائیل در ایالات متحده را هدف قرار دادند. در این رابطه، 25 نوامبر، PLC ساخت اسرائیل مانند خطوط مونتاژ، ماشینآلات و دستگاههای رباتیک مورد هدف آنها قرار گرفت.
PLC تخریبشده در آبهای پنسیلوانیا با آرم Cyber Avengers در 25 نوامبر دنباله این حملات بود. انتقامجویان سایبری همان پیام را روز بعد در کانال تلگرام خود به عنوان شرح ویدئویی از نتانیاهو که در کنفرانس کمیته روابط عمومی آمریکا – اسرائیل (AIPAC) صحبت میکرد، پست کردند. این امر، بیانگر تصمیمگیری برای هدف قرار دادن تجهیزات آمریکایی ساخت اسرائیل است. (شرح عکس)
- اهداف نفوذ ایران در جنگ اسرائیل و حماس
تلاشهای ایران برای تضعیف اسرائیل و حامیان آن در اینترنت و رسانههای اجتماعی، که باعث سردرگمی عمومی و از دست دادن اعتماد میشود، به منظور دستیابی به چهار هدف اساسی صورت میگیرد:
- بیثباتی از طریق قطبیسازی
هدف ایران، تشدید شکافهای سیاسی و اجتماعی داخلی است و اغلب بر رویکرد دولت اسرائیل در قبال 240 گروگان گرفتهشده توسط حماس در غزه تمرکز دارد و خود را به عنوان گروههای فعال صلحطلب در انتقاد از دولت اسرائیل نشان میدهد.
نتانیاهو، نخست وزیر اسرائیل، هدف اصلی چنین پیامهایی است که اغلب خواستار برکناری او هستند.
- تلافی و انتقام
بسیاری از پیامها و اهداف ایران، صراحتا تلافیجویانه هستند. شخصیت انتقامجویان سایبری مدعی شد که زیرساختهای برق، آب و سوخت اسرائیل را به خاطر انتقام گرفتن از اسرائیل هدف قرار داده، زیرا برق، آب و سوخت غزه را قطع میکند. همچنین در جاهای دیگر، به «چشم در برابر چشم» اشاره شده است.
- ارعاب و ایجاد ترس
هدف عملیات ایران، تضعیف امنیت اسرائیل و ارعاب شهروندان، حامیان بینالمللیاش و تهدید خانوادههای سربازان ارتش اسرائیل است. اکانتهای عروسک جورابی (Sock puppet)، پیامهایی را مبنی بر اینکه «دولت اسرائیل هیچ قدرتی برای محافظت از سربازان خود ندارد» در ایکس (توییتر سابق) پخش کردند. همچنین پیامهای دیگر، مانند نمونه زیر با هدف متقاعدسازی سربازان ارتش اسرائیل به تسلیم شدن صورت گرفته است:
- تضعیف حمایت بینالمللی از اسرائیل
بازیگران عملیات نفوذ ایران اغلب پیامهایی را ارسال میکنند که به دنبال تضعیف حمایت بینالمللی از اسرائیل با برجستهسازی آسیبهای ناشی از حملات اسرائیل به غزه است.
- ترندهای عملیات نفوذ ایران
در بخش دیگری از این گزارش ادعا شده، جعل هویت چیز جدیدی نیست اما بازیگران تهدیدکننده ایرانی اکنون نه تنها برای دشمنان خود، بلکه برای دوستان خود نیز اقدام میکنند. عملیات اخیر گروههای ایرانی، از نام و نشان شاخه نظامی حماس و گردانهای القسام، برای انتشار پیامهای نادرست و تهدید کارکنان ارتش اسرائیل استفاده کرده است. مشخص نیست آیا ایران با رضایت حماس عمل میکند یا خیر.
ایران موفق شده مکررا اسرائیلیهای ناآگاه را برای شرکت در فعالیتهای زمینی برای ترویج عملیات دروغین استخدام کند.
در یکی از عملیاتهای اخیر با عنوان «اشکهای جنگ» (Tears of War)، عوامل ایرانی، اسرائیلیها را متقاعد کردند طبق گزارشهای رسانهای اسرائیل، بنرهای اشکهای جنگ را با تصاویر تولیدشده توسط هوش مصنوعی در محلههای اسرائیل آویزان کنند.
بنر Tears of War با تصویر نتانیاهو که احتمالا توسط هوش مصنوعی تولید شده است. روی متن این بنر نوشته شده: «اکنون استیضاح». ترجمه متن روی یقه او: «#بدون بیبی پیروز میشویم» کد QR عمدا برای انتشار محو شده است. (شرح عکس)
استفاده ایران از پیامهای متنی انبوه و کمپینهای ایمیلی، به منظور افزایش تاثیرات روانی عملیات نفوذ سایبری افزایش یافته است؛ پیامهایی که در تلفنها یا صندوق ورودی افراد ظاهر میشوند، تاثیر بیشتری نسبت به حسابهای عروسکی در رسانههای اجتماعی دارند.
ایران از رسانههای آشکار و پنهان مرتبط با خود برای تقویت عملیات سایبری ادعایی و بعضا اغراقآمیز از نظر تاثیرات، استفاده میکند. در سپتامبر، پس از اینکه انتقامجویان سایبری، مدعی حملات سایبری علیه سیستم راهآهن اسرائیل شدند، رسانههای ایران، تقریبا بلافاصله ادعاهای خود را تشدید و به طور اغراقآمیز مطرح کردند.
- ترندهای عملیات سایبری
هفتهها پس از جنگ اسرائیل و حماس، در جریان آنچه ما به عنوان مرحله 2 درنظر گرفتیم، شاهد نمونههایی از همکاری بین گروههای وابسته به ایران بودیم؛ مشارکتهایی که عملا باعث افزایش دستاوردهای این بازیگران شد. این امر همکاری بین گروه MOIS Pink Sandstorm و واحدهای سایبری حزبالله بود. این همکاری، موانع ورود را کاهش داده و به هر گروه اجازه میدهد توانایی موجود را اشتراکگذاری کند. این کار نیاز به گروه واحد برای توسعه طیف کامل ابزارآلات یا صنایع تجاری را از بین میبرد.
تمرکز ایران بر اسرائیل، تشدید شده است. در حالی که اسرائیل و ایالات متحده، همیشه اهداف اصلی تهران بودهاند، با شروع جنگ اسرائیل و حماس، 43 درصد فعالیتهای سایبری دولت – ملت ایران، بر اسرائیل متمرکز شده؛ یعنی بیش از مجموع 14 کشور که جزء اهداف بعدی هستند.
- انتظار مشتاقانه
طبق ارزیابی ما، پیشرفت حاصلشده تاکنون، در سه مرحله جنگ ادامه خواهد داشت. با توجه به افزایش پتانسیل جنگ گسترده، انتظار داریم با ادامه درگیری اسرائیل و حماس، عملیات نفوذ ایران و حملات سایبری، همچنان هدفمندتر، مشارکتیتر و مخربتر تداوم یابد. ایران به آزمایش خطوط قرمز ادامه میدهد؛ همانطور که این کار را با حمله به بیمارستان اسرائیل و سیستمهای آبرسانی آمریکا در اواخر نوامبر انجام داد.
افزایش همکاری بین بازیگران مختلف تهدیدکننده ایرانی در سال 2024، برای مدافعان انتخابات که دیگر نمیتوانند تنها با ردیابی چند گروه آرامش داشته باشند، تهدیدهای بزرگتری در سال جاری ایجاد میکند. از سوی دیگر، تعداد فزاینده عوامل دسترسی، گروههای نفوذ و بازیگران سایبری، محیطهای تهدید پیچیدهتر و درهمتنیدهتری را فراهم میسازد.