331-999-0071

Іранські операції впливу - спільна кампанія IRGC, MOIS, Basij

Десяток років тому Treadstone 71 перемістив противника, націленого з суто кібер-джихадистської діяльності, на Іран. Ми відстежували рухи найдавніших хакерських груп, що слідували за їх діяльністю, від низького рівня зіпсувань до перепрофілювання Stuxnet, щоб стати визнаною світовою державою в кібер-операціях та впливах. Treadstone 71 спеціалізується на моніторингу іранських кібер-операцій та впливу, досліджує хакерські групи та регулярно розміщує інформацію та розвідку про їх діяльність. У багатьох публікаціях описується кібердіяльність Корпусу охорони ісламської революції (IRGC) та Міністерства розвідки та безпеки (MOIS), організаційних структур, методів внутрішнього набору, освітніх заходів, кіберконференцій, інформації про шкідливе програмне забезпечення та суб'єктів загроз та їх можливості. Ми постійно шукаємо закономірності та тенденції в рамках цих моделей. Ми вивчаємо тенденції суперників на онлайн-форумах, в блогах та на сайтах соціальних медіа. Напередодні президентських виборів у США 2020 року ми зосередилися на соціальних мережах і шукали можливе проникнення, яке вплине на виборців. Напередодні президентських виборів у США 2020 року ми зосередилися на соціальних мережах і шукали можливі операції впливу, які можуть вплинути на виборців. У липні цього року ми натрапили на надзвичайно незвичні сплески активності в соціальних мережах, які, на перший погляд, здавалися випадковими. Більш уважний погляд привів нас у напрямку, якого ми не очікували. Як і багато інших зусиль з аналізу розвідувальних даних, зібрані дані є доказом, що визначає результати. Отримані тут результати привели нас шляхом, на який ми не очікували.

campapecs.jpg

Основні користувачі кампанії

Щонайменше чотири акаунти зіграли важливу роль в управлінні кампанією, щоб забезпечити хештег в Ірані. Щонайменше дев'ять інших акаунтів, що належать до кіберпідрозділів IRGC, відповідали за управління та розширення кампанії в різних соціальних середовищах. (Малюнок 1 у звіті)

Останні, більшість із великим числом прихильників, зображали себе як "монархістів", "реформістів" або "прихильників зміни режиму" в різних соціальних середовищах, одночасно твітуючи вміст, щоб відповідати опису, відіграючи серйозну роль в рамках даної персони у мобілізації та розширенні кампанія проти МЕК.

Важливою особливістю цих акаунтів є персони молодих жінок, які маскуються, залучаючи та заманюючи нічого не підозрюючих користувачів для розширення обміну повідомленнями та потенційної співпраці. 

RGCU розпочав первинну кампанію 17 липня о 16:59 CEST, відразу після виступу Маріам Раяві, розпочавши процес залучення аудиторії, мобілізації рахунків та повторення хештегов. Злагоджений запуск допоміг створити ідентифікаційні тренди в Twitter. РГКУ розширив кампанію, розповсюджуючи та повторно публікуючи твіти та контент впливових основних членів. Перевидання спричинило тисячі ботів та фальшивих акаунтів із низьким числом підписників, що належать до кінематографічних підрозділів Basij.

Всередині звіту

З приходом представників впливу (рис. 3 у звіті) кампанія перейшла до наступної операційної стадії. Вміст та твіти розповсюджували та перевидавали ці впливові кібервідділи IRGC. Розповідь між цими користувачами розкриває їх роль у просуванні кампанії та мету персон.

Тисячі ботів і фальшивих акаунтів з низьким числом підписників, що належать Cyij Units Basij, широко перевидавались і ретвітували твіти, опубліковані впливовими агентами, ретвітили та рекламували публікації інших акаунтів, які використовували даний хештег.

Цю кампанію протягом 60.6 годин продовжували кіберпідрозділи IRGC Intelligence, використовуючи тисячі низькооплачуваних рахунків Basij, що нагадують концентричні кола довіри до числа Данбара по всій країні (рис. 4 у звіті).

Огляд та аналіз кампанії на основі наявних даних та досліджень:

  • IRGC мав намір вплинути та заглушити поширення повідомлень MEK по всьому Ірану через соціальні мережі, створивши потік негативних повідомлень за допомогою пропаганди.
  • За допомогою твітів, згадувань та ретвітів проксі-групи IRGC закликають поширити обмін повідомленнями за межі проксі-серверів на нічого не підозрюючих користувачів Twitter.
  • Кампанія використовувала серію ботів для створення галасу та збільшення використання.
  • Анонімні зв’язки відбувались через @BChatBot та @BiChatBot не включено в Telegram для цілей комунікації між кіберпідрозділами, щоб перешкодити Twitter здійснити організовану кампанію та запровадити обмеження щодо облікових записів.
  • Товариство Неджат (дітище Міністерства розвідки) одночасно використовувало всі свої акаунти в соціальних мережах, публікуючи повідомлення з негативними відтінками про іранських дисидентів, що створюють негативний наратив. (Активна участь у цій кампанії товариства Неджат, пов’язаного з Міністерством внутрішніх справ, пояснює характер операції).
  • Кіберкомандна мережа IRGC, ймовірно, координувала зв'язок між різними кіберпідрозділами. Вміст публікацій у соціальних мережах створює ідентифіковані зразки, відстежувані тенденції та чіткі тенденції користувачів.

Treadstone 71 вважає, що операція порушує багато правил Twitter, пов’язаних із „політикою щодо маніпуляцій із платформою та спамом”, „політикою щодо видавання себе за іншу особу” та „політикою щодо синтетичних та маніпульованих засобів масової інформації”.

Зв’яжіться з компанією Treadstone 71 сьогодні, щоб задовольнити всі ваші потреби в кіберрозвідці.

ЗВ'ЯЗАТИСЯ З НАМИ СЬОГОДНІ