Na początku 5 stycznia, popularne anonimowe konto irańskich dysydentów o nazwie Jowisz ogłosił na Twitterze, że jego przyjaciele zabili Abolqasema Salavatiego, oczernianego sędziego, zwanego „Sędzią Śmierci”. Tweet stał się wirusowy, a tysiące uradowanych ludzi wlało się do przestrzeni Twittera konta, aby podziękować im za zamordowanie człowieka odpowiedzialnego za skazanie setek więźniów politycznych na śmierć.
Wkrótce jednak kilku uczestników wyraziło wątpliwości co do prawdziwości twierdzenia. Zostali przeklęci i wyrzuceni z pokoju, ponieważ gospodarz nalegał: „Dzisiaj jest o świętowaniu!” jednocześnie wielokrotnie zachęcając widzów do sprawienia, by Kosmos stał się wirusowy. Następnego dnia aktywiści na miejscu i irańskie media potwierdziły, że Salavati faktycznie żyje. Kilku ekspertów podejrzewa, że Jupiter był cyberoperacją Islamskiej Republiki Iranu, mającą na celu odwrócenie uwagi ludzi, podczas gdy irański rząd dokonał egzekucji dwóch demonstrantów tej samej nocy co Twitter Space.
Wewnątrz swoich granic reżim irański kontroluje swoją ludność za pomocą jednego z najsurowszych na świecie systemów filtrowania internetu, fizycznych represji i masowych aresztowań przeprowadzanych bezkarnie. Jednak IRI jest podatna na ataki poza swoimi fizycznymi i wirtualnymi granicami, ponieważ reżim stara się powstrzymać dyskurs i uciszyć dysydentów. Aby zwalczać narracje opozycji na Zachodzie i wśród krajowych aktywistów uzbrojonych w VPN, cyberarmia IRI stosuje wielopłaszczyznowe, przebiegłe, a czasem niezdarne taktyki. Wraz z trwającymi niepokojami politycznymi w Iranie, stare taktyki cybernetyczne zostały wzmocnione, a nowe sztuczki mające na celu odwrócenie uwagi, zdyskredytowanie, zniekształcenie i sianie nieufności wysunęły się na pierwszy plan, gdy reżim znajduje się w krytycznym momencie.
Desperackie czasy, desperackie środki
Wśród taktyk stosowanych przez cyberagentów IRI — znanych potocznie jako Cyberi — jest hakowanie starej szkoły. Powiązana z Iranem grupa hakerska Charming Kitten zyskała rozgłos w 2020 roku dzięki próbom wyłudzania informacji na dziennikarzach, naukowcach i ekspertach politycznych na Zachodzie. Grupa została rozpoznana dzięki swojej charakterystycznej strategii udawania reporterów lub badaczy i udawania zainteresowania pracą swoich celów jako pretekstu do tworzenia próśb o wywiady z łączem do spear phishingu. Ostatnie raporty brytyjskiego National Cyber Security Center i firmy Mandiant zajmującej się bezpieczeństwem wykazały, że takie phishingowe grupy cybernetyczne TA453 i APT42, które są powiązane z Irańskim Korpusem Strażników Rewolucji, są coraz bardziej rozpowszechnione. W zeszłym miesiącu popularne antyreżimowe konto RKOT przejęte otrzymać prośbę o wywiad zlokalizowaną geograficznie w dziale IRGC w Shiraz od osoby podającej się za dziennikarza z The New York Times.
Według Amina Sabeti, założyciela CERTFA, kolektywu ds. bezpieczeństwa cybernetycznego specjalizującego się w wykrywaniu wspieranych przez państwo irańskich działań cybernetycznych, w ciągu ostatnich kilku miesięcy te operacje zmieniły swoje metody, ponieważ większość celów zainteresowania jest świadoma zagrożenia i nauczyła się chronić. przed spear-phishingiem. Zamiast tego, mówi Sabeti, stosują teraz strategię „efektu domina”, celując w cele o niskim profilu, których referencje zbierają, aby zbudować zaufanie i uzyskać dostęp do celów o wyższym profilu w swojej sieci. Na przykład na początku tego miesiąca irańska kanadyjska działaczka na rzecz praw człowieka Nazanin Afshin Jam powiedział że otrzymała link phishingowy od zaufanego współpracownika, który został zhakowany.
„W tej chwili ścigają wszystkich, którymi są zainteresowani w ramach tej rewolucji, zwłaszcza osoby pracujące w organizacjach non-profit” – mówi Sabeti.
Warto zauważyć, że niektórzy z tych aktorów państwowych budują z czasem wiarygodność i zaufanie, maskując się jako głosy antyreżimowe i zagorzałych zwolenników ruchu protestacyjnego lub budując relacje z celami. Jedno konto o imieniu Sara Shokouhi zostało utworzone w październiku 2022 roku i twierdziło, że jest uczonym z Bliskiego Wschodu. Konto spędziło miesiące na wzmacnianiu głosów opozycji i pisaniu serdeczne wyrazy uznania do protestujących, zanim wreszcie bycie wyrzuconym przez irańskich ekspertów jako operacja phishingowa sponsorowana przez państwo.
