جمع بندی اقدامات هماهنگ شده رفتار غیراصیل ما در سال 2022


با پایان سال جاری، ما تعدادی به روز رسانی در مورد کار خود برای محافظت از مردم در سراسر جهان در برابر تهدیدات مختلف به اشتراک می گذاریم.

از سال 2017، بیش از 200 عملیات نفوذ مخفی را حذف کرده و گزارش داده‌ایم، و جزئیاتی را در مورد رفتار هر شبکه ارائه کرده‌ایم تا مردم از تهدیداتی که می‌بینیم بدانند – چه از دولت‌ها، شرکت‌های تجاری یا گروه‌های غیر منتسب. اشتراک‌گذاری این اطلاعات به تیم‌های ما، روزنامه‌نگاران تحقیقی، مقامات دولتی و همتایان صنعتی ما این امکان را می‌دهد تا خطرات امنیتی در سراسر اینترنت، از جمله پیش از انتخابات حیاتی، را بهتر درک کرده و افشا کنند.

در اینجا بینش‌هایی وجود دارد که در سال جاری با نگاهی به 200 برنامه اجرایی CIB خود برای ما برجسته شده است:

ماهیت جهانی عملیات نفوذ

شبکه‌های CIB که ما حذف کرده‌ایم از 68 کشور می‌آیند. آنها حداقل به 42 زبان از آمهری تا اردو و روسی و چینی فعالیت می کردند.

نموداری که تعداد اجرای هماهنگ جهانی اختلال رفتار غیراصیل را از سال 2017 تا 2022 نشان می دهد.

هدف گذاری متنوع بر اساس عملیات نفوذ

بیش از 100 کشور مختلف، از افغانستان تا زیمبابوه، هدف حداقل یک شبکه CIB – خارجی یا داخلی – از زمانی که ما گزارش های عمومی خود را آغاز کردیم، قرار گرفته اند. ایالات متحده با 34 عملیات بیشترین هدف را داشت و پس از آن اوکراین توسط 20 شبکه CIB و بریتانیا با 16 عملیات هدف قرار گرفتند. قابل ذکر است، ما اغلب شاهد بودیم که این شبکه های مخفی به طور همزمان بر بیش از یک کشور تمرکز می کنند. به عنوان مثال، یک شبکه از ایران که در آوریل 2020 مختل کردیم، 18 کشور را در چهار قاره هدف قرار داد.

گرافیک کشورهایی را نشان می دهد که بیشترین هدف شبکه های CIB از سال 2017 تا 2022 را نشان می دهد.

بیشتر شبکه های CIB از کجا آمده اند

روسیه (34 شبکه)، ایران (29 شبکه) و مکزیک (13 شبکه) سه منبع جغرافیایی پربار فعالیت CIB بودند – چه توسط بازیگران دولتی، گروه های سیاسی یا شرکت های تجاری.

گرافیکی که سه منبع جغرافیایی برتر شبکه های CIB را از سال 2017 تا 2022 نشان می دهد.

تفاوت بین شبکه های CIB در این کشورها پیچیدگی عملیات نفوذ در سطح جهانی را نشان می دهد.

روسیه: ما اغلب در مورد به اصطلاح “کتاب بازی عملیات نفوذ روسیه” می شنویم، اگرچه بررسی های ما نشان داده است که در واقع هیچ کتاب راهنمای واحدی وجود ندارد که توسط شبکه های CIB مبدا در این کشور متکی باشد. عملیات‌هایی که از سال 2017 بررسی کرده‌ایم از نظر تاکتیک‌ها، اهداف، پیچیدگی، مقیاس و عوامل پشت سر آنها بسیار متفاوت است. از سال 2017، شبکه‌هایی را مختل کرده‌ایم که توسط افراد مرتبط با ارتش و اطلاعات نظامی روسیه، شرکت‌های بازاریابی و نهادهای مرتبط با یک سرمایه‌دار تحریم‌شده روسیه مرتبط هستند. کوچکترین شبکه CIB که فقط با سه حساب دیده‌ایم و یکی از بزرگترین عملیات‌هایی که تا به حال مختل کرده‌ایم از روسیه بود: تاکتیک‌های آن‌ها از کامنت‌های هرزنامه گرفته تا راه‌اندازی نهادهای رسانه‌ای ساختگی بین پلتفرمی که روزنامه‌نگاران واقعی را برای نوشتن برای آنها استخدام می‌کردند، متغیر بود. و در حالی که بیشتر گزارش های عمومی بر عملیات های مختلف روسیه که آمریکا را هدف قرار می دهند متمرکز شده است، تحقیقات ما نشان داد که عملیات های بیشتری از روسیه اوکراین و آفریقا را هدف قرار داده است.

قابل ذکر است که هم اولین حذف ما و هم 200مین حذف ما مربوط به شبکه های CIB بود که از روسیه سرچشمه می گرفت. حذف اخیر اوکراین و سایر کشورهای اروپایی را هدف قرار داد، که ما توانستیم آن را به دو شرکت در روسیه نسبت دهیم: آژانس فناوری ملی و طراحی اجتماعی ساختار (Агентство Социального Проектирования)، به عنوان بخشی از به روز رسانی امروز گزارش تهدید ما از 27 سپتامبر 2022. .

ایران: ما شاهد تنوع در عملیات ایران بوده‌ایم، به‌ویژه وقتی صحبت از بازیگران پشت این فعالیت می‌شود. شبکه‌هایی که بین سال‌های 2018 و 2020 حذف کردیم، بیشتر به نهادهای مرتبط با دولت، به‌ویژه رسانه‌های دولتی مرتبط بودند. این عملیات اغلب حول وب‌سایت‌هایی متمرکز می‌شد که محتوای مربوط به دولت ایران را تبلیغ می‌کردند. از اوایل سال 2021، کمپین‌های فریبنده بیشتر بر سیاست در کشورهای هدف متمرکز شدند و به گروه‌های کوچک‌تری مانند دانشگاهیان یا افرادی که سابقه تدریس زبان انگلیسی را به عنوان یک زبان خارجی داشتند، بدون ارتباط آشکار با نهادهای دولتی بزرگ‌تر مرتبط بودند. این مصادف است با توقیف دامنه های مرتبط با عملیات قبلی ایران توسط خزانه داری آمریکا. این می‌تواند نشانه‌ای از تلاش گروه‌های مختلف در ایران برای اجرای کمپین‌های CIB یا تغییر در امنیت عملیاتی باشد که برای مبهم کردن اسناد طراحی شده‌اند.

مکزیک: بیشتر شبکه‌های CIB که در مکزیک ایجاد می‌شوند، عمدتاً بر روی مخاطبان منطقه‌ای یا محلی، اغلب در زمینه انتخابات منطقه‌ای تمرکز می‌کنند. این شبکه ها از نظر تاکتیکی پیچیده تر بودند و بسیاری از آنها با شرکت های روابط عمومی یا بازاریابی مرتبط بودند، از جمله مواردی که یک شبکه از دو رقیب برای یک پست انتخاباتی حمایت می کرد. این خطر خدمات مخفی «IO-for-hire» را نشان می‌دهد که نه تنها از بالاترین پیشنهاد، بلکه برای چندین مناقصه‌دهنده پشتیبانی غیرواقعی ارائه می‌کند و محیط اطلاعاتی را آلوده می‌کند.

عملیات نفوذ داخلی در مقابل خارجی

در حالی که گفتمان عمومی در مورد عملیات نفوذ جهانی اغلب بر مداخله خارجی متمرکز است، ما دریافتیم که شبکه‌های CIB در سراسر جهان اغلب افراد را در کشور خود هدف قرار می‌دهند. به عنوان مثال، ما در مورد تعدادی از سازمان‌های دولتی گزارش داده‌ایم که جمعیت خود را در مالزی، نیکاراگوئه، تایلند و اوگاندا هدف قرار داده‌اند. در واقع، دو سوم عملیات‌هایی که از سال ۲۰۱۷ مختل کرده‌ایم، به طور کامل یا جزئی بر روی مخاطبان داخلی متمرکز شده‌اند.

گرافیکی که ماهیت شبکه های CIB مختل شده متا و تغییر ماهیت و هدف گذاری در طول زمان را نشان می دهد.  داده های سال 2022 نشان دهنده اختلالات گزارش شده ما در سه ماهه اول تا سوم 2022 است و گزارش سه ماهه سه ماهه چهارم 2022 ما در اوایل سال 2023 منتشر خواهد شد.

توازن بین عملیات خارجی و داخلی به طور چشمگیری بسته به منطقه متفاوت بود. حدود 90 درصد از عملیات CIB در آسیا-اقیانوسیه، جنوب صحرای آفریقا و آمریکای لاتین به طور کامل یا جزئی بر روی مخاطبان داخلی متمرکز بود. در مقابل، بیش از دو سوم شبکه‌های CIB که در اروپا و خاورمیانه و شمال آفریقا (MENA) سرچشمه می‌گرفتند، به طور کامل یا جزئی بر روی مخاطبان خارجی متمرکز بودند.

به طور منحصربفردی، منطقه خلیج‌فارس جایی بود که شاهد عملیات‌های نفوذ مخفی بسیاری از کشورهای مختلف بودیم که یکدیگر را هدف قرار می‌دادند، که نشان‌دهنده این تلاش‌ها برای نفوذ به‌عنوان گسترش ژئوپلیتیک با ابزارهای دیگر بود. به عنوان مثال، ما حذف کردیم: یک شبکه ایرانی در انتقاد از عربستان سعودی و آمریکا. شبکه ای از عربستان سعودی در انتقاد از ایران، قطر و ترکیه؛ عملیات مصر، ترکیه و مراکش در حمایت از قطر و ترکیه و انتقاد از عربستان سعودی، امارات متحده عربی (امارات متحده عربی) و دولت مصر؛ و شبکه ای از مصر حامی امارات و انتقاد از قطر و ترکیه.

ماهیت بین پلت فرمی عملیات نفوذ

ما به افشای عملیاتی که روی بسیاری از سرویس‌های اینترنتی مختلف در یک زمان اجرا می‌شوند، ادامه داده‌ایم، حتی کوچک‌ترین شبکه‌ها نیز از رویکرد متنوع مشابهی پیروی می‌کنند. به عنوان مثال، در سال 2020 ما 10 حساب کاربری را از روسیه حذف کردیم که ترکیه و اروپا را هدف قرار داده بودند. در سال 2021 چهار حساب از ایران حذف کردیم. در ژانویه سه حساب از روسیه حذف کردیم. در هر مورد، در حالی که فعالیت آن‌ها در پلتفرم‌های ما کم بود، هر کدام وب‌سایت‌های «اخباری» را راه‌اندازی کردند و سایر خدمات اینترنتی را هدف قرار دادند. دیده‌ایم که این شبکه‌ها در سراسر Twitter، Telegram، TikTok، Blogspot، YouTube، Odnoklassniki، VKontakte، Change کار می‌کنند.[.]org، Avaaz، سایر سایت های دادخواست و حتی LiveJournal.

استفاده از عکس های نمایه تولید شده توسط هوش مصنوعی

از سال 2019، شاهد افزایش سریع تعداد شبکه‌هایی بوده‌ایم که از عکس‌های نمایه تولید شده با استفاده از تکنیک‌های هوش مصنوعی مانند شبکه‌های متخاصم (GAN) استفاده می‌کنند. این فناوری به راحتی در اینترنت در دسترس است و به هر کسی – از جمله عوامل تهدید – اجازه می دهد تا یک عکس منحصر به فرد ایجاد کنند. بیش از دو سوم از تمام شبکه‌های CIB که در سال جاری مختل کردیم، دارای حساب‌هایی بودند که احتمالاً دارای عکس‌های نمایه تولید شده توسط GAN بودند، که نشان می‌دهد عاملان تهدید ممکن است آن را راهی برای ایجاد اعتبار و اصلی جلوه دادن حساب‌های جعلی خود در تلاش برای فرار از آن بدانند. شناسایی توسط محققین منبع باز، که ممکن است برای شناسایی عکس های نمایه عکس استوک به جستجوهای عکس معکوس تکیه کنند. با این حال، مجریان CIB ما بر رفتار تمرکز دارند به جای محتوای ارسال شده توسط این شبکه ها، از جمله عکس های آنها. در واقع، در تحقیقات CIB خود، ما به ترکیبی از سیگنال‌های رفتاری نگاه می‌کنیم که به این معنی است که استفاده از چهره‌های GAN به عوامل تهدید کمکی نمی‌کند تا از اجرای آن فرار کنند.

نموداری که استفاده از عکس‌های نمایه تولید شده توسط GAN را توسط شبکه‌های CIB نشان می‌دهد، با داده‌های مربوط به سال ۲۰۲۲ که نمایانگر ژانویه تا نوامبر ۲۰۲۲ است.

برای اطلاعات بیشتر، گزارش تهدیدات گذشته ما را ببینید.





منبع