Una dozzina di anni fa, Treadstone 71 ha spostato il targeting degli avversari dall'attività strettamente cyber jihadista all'Iran. Abbiamo monitorato i movimenti dei primi gruppi di hacker che seguivano le loro attività, dai deturpamenti di basso livello al riutilizzo di Stuxnet per diventare una potenza globale riconosciuta nelle operazioni informatiche e di influenza. Treadstone 71 è specializzato nel monitoraggio delle operazioni informatiche e di influenza iraniane, nella ricerca di gruppi di hacking e nel pubblicare regolarmente informazioni e intelligence sulle loro attività. Molti post descrivono le attività informatiche del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e del Ministero dell'Intelligence e della Sicurezza (MOIS), strutture organizzative, metodi di reclutamento interni, attività educative, conferenze informatiche, informazioni su malware e attori delle minacce e le loro capacità. Cerchiamo continuamente modelli e tendenze all'interno di questi modelli. Esaminiamo le tendenze avversarie nei forum online, nei blog e nei siti di social media. Alla vigilia delle elezioni presidenziali statunitensi del 2020, ci siamo concentrati sui social media e abbiamo cercato possibili infiltrazioni che avrebbero influenzato gli elettori. Alla vigilia delle elezioni presidenziali statunitensi del 2020, ci siamo concentrati sui social media e alla ricerca di possibili operazioni di influenza che potrebbero interessare gli elettori. Nel luglio di quest'anno, abbiamo riscontrato picchi molto insoliti nell'attività sui social media che, a prima vista, sembravano casuali. Uno sguardo più attento ci ha portato in una direzione che non ci aspettavamo. Come per molte attività di analisi dell'intelligence strategica, i dati raccolti sono le prove che guidano i risultati. I risultati qui riportati ci hanno portato su una strada che non ci aspettavamo.

Utenti principali della campagna

Almeno quattro account hanno svolto un ruolo essenziale nella gestione della campagna per garantire che l'hashtag fosse di tendenza in Iran. Almeno altri nove account appartenenti alle Cyber ​​Unit dell'IRGC erano responsabili della gestione e dell'espansione della campagna in diversi ambienti sociali. (Figura 1 nel rapporto)

Questi ultimi, la maggior parte con un alto seguito, si sono descritti come "monarchici", "riformisti" o "sostenitori del cambiamento di regime" in vari ambienti sociali mentre twittavano contenuti per adattarli alla descrizione, giocando un ruolo serio sotto la data persona nel mobilitare ed espandere il campagna contro il MEK.

Una caratteristica significativa di questi account sono i personaggi delle giovani donne che si mascherano mentre attirano e attirano utenti ignari per l'espansione della messaggistica e la potenziale collaborazione. 

L'RGCU ha lanciato la campagna primaria il 17 luglio alle 16:59 CEST, subito dopo il discorso di Maryam Rajavi, avviando il processo di coinvolgimento del pubblico, mobilitazione dell'account e ripetizione di hashtag. Il lancio coordinato ha contribuito a creare tendenze identificabili su Twitter. L'RGCU ha ampliato la campagna distribuendo e ripubblicando tweet e contenuti dei membri principali influenti. La ripubblicazione ha attivato migliaia di bot e account falsi con un basso numero di follower appartenenti alle Basij Cyber ​​Unit.

Dentro il rapporto

Con l'ingresso degli influencer (Figura 3 nel report), la campagna è entrata nella fase operativa successiva. Il contenuto e i tweet sono stati distribuiti e ripubblicati da quelle influenti unità informatiche dell'IRGC. La narrazione tra questi utenti rivela il loro ruolo nella promozione della campagna e lo scopo dei personaggi.

Migliaia di bot e account falsi con un basso numero di follower appartenenti alle Basij Cyber ​​Unit hanno ampiamente ripubblicato e ritwittato tweet pubblicati da influencer e ritwittato e promosso i post di altri account che avevano utilizzato l'hashtag fornito.

Questa campagna è stata continuata per 60.6 ore dalle unità informatiche di intelligence dell'IRGC utilizzando migliaia di account Basij a bassa retribuzione che assomigliano a cerchi concentrici di fiducia del numero di Dunbar in tutto il paese (figura 4 nel rapporto).

Panoramica e analisi della campagna in base ai dati e alle ricerche disponibili:

• L'IRGC intendeva influenzare e soffocare la diffusione dei messaggi del MEK in tutto l'Iran tramite i social media creando un'ondata di messaggi negativi usando la propaganda.
• Utilizzando tweet, menzioni e retweet, i gruppi proxy dell'IRGC invitano a diffondere i messaggi oltre i proxy agli ignari utenti di Twitter
• La campagna ha utilizzato una serie di bot per creare buzz e aumentare l'utilizzo.
• Le comunicazioni anonime sono avvenute tramite @BChatBot e @BiChatBot in modo non inclusivo su Telegram per scopi di comunicazione tra le unità informatiche, per impedire a Twitter di realizzare una campagna organizzata e l'implementazione di restrizioni sugli account.
• La Nejat Society (nata da un'idea del Ministero dell'Intelligence) ha utilizzato simultaneamente tutti i suoi account sui social media, pubblicando messaggi con connotazioni negative sui dissidenti iraniani creando una narrativa negativa. (La partecipazione attiva della Nejat Society affiliata al MOIS in questa campagna chiarisce la natura dell'operazione).
• La catena di comando informatica dell'IRGC ha probabilmente coordinato la comunicazione tra le varie unità informatiche. I contenuti dei post sui social media hanno creato modelli identificabili, tendenze tracciabili e chiare tendenze degli utenti.

Treadstone 71 ritiene che l'operazione violi molte regole di Twitter relative alla "Politica di manipolazione della piattaforma e spam", alla "Politica di rappresentazione" e alla "Politica sui media sintetici e manipolati".

Request for Information (RFI) - Cyber ​​Threat Intelligence

Il processo RFI include qualsiasi requisito ad hoc sensibile al tempo per informazioni o prodotti di intelligence a supporto di un evento o incidente in corso non necessariamente correlato a requisiti permanenti o produzione di intelligence programmata. Quando il Cyber ​​Threat Intelligence Center (CTIC) invia una RFI a gruppi interni, esiste una serie di requisiti standard per il contesto e la qualità dei dati richiesti.

Iranian Link Analysis di vari attori delle minacce informatiche. Scarica qui il rapporto sull'apertura degli occhi.

La nostra formazione esamina la dottrina analitica di Sherman Kent dal punto di vista informatico, nonché la disponibilità e l'uso degli strumenti OSINT. Gli studenti sono in grado di comprendere il ciclo di vita della cyber intelligence, il ruolo e il valore della cyber intelligence relativa al targeting e alla raccolta online, nelle organizzazioni moderne, aziende e governi al termine di questo corso e, l'uso dei nostri servizi di consulenza.

Ciò che ricevi da Treadstone 71 sono informazioni dettagliate e informazioni sul tuo avversario che superano di gran lunga il regno tecnico. Dove il servizio di Treadstone 71 eccelle è nella capacità di fornirti tecniche, metodi, capacità, funzioni, strategie e programmi per costruire non solo una capacità di intelligenza completamente funzionale, ma un programma sostenibile direttamente allineato ai requisiti delle parti interessate.

Questo brief di intelligence spiega le complessità, nonché le lattine e i cannotti, rispettando le capacità dell'intelligence informatica.

Capire i tuoi stakeholder e di cosa hanno bisogno per prendere decisioni è più della metà della battaglia. Questo riassunto copre il vecchio adagio "Conosci il tuo professore, prendi una A."

Violazioni siriane delle sanzioni con l'assistenza dell'FSB russo per la fabbricazione di giubbotti balistici - Non scoperti da organizzazioni diverse da Treadstone 71 - Nessun sensore, nessuna aggregazione di migliaia di rubinetti - Solo raccolta e analisi open source dal naso duro e un'interessante lettura di falsi identità, acquisti dispersi e inganno.

Dominio informatico del Medio Oriente - Iran / Siria / Israele

Una revisione accademica di questi stati-nazione e del loro lavoro per ottenere il dominio delle operazioni informatiche.

Giochi di intelligenza nella rete elettrica: azioni cibernetiche e cinetiche russe che causano rischi

Modelli di acquisto insoliti da un'azienda russa che vende PLC da un'azienda taiwanese con enormi buchi nel sito di download del software del prodotto. Cosa potrebbe andare storto?

Dichiarazione di Cyber ​​Counterintelligence I 10 comandamenti per il Cyber ​​CounterIntel

Lo farai e non lo farai. Gestisci la cyber street mentre costruisci crediti. Segui queste regole e forse sopravviverai all'assalto.

Molto è stato scritto sul signor Tekide e sui suoi criptatori usati da APT34 (OilRig) e altri. Altro

le organizzazioni hanno documentato le informazioni sugli strumenti del signor Tekide in "celebri" attacchi informatici contro le istituzioni Fortune 500, i governi, le organizzazioni educative e le entità di infrastrutture critiche.

Identificazione

Tuttavia, identificare il signor Tekide, il suo background, i luoghi e le sue stesse parole non è mai stato realizzato apertamente. Molti credono che seguire un individuo non paghi i dividendi. Treadstone 71 dimostra l'allineamento del signor Tekide al governo iraniano attraverso anni di supporto utilizzando criptatori come iloveyoucrypter, qazacrypter e njRAT.

Gli errori nell'intelligence sulle minacce portano a linee di errore nelle posizioni di sicurezza organizzativa

Questo brief copre una tassonomia generale insieme a una revisione degli errori comuni relativi all'intelligence informatica e alle minacce e su come è possibile non cadere in queste trappole sapendo come scavare se lo fai.