Há doze anos, a Treadstone 71 mudou a segmentação do adversário de atividade estritamente ciberjihadista para incluir o Irã. Rastreamos os movimentos dos primeiros grupos de hackers seguindo suas atividades, desde desfiguração de baixo nível até redirecionar o Stuxnet para se tornar uma potência global reconhecida em operações cibernéticas e de influência. A Treadstone 71 é especializada em monitorar operações cibernéticas e de influência iranianas, pesquisar grupos de hackers e postar regularmente informações e inteligência sobre suas atividades. Muitas postagens descrevem as atividades cibernéticas do Corpo da Guarda Revolucionária Islâmica (IRGC) e do Ministério de Inteligência e Segurança (MOIS), estruturas organizacionais, métodos de recrutamento interno, atividades educacionais, conferências cibernéticas, informações sobre malware e atores de ameaças e seus recursos. Procuramos continuamente padrões e tendências dentro desses padrões. Examinamos as tendências do adversário em fóruns online, blogs e sites de mídia social. Na corrida para a eleição presidencial de 2020 nos Estados Unidos, nos concentramos nas redes sociais e procuramos possíveis infiltrações que afetariam os eleitores. Na corrida para a eleição presidencial de 2020 nos Estados Unidos, nos concentramos nas mídias sociais e na busca de possíveis operações de influência que possam afetar os eleitores. Em julho deste ano, encontramos picos altamente incomuns na atividade de mídia social que, à primeira vista, pareciam aleatórios. Um olhar mais atento nos levou a uma direção que não esperávamos. Como acontece com muitos esforços de análise de inteligência estratégica, os dados coletados são a evidência que impulsiona as descobertas. As descobertas aqui nos levaram a um caminho que não esperávamos.

Usuários principais da campanha

Pelo menos quatro contas desempenharam um papel essencial no gerenciamento da campanha para garantir que a hashtag se tornasse uma tendência no Irã. Pelo menos outras nove contas pertencentes a IRGC Cyber ​​Units foram responsáveis ​​pela gestão e expansão da campanha em diferentes ambientes sociais. (Figura 1 no relatório)

Estes últimos, a maioria com grande número de seguidores, se retrataram como "monarquistas", "reformistas" ou "defensores da mudança de regime" em vários ambientes sociais enquanto tuíam conteúdos para se adequar à descrição, desempenhando um papel sério sob a personalidade dada na mobilização e expansão do campanha contra o MEK.

Uma característica significativa dessas contas é a personalidade de mulheres jovens se disfarçando enquanto atraem e atraem usuários desavisados ​​para expansão de mensagens e potencial colaboração. 

O RGCU lançou a campanha primária no dia 17 de julho às 16:59 CEST, imediatamente após o discurso de Maryam Rajavi, iniciando o processo de envolvimento do público, mobilização de contas e repetição de hashtag. O lançamento coordenado ajudou a criar tendências identificáveis ​​no Twitter. O RGCU expandiu a campanha, distribuindo e republicando conteúdo e tweets de membros influentes. A republicação desencadeou milhares de bots e contas falsas com baixo número de seguidores pertencentes a Basij Cyber ​​Units.

Por Dentro do Relatório

Com a entrada de influenciadores (Figura 3 do relatório), a campanha entrou na próxima fase de operações. O conteúdo e os tweets foram distribuídos e republicados por essas influentes unidades cibernéticas do IRGC. A narrativa entre esses usuários revela seu papel na divulgação da campanha e o propósito das personas.

Milhares de bots e contas falsas com baixo índice de seguidores pertencentes a Basij Cyber ​​Units republicaram e retuitaram amplamente tuítes publicados por influenciadores e retuitaram e promoveram as postagens de outras contas que usaram a hashtag fornecida.

Esta campanha foi continuada por 60.6 horas pelas IRGC Intelligence Cyber ​​Units usando milhares de contas Basij mal pagas que se assemelham a círculos concêntricos de confiança do Número Dunbar em todo o país (Figura 4 no relatório).

Visão geral e análise da campanha com base em dados e pesquisas disponíveis:

• O IRGC pretendia influenciar e abafar a disseminação das mensagens do MEK por todo o Irã por meio da mídia social, criando uma enxurrada de mensagens negativas usando propaganda.
• Usando tweets, menções e retuítes, grupos de proxy IRGC clamam para espalhar a mensagem além dos proxies para usuários desavisados ​​do Twitter
• A campanha usou uma série de bots para criar buzz e aumentar o uso.
• As comunicações anônimas ocorreram via @BChatBot e @BiChatBot não inclusivamente no Telegram para fins de comunicação entre Cyber ​​Units, para evitar que o Twitter realizasse uma campanha organizada e implementação de restrições às contas.
• A Sociedade Nejat (criação do Ministério da Inteligência) usou simultaneamente todas as suas contas de mídia social, publicando mensagens com conotações negativas sobre dissidentes iranianos, criando uma narrativa negativa. (A participação ativa da Sociedade Nejat afiliada ao MOIS nesta campanha esclarece a natureza da operação).
• A cadeia de comando cibernética do IRGC provavelmente coordenou a comunicação entre as várias unidades cibernéticas. O conteúdo da postagem nas redes sociais criou padrões identificáveis, tendências rastreáveis ​​e tendências claras do usuário.

A Treadstone 71 acredita que a operação viola muitas regras do Twitter relacionadas à "Política de manipulação de plataforma e spam", à "Política de falsificação de identidade" e à "Política de mídia sintética e manipulada".

Request for Information (RFI) - Cyber ​​Threat Intelligence

O processo de RFI inclui qualquer requisito ad hoc sensível ao tempo específico para informações ou produtos de inteligência para dar suporte a um evento ou incidente em andamento não necessariamente relacionado a requisitos permanentes ou produção de inteligência programada. Quando o Cyber ​​Threat Intelligence Center (CTIC) envia uma RFI para grupos internos, há uma série de requisitos padrão para o contexto e a qualidade dos dados solicitados.

Análise de links iranianos de vários atores de ameaças cibernéticas. Baixe o relatório de abertura dos olhos aqui.

Nosso treinamento examina a Doutrina Analítica de Sherman Kent da perspectiva cibernética, bem como a disponibilidade e o uso de ferramentas OSINT. Os alunos são capazes de compreender o ciclo de vida da inteligência cibernética, o papel e o valor da inteligência cibernética em relação à segmentação e coleta on-line, em organizações, empresas e governos modernos ao concluir este curso e usar nossos serviços de consultoria.

O que você recebe da Treadstone 71 são informações detalhadas e inteligência sobre o seu adversário que ultrapassam em muito o domínio técnico. O serviço da Treadstone 71 se destaca na capacidade de fornecer técnicas, métodos, capacidades, funções, estratégias e programas para não apenas construir uma capacidade de inteligência totalmente funcional, mas um programa sustentável diretamente alinhado com os requisitos das partes interessadas.

Este resumo de inteligência explica os meandros, bem como as latas e as latas, com respeito às capacidades da inteligência cibernética.

Entender seus stakeholders e o que eles precisam para tomar decisões é mais do que metade da batalha. Este resumo cobre o velho ditado "Conheça seu professor, tire um A."

Violações sírias de sanções com a assistência russa do FSB para fabricar coletes balísticos - Não descoberto por nenhuma organização diferente da Treadstone 71 - Sem sensores, sem agregação de milhares de torneiras - Apenas coleta e análise de código aberto obstinado e uma leitura interessante de falsos identidades, compras dispersas e engano.

Domínio cibernético do Oriente Médio - Irã / Síria / Israel

Uma revisão acadêmica desses Estados-nação e seu trabalho para alcançar o domínio das operações cibernéticas.

Jogos de inteligência na rede elétrica - Ações cibernéticas e cinéticas russas que causam riscos

Padrões de compra incomuns de uma empresa russa que vende PLCs de uma empresa taiwanesa com enormes lacunas em seu site de download de software de produto. O que poderia dar errado?

Declaração de contra-espionagem cibernética Os 10 mandamentos para a contra-espionagem cibernética

Você deve e não deve. Domine a rua cibernética enquanto constrói creds. Siga essas regras e talvez você sobreviva ao ataque.

Muito tem sido escrito sobre Mr.Tekide e seus criptografadores usados ​​pelo APT34 (OilRig) e outros. Outro

organizações documentaram informações sobre as ferramentas do Sr.Tekide em 'célebres' ataques cibernéticos contra instituições da Fortune 500, governos, organizações educacionais e entidades de infraestrutura crítica.

identificação

No entanto, identificar o Sr.Tekide, seu histórico, localizações e suas próprias palavras nunca foi abertamente realizado. Muitos acreditam que seguir um indivíduo não paga dividendos. A Treadstone 71 demonstra o alinhamento do Sr.Tekide com o governo iraniano ao longo de anos de apoio ao uso de criptografadores como o iloveyoucrypter, qazacrypter e njRAT.

Falácias na inteligência de ameaças levam a linhas de falha nas posturas de segurança organizacional

Este resumo cobre alguma taxonomia geral, juntamente com uma revisão dos erros comuns relacionados à inteligência cibernética e de ameaças e como é possível não cair nessas armadilhas sabendo como desenterrá-los.