For et dusin år siden flyttet Treadstone 71 motstander målrettet fra strengt cyberjihadistisk aktivitet til å inkludere Iran. Vi fulgte bevegelser fra de tidligste hackinggruppene etter deres aktiviteter fra lavnivåavvik til repurposing av Stuxnet for å bli en anerkjent global makt innen cyber- og innflytelsesoperasjoner. Treadstone 71 har spesialisert seg på å overvåke iranske cyber- og innflytelsesoperasjoner, undersøke hackinggrupper, og legge ut informasjon og etterretning om deres aktiviteter. Mange innlegg beskriver Islamic Revolutionary Guard Corps (IRGC) og Ministry of Intelligence and Security (MOIS) cyberaktiviteter, organisasjonsstrukturer, interne rekrutteringsmetoder, pedagogiske aktiviteter, cyberkonferanser, informasjon om skadelig programvare og trusselaktører og deres evner. Vi søker kontinuerlig mønstre og trender innenfor disse mønstrene. Vi undersøker motstandstendenser i nettfora, blogger og sosiale medier. I forkant av det amerikanske presidentvalget i 2020 fokuserte vi på sosiale medier og lette etter mulig infiltrasjon som ville påvirke velgerne. I forkant av presidentvalget i USA i 2020 fokuserte vi på sosiale medier og søkte mulig innflytelsesoperasjoner som kan påvirke velgere. I juli i år kom vi over svært uvanlige pigger i sosiale medier, som ved første øyekast virket tilfeldige. En nærmere titt førte oss i en retning vi ikke forventet. Som med mange strategiske etterretningsanalyser, er innsamlede data beviset på funnene. Funnene heri førte oss nedover en vei vi ikke forventet.

Kampanje kjernebrukere

Minst fire kontoer spilte en viktig rolle i styringen av kampanjen for å sikre hashtaggen i Iran. Minst ni andre kontoer som tilhører IRGC Cyber ​​Units, var ansvarlige for å administrere og utvide kampanjen i forskjellige sosiale miljøer. (Figur 1 i rapporten)

Sistnevnte, de fleste med høyt tilhengerskap, portretterte seg som "monarkister", "reformister" eller "regimeskifter" i forskjellige sosiale miljøer mens de twitret innhold for å passe til beskrivelsen, og spilte en seriøs rolle under den gitte personaen i å mobilisere og utvide kampanje mot MEK.

Et vesentlig trekk ved disse kontoene er unge kvinners personligheter som forkledning seg mens de tiltrekker og lokker intetanende brukere for utvidelse av meldinger og potensielt samarbeid. 

RGCU startet den primære kampanjen 17. juli kl 16:59 CEST, umiddelbart etter talen av Maryam Rajavi, og startet prosessen med publikumsinvolvering, kontomobilisering og repetisjon av hashtag. Den koordinerte lanseringen bidro til å skape identifiserbare Twitter-trender. RGCU utvidet kampanjen ved å distribuere og publisere innflytelsesrike kjernemedlemmers tweets og innhold. Publiseringen utløste tusenvis av roboter og falske kontoer med lavt tilhengerskap tilhørende Basij Cyber ​​Units.

Inne i rapporten

Med innflytelsen fra påvirkere (figur 3 i rapporten) gikk kampanjen inn i neste operasjonsfase. Innholdet og tweets ble distribuert og publisert av de innflytelsesrike IRGC Cyber ​​Units. Fortellingen mellom disse brukerne avslører deres rolle i å markedsføre kampanjen og formålet med personene.

Tusenvis av roboter og falske kontoer med lav tilhørighet som tilhører Basij Cyber ​​Units, publiserte og retweetet tweets publisert av influencers og retweetet og promoterte innleggene av andre kontoer som hadde brukt den gitte hashtaggen.

Denne kampanjen ble videreført i 60.6 timer av IRGC Intelligence Cyber ​​Units ved hjelp av tusenvis av lavtlønnede Basij-kontoer som ligner en Dunbar's Number konsentriske sirkler av tillit i hele landet (Figur 4 i rapporten).

Kampanjeoversikt og analyse basert på tilgjengelige data og forskning:

• IRGC hadde til hensikt å påvirke og druknet spredningen av MEKs meldinger gjennom Iran via sosiale medier ved å skape en flom av negative meldinger ved hjelp av propaganda.
• Ved hjelp av tweets, omtaler og retweets ringer IRGC-proxy-grupper ut for å spre meldingen utover fullmakter til intetanende Twitter-brukere.
• Kampanjen brukte en serie roboter for å skape liv og øke bruken.
• Anonym kommunikasjon skjedde via @BChatBot og @BiChatBot ikke-inkluderende på Telegram for kommunikasjonsformål mellom cyber-enheter, for å forhindre at Twitter realiserer en organisert kampanje og implementering av begrensninger på kontoene.
• Nejat Society (hjernebarnet til etterretningsdepartementet) brukte samtidig alle sine sosiale mediekontoer, og publiserte meldinger med negative konnotasjoner om iranske dissidenter som skapte en negativ fortelling. (Aktiv deltakelse fra Nejat Society tilknyttet MOIS i denne kampanjen tydeliggjør operasjonens natur).
• IRGC cyber-of-command-command koordinerte sannsynligvis kommunikasjonen mellom de forskjellige cyber-enhetene. Sosiale medier legger ut innhold som skaper identifiserbare mønstre, sporbare trender og tydelige brukertendenser.

Treadstone 71 mener operasjonen bryter med mange Twitter-regler relatert til "Platform manipulation and spam policy", "Impersonation policy," og "Synthetic and manipulated media policy."

Forespørsel om informasjon (RFI) - Cyber ​​Threat Intelligence

RFI-prosessen inkluderer ethvert spesifikt tidssensitivt ad hoc-krav til etterretningsinformasjon eller produkter for å støtte en pågående hendelse eller hendelse som ikke nødvendigvis er relatert til stående krav eller planlagt etterretningsproduksjon. Når Cyber ​​Threat Intelligence Center (CTIC) sender inn en RFI til interne grupper, er det en rekke standardkrav for konteksten og kvaliteten på dataene som etterspørres.

Iranian Link Analysis av ulike cybertrusselaktører. Last ned øyeåpningsrapporten her.

Treningen vår undersøker Sherman Kents analytiske doktrine fra cyberperspektivet, samt tilgjengeligheten og bruken av OSINT-verktøy. Studentene er i stand til å forstå livssyklusen for cyberintelligens, rollen og verdien til cyber intelligence i forhold til online målretting og innsamling, i moderne organisasjoner, bedrifter og myndigheter når kurset er fullført, og bruk av våre rådgivningstjenester.

Det du mottar fra Treadstone 71 er detaljert informasjon og intelligens om din motstander som langt overgår det tekniske området. Hvor Treadstone 71-tjenesten utmerker seg, er muligheten til å gi deg teknikker, metoder, evner, funksjoner, strategier og programmer for ikke bare å bygge en fullt funksjonell intelligensevne, men et bærekraftig program som er direkte tilpasset interessentens krav.

Denne etterretningsinformasjonen forklarer komplikasjonene i tillegg til bokser og kanoter med respekt for mulighetene til cyberintelligens.

Å forstå dine interessenter og hva de trenger for å ta beslutninger er mer enn halvparten av kampen. Denne oversikten dekker det gamle ordtaket "Kjenn professoren din, få en A."

Syriske brudd på sanksjoner med russisk FSB-bistand til å produsere ballistiske vester - Ikke oppdaget av andre organisasjoner enn Treadstone 71 - Ingen sensorer, ingen samling av tusenvis av kraner - Bare hardnose-innsamling og analyse av åpen kildekode, og en interessant lesing av falske identiteter, spredt kjøp og bedrag.

Midtøsten cyberdomene - Iran / Syria / Israel

En akademisk gjennomgang av disse nasjonalstatene og deres arbeid for å oppnå dominans av cyberoperasjoner.

Etterretningsspill i kraftnettet - Russiske cyber- og kinetiske handlinger som forårsaker risiko

Uvanlige kjøpsmønstre fra et russisk firma som selger PLS fra et taiwansk selskap med store hull i nedlastingssiden for produktprogramvare. Hva kan gå galt?

Uttalelse om cyber kontraintelligens De 10 budene for Cyber ​​CounterIntel

Du skal og du skal ikke. Eie nettgaten mens du bygger kreditter. Følg disse reglene, og kanskje overlever du angrepet.

Mye har blitt skrevet om Mr. Tekide og hans kryptere som brukes av APT34 (OilRig) og andre. Annen

organisasjoner har dokumentert informasjon om Mr. Tekides verktøy i 'feirede' cyberangrep mot Fortune 500-institusjoner, regjeringer, utdanningsorganisasjoner og kritiske infrastrukturenheter.

Identifikasjon

Imidlertid har det aldri blitt åpent å identifisere Mr. Tekide, hans bakgrunn, plasseringer og hans egne ord. Mange mener at å følge et individ ikke gir utbytte. Treadstone 71 demonstrerer tilpasningen av Mr. Tekide til den iranske regjeringen gjennom mange års støtte ved hjelp av kryptere som iloveyoucrypter, qazacrypter og njRAT.

Feil i trusseletterretning fører til feillinjer i organisatoriske sikkerhetsstillinger

Denne oversikten dekker litt generell taksonomi sammen med en gjennomgang av vanlige feil angående cyber- og trusselinformasjon og hvordan det er mulig å ikke falle i disse fellene mens du vet hvordan du skal grave ut hvis du gjør det.