編集者注: The following post is an excerpt of a full report. To read the entire analysis, ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

Recorded FutureのInsikt Group®は、イランのサイバープログラムに関与している組織について継続的な調査を行っています。 本報告書は、イランの攻撃的なサイバープログラムに関与している主要な軍事・諜報機関について、より深い洞察を提供する役割を果たしている。 攻撃的なサイバー能力には国内攻撃が含まれますが、私たちは国際的な使命を宣言した組織を調査しました。 一部の組織の秘密主義的な性質と検証可能な情報の欠如により、業界の分析基準を遵守するために競合する仮説を組み込みました。

本研究では、バシジを含むイスラム革命防衛隊(IRGC)、情報安全保障省(MOIS)、国防・軍事兵站省(MODAFL)を調査した。 このレポートでは、一部の Advanced Persistent Threat (APT) グループと特定のインテリジェンス組織との関連性が示唆されていますが、各グループに関する情報にギャップがあるため、それらを特定の機関に決定的に割り当てることはできません。

私たちの調査の情報源には、主にRecorded Future® Platformで公開されたインテリジェンス、Symantec、FireEye、ClearSky、PaloAltoなどが発表した業界調査、オープンソースのニュースレポートが含まれます。

Executive Summary

イランのサイバー計画は、テヘランの非対称能力の最前線にあり続けているが、その諜報機関は、様々な機能不全と、一見不安定化させる特性によって彩られている。 特に、さまざまな諜報機関の政治化とそれに続く国内の確執は、イスラム共和国のさまざまな安全保障危機を通じて、将校レベルのランクとファイルを二極化させたと伝えられています。 これらの危機は公に表面化し、インサイダーの脅威を駆り立てる触媒として機能し、諜報機関の士気を低下させ、リークの発生を増加させました。 諜報グループ間の競争は、機関間の直接的な妨害行為にもつながったとされている。

政治的な内紛の中で、特定の組織はセキュリティ権限の大幅な拡大を経験しており、これには間違いなく、攻撃的なハッキング戦術、技術、手順(TTP)を活用して、被害者への侵入とアクセスを促進することが含まれています。 その第一が、イスラム革命防衛隊諜報組織(IRGC-IO)である。 この組織の任務は過去10年間で大幅に拡大し、イスラム共和国の憲法で義務付けられた諜報機関である情報安全保障省(MOIS)の諜報評価と助言に直接違反して活動することができるほどである。

This is Recorded Future’s third report on Iran’s cyber program. In January 2019, we reported on Iran’s best-known hacker forum, Ashiyane, and in March 2019, we released a report that covered Iran’s cyber defense structure and associated organizations.

主な判断

• 我々は、内部作戦と外部作戦を実行するイランの機関の間には違いがあるが、各諜報機関の未定義の(そして時には重複する)安全保障任務が、サイバー関連の帰属を行う取り組みを複雑にする可能性が高いと評価している。
• 我々は、イランや地域外のアクターによる偽情報の可能性は、諜報機関の不安定性と責任の重複の結果として、高止まりする可能性が高いと評価している。
• イランの諜報機関の複雑な性質、リークの歴史、政治化のために、イランの安全保障領域は不安定なままである可能性が高いと私たちは評価しています。
• 攻撃的でイデオロギー的な動機によるサイバー攻撃は、IRGC、特にその海外作戦司令部であるコッズ部隊の特徴を帯びている。 我々は、この組織がイランの非対称対応能力の一部として、破壊的な作戦を調整した可能性が高いと評価している。
• 私たちは、イマーム・ホセイン大学のような高等教育機関が、イランのサイバープログラムを引き続き支援し、政権と連携するオペレーターの能力を強化する可能性が高いと評価しています。
• 我々は、イランを拠点とする専門の契約グループが、様々な政府や軍事機関にサービスを提供する可能性が高いと評価している。 また、契約グループは、脅威と機会のターゲットに応じて、機関固有のタスクに対応する可能性が高くなります。

背景

イランの諜報機関と軍主導のサイバー作戦は、諜報機関の複雑な性質、重複する任務、最高指導者アリ・ハメネイ師の支配と利害、イスラム革命防衛隊(IRGC)などの軍事組織の影響、内輪もめの政治など、さまざまな要因に影響されている。

イラン諜報機関の支配層

According to Iran’s Fars News Agency, the Iranian intelligence establishment has grown since the 1979 Islamic Revolution to include at least 16 separate bodies that conduct intelligence activities. The Fars report also highlighted the role of the Council for Intelligence Coordination (Shorai-e Hamohangi Etelaat) which purportedly acts as the principle mechanism to unite all intelligence entities to coordinate efforts against a variety of domestic and international security threats.

イランの諜報機関は、IRGC組織の構成要素であるか、情報安全保障省(MOIS)のように、イランの選挙で選ばれた政府のさまざまな構成要素に属している。 しかし、これらの実体はすべて最高指導者ハメネイの勅令に従属しています。イスラム革命防衛隊-諜報組織(IRGC-IO)などの一部は、他の組織よりも直接的にハメネイの利益を順守していると評価されている。 現在、マフムード・アラヴィが率いるMOISは、選挙で選ばれた政府の優先事項と連携して、MOISの諜報任務を公式に主導している。

Characteristics of Iranian intelligence include overlapping tasking, targeting requirements, and operational responsibilities, which in some cases lead to competition for, or a convergence of, intelligence and military resources. For example, as discussed below, combating domestic subversion is not only reportedly executed by MOIS, but also the IRGC-IO, as well as other agencies such as Iran’s Cyber Police (FATA).

Internationally, both MOIS and the IRGC have been reported to lead independent intelligence operations, as well as cooperate in operations against national security threats. Such overlaps, in certain cases, complicate kinetic and cyber attribution efforts. Other intelligence operations, such as those cited in a February 2019 U.S. Department of Justice (U.S. DOJ) indictment against various Iranian cyber operatives, suggests that resources are shared between agencies, and operatives are likely to provide services to more than one element associated with Iranian security services.

重複するサイバーミッション

多くの場合、サイバー・キャンペーンやサイバー事件の帰属は、イスラム共和国の二つの諜報組織の戦略的・戦術的利益が明らかになる。 MOISとIRGCは、諜報活動と治安任務が重複する最も適切な組織であり続けている。 APTグループは、両組織のタスク要件にも対応し、以下で強調するように、特定のサブグループにも対応します。 技術的なアトリビューションはRecorded Futureやより広範な業界によって行われますが、APTグループの構成に関する情報(人員やそのネットワークの所属など)にアクセスできないため、特定の組織へのAPTアトリビューションはより複雑になります。 アトリビューションでは、より正確なアトリビューションを可能にするために、複数の技術的、組織的、および個人的な行動データセットを集約する必要があります。

Like other nations, strategic and tactical information is key for Iranian agencies. Political, military, and economic information is a major driver for international cyberespionage operations, including against officials from various Western and Middle Eastern governments. These operations have historically occurred during periods of elevated tensions between Tehran and the international community. Within this international area of operations, various threat actor groups have continued to support not only MOIS and the IRGC’s requirements, but those of a range of government stakeholders and academic institutions, including research and development organizations associated with the Ministry of Defense and Armed Force Logistics (MODAFL).

Public reporting reveals that known Iranian threat actors have also led operations against Middle Eastern states, at times coordinating and collaborating against specific targets as part of broad computer network attack operations. Most recently this included the use of the ZeroCleare destructive malware against Bahrain. However, destructive attacks have been part of Iran’s asymmetric response and attack capability since at least August 2012. In mid-December 2018, the Italian petrochemical giant, SAIPEM, was targeted, likely by pro-Iranian government actors, using an updated variant of the Shamoon(2) (Disttrack) malware. The December 2018 attack was accompanied shortly thereafter by hacktivist-style defacements and social media-based information operations executed by entities claiming to represent the Yemen Cyber Army, a collective supporting the interest of and aligned with the Houthi movement (Ansar Allah). The collaborative effort highlights the potential for mission coordination and shared resources in offensive efforts, by potentially diversified threat actor groups.

イエメンサイバー軍のソーシャルメディア作戦の一部に関するFutureのクエリを録画しました。

イエメンサイバー軍のソーシャルメディア作戦に同行した画像には、SAIPEMなどの企業がリストアップされていた。

On the domestic front, the intelligence and security establishment, including FATA, combats a wide range of anti-regime political, militia, and extremist movements. The state’s security services have been recorded conducting kinetic and cyber operations against religious minorities as well as Kurdish, Ahwazi-Arab, and Balochi ethnic separatists. For example, the threat actor group referred to as Domestic Kitten by Check Point reportedly ran an extensive cyber surveillance campaign specifically targeting dissidents, extremist groups, and ethnic minorities inside and outside of Iran. This group reportedly ran most of its operations against Farsi-, Arabic-, Turkish-, and Kurdish-speaking targets, using social engineering to trick victims into downloading malicious mobile applications.

In FATA’s case, it too has reached beyond its purported legal mandate of countering cybercriminal activity and has targeted Iranian bloggers, such as Sattar Beheshti. We note that within the operational scope of Iranian cybercrime matters, and Iran’s Computer Crimes Law specifically, the definition of a cybercriminal has practically manifested to include political activists that are caught disseminating anti-regime material or participating in online protests. Industry research has detailed various cases where political activists have been arrested and imprisoned under the Computer Crimes Law, and the flexibility embedded in such legislation to enable law enforcement entities to apply it at their discretion. As such, FATA’s operations are highly likely linked to the government’s crackdown on bloggers and activists that transpired following the 2009 Green Movement uprisings, but are likely to be limited to domestic security.

Iran’s anti-dissident operations are also devoid of national boundaries, as Iranian cyber groups, such as APT35 (Charming Kitten), which has predominantly serviced the IRGC, and Flying Kitten have both demonstrated a penchant for targeting the Iranian diaspora throughout Europe and North America.

ソフトウェアを含む軍事関連技術も、自給自足を公言し、防衛産業の構築と輸出に努めるシステムにとって、依然として最優先事項である。 このレポートの後半で展開するように、MODAFLのようなエンティティは、軍事兵器技術に焦点を当てたコンピューターネットワーク運用の主要な利害関係者および後援者であると評価されています。

イラン諜報機関のリーク

Leaks have regularly impacted Iranian intelligence, in particular the MOIS. Throughout its history, the organization has endured multiple bouts of high-impact disclosures that have threatened to expose the system’s high-ranking members and its international operations; significant cases include the “Chain Murders,” the “Iran Cables,” and to a lesser extent, various uncorroborated cyber leaks associated with anti-government operations. Political grievances have driven major leaks against intelligence agencies. These depict violations against fellow intelligence officers and Iranian society, corruption and cover-ups, or as the most recent Iran Cables suggests, MOIS’s disdain of the IRGC-Quds Force’s intelligence and military primacy and practices in Iraq.

Anti-government cyber operations predominantly materialized in the years following the 2009 Green Movement uprising and were conducted by self-declared anti-government anonymous collectives, such as Anonymous Iran. These groups aimed to expose Tehran’s cyber efforts against its civilians and international targets, and have resulted in the disclosures of allegedly confidential documents, cyber projects, corruption in the Iranian government, and international operations against Middle Eastern countries. The most recent uptick in anti-government cyber operations began near the end of 2017 until the time of writing, with various groups such as Tapandegan, Lab Dookhtegan, and Aahack Security Team reportedly leading intrusions against government and military assets.

偽情報収集の疑い

イランの偽情報に関する私たちの調査では、誤った指示のもっともらしいケースが引き続き特定されており、そのため、この記事の執筆時点では、イランのアクターによる偽情報の可能性は今後も高止まりする可能性が高いと評価しています。 これは、リークと、地域外のアクターが漏洩したデータを操作したり、データの分類と帰属を劣化させたりして、欧米のサイバーセキュリティ組織に対する彼らの利益に奉仕する可能性によってさらに増幅されます。 例えば、後者には、既存のC2を使用して、地域外の脅威アクター自身のオペレーションを難読化することが含まれます。

2017年後半から2019年にかけて、イランの反体制派を自称する団体は、イランと中東地域全体でのイランの諜報機関と軍の作戦を暴露するための包括的な取り組みを追求してきた。 これらの取り組みには、Lab Dookhtegan、「Green Leakers」(Afshagaran-e Sabz)、「Black Box」(Resaneh Khabari Jabeh Siah)、「Hidden Reality」(Vaghiyate Penhaan)などのグループが含まれていました。 後者は、請負業者とされるラナ研究所の活動について報告しており、これについては以下で詳しく説明します。 この記事を書いている時点では、Insikt Groupは、これらのグループがイスラム共和国に対して支持していると主張するすべての情報と任務を包括的に裏付けているわけではありません。 これらの組織は、テヘランに対して行動すると主張し、APTグループやイランの諜報機関に対して広範な情報を広めているが、これらのグループの1つ以上が偽情報を実行する目的で設立された可能性も評価している。

Kaspersky Labs published two reports in August and December 2019 possibly linking Russian threat actors with the Rana Institute leak. Based on an analysis of the leaked materials, the infrastructure, and the dedicated website, the reports assessed that threat actors associated with the Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU) were behind the link. However, at the time of this writing, Recorded Future cannot confirm the validity of this assessment.

In another case, Recorded Future reported on the alleged death of a senior member of Iran’s cyber program, Mohammad Hussein Tajik, which was covered in reporting on Iran’s hacker hierarchy and disinformation efforts surrounding the IRGC-IO’s capture of dissident Ruhollah Zam. As of this writing, the information disseminated about Iran’s cyber program to dissidents like Zam has not been corroborated. Zam has repeatedly been the subject of character defamation attacks, as well as being outed by Iranian intelligence as being a victim of their intelligence operations. We assess such activities were presumably undertaken to degrade Zam, and the confidence placed on his sources and methods. Zam’s reporting on Tajik implicated Iran in international cyber operations against the U.S., Saudi Arabia, and Turkey, and also linked it to an operational facility, the Khaybar Center, from where those attacks were allegedly launched. This facility, according to Zam’s accounts, operates like a fusion center with members from Iran’s major intelligence group’s present onsite.

While disinformation efforts emanating from Iran remain a credible threat, we assess that extra-regional actors could also be attempting to misdirect detection and attribution efforts by impersonating Iranian APT groups. We assess this may include using server infrastructure (C2) previously affiliated with Iranian threat actors, such as APT33, APT35, and MuddyWater. We highlighted this as a possible scenario in our December 2019 Operation Gamework report that revealed C2 and malware overlaps with Russian APT BlueAlpha.

諜報機関の政治化

イランの諜報機関によるリークの歴史や、政治化と派閥主義の増大の時期から、イランの安全保障領域は依然として不安定なままであると我々は評価している。

Farsi-language open source reporting highlights how Iran’s MOIS has experienced increased levels of factionalism, which has likely harmed the agency’s ability to secure its scope. Public reporting further indicates that internecine politics has affected multiple layers of the intelligence establishment, pitting the head of the IRGC-IO Hossein Taeb against former MOIS leader Heydar Moslehi and various politicians, including former president Mahmoud Ahmadinejad (2005-2013) and Sadeq Larijani. The IRGC-IO leader is reported to have backed intelligence operations against Iranian political groups that had compromising evidence against the IRGC that specifically depicted cases of corruption.

Under former president Mohammad Khatami (1997-2005), MOIS is purported to have undergone a cull of hardline officers and supporters, which ultimately led to the agency’s retreat from pursuing aggressive international operations and its moderation.¹ Between 1997 and 1998, Supreme Leader Khamenei is reported to have promoted the IRGC’s intelligence mission to that of a directorate. From that point on, the IRGC’s Intelligence directorate commenced executing similar duties to those of MOIS, which we believe contributed to the overlapping efforts to address national security threats.

Under former president Ahmadinejad, MOIS reportedly experienced further instability after the 2009 uprising, with IRGC-led purges against MOIS officers. Public reports also cite how Ahmadinejad attempted to leverage MOIS to accrue kompromat (“compromising material”) against political rivals. Hardliner intentions to undo the Iranian reformism led by Khatami and his predecessor Rafsanjani were accurately captured in an early declaration, “The New Era and Our Responsibilities” (dowlat-e jadid va masooliat-haye ma), authored by leading members of Iran’s hardline and pro-IRGC Ansar Hezbollah. The declaration issued a warning and demanded that the first government of Ahmadinejad prevent MOIS’s continued drift toward Khatami-era changes, and presumably, an Iranian intelligence service less likely to execute ideologically motivated international operations.

MOIS has experienced similar instances of politicization under current President Hassan Rohani (2013-present). Iran’s Intelligence Minister, Mahmoud Alavi, has been blamed for lacking intelligence and security credentials, and has subsequently been the target of politically-motivated attacks instigated by hardline elements. Similar to the Khatami presidency, Rohani commenced his term with a reform-minded agenda, which included moderating MOIS and making it more accountable. Reporting from the BBC suggests Rohani has used the agency in anti-corruption cases, which has further entrenched it in a political dogfight to evict the IRGC and its supporters from commandeering sectors of the Iranian economy.

According to a BBC report, MOIS, on at least three separate occasions, has been outmaneuvered and its rulings rejected by the parallel activities and clout of the IRGC-IO. These reportedly included arresting managers of pro-reformist Telegram Channels, the arrest of members of Rohani’s Joint Comprehensive Plan of Action (JCPOA) negotiations team on espionage charges, and the arrest of environmental activists. Under Rohani, MOIS is reported to have continued to lose its powers to the IRGC-IO within the national security sphere, in particular within the counterintelligence and counter domestic subversion domains.

イランのサイバー幹部への影響

イランの諜報機関における派閥主義のレベルの高まりは、イランのサイバー部隊に影響を与えた可能性が高い。 Insikt Groupは、政治的な内紛の直接的な結果は、これまで公にどちらかの陣営(MOISまたはIRGC)を支援しているイランのサイバーオペレーターにまで波及した可能性が高いと評価している。

例えば、ソーシャルメディアのおしゃべりは、IRGCを支持するイランを拠点とするサイバーオペレーター、例えばArmin Rad(「Ayoub Tightiz」としても知られる)と、Radと彼の支持基盤をしばしば批判してきたMohammad Jorjandiとの間の意見の相違や愚弄に光を当てている。² さらに、米国に拠点を置くとされるジョルジャンディ氏によると、この記事の執筆時点では、Lab Dookhteganに関連するハッキングとリーク作戦は、MOISとIRGCとの間の競争から生まれたとされています。IRGCは、MOISの評判と地位を傷つけるために意図的に情報をリークしています。

Jorjandiの発言を裏付けることはできませんが、Lab Dookhteganが描写したMOISの標的とされるものには、Yashar ShahinzadehなどのAPT34のメンバーが含まれています。 シャヒンザデのソーシャルメディアでの発言を見ると、彼はラドのような親IRGC政権のハッカーに反対し、選挙で選ばれた政府のメンバー、特に情報通信技術大臣のモハンマド・ジャヴァード・ジャフロミを支援しようと試みたことがわかる。 この支援は、主に脆弱な政府データベースの検出に重点を置いています。

今後の展望

イランのサイバーアクターは、主にイランのさまざまな諜報センターに対応するアクターの数が増えているため、アトリビューションの試みをかわし続けることができるユニークな立場にあります。 IRGC-IO、コッズ部隊、MODAFL、MOISのいずれであっても、これらの組織はイランのサイバー能力の最前線に留まり、国際的な攻撃を主導することができます。 公開情報では、これらのエンティティが請負業者のコミュニティを使用して諜報目標を追跡していることも示されており、これは今後もイランのサイバーエコシステムの重要な特徴であり続けると評価しています。

イランのサイバー作戦は、より熟練したサイバー幹部、より効果的なツール、偽情報の作成・配布能力を含む、より強固な運用上のセキュリティ対策により、中東諸国や国際社会全体を急速に標的にし続ける可能性が高い。 イランの治安機関は、イランのディアスポラや少数民族のコミュニティを引き続き標的にする可能性が高く、どちらもテヘランの国内の安定に対する脅威となっている。

軽減策

• 関心のあるステークホルダーは、Red Hat分析やデセプション検出などの構造化された分析手法を活用して、より洗練されたアトリビューションの試みを支援するとともに、サイバー攻撃者による偽情報の取り組みを軽減する必要があります。
• イランの政治情勢に遅れずについていき、諜報活動に影響を与える活動(汚職スキャンダル、権力闘争、ジャーナリストや活動家の逮捕、諜報グループのリーダーの入れ替え、外国の技術の使用、ソーシャルメディアの使用禁止など)を観察します。
• ペルシア語の反体制派の報道は、少数民族グループに対する弾圧、抗議者、外国人や二重国籍者の逮捕に関連する活動を定期的に取り上げている。 これらの情報源は通常、逮捕に関与した諜報機関や軍事組織、そして彼らが主張する動機についての洞察も提供している。
• イランのサイバーオペレーターは、InstagramとTelegramで比較的公的な存在感を維持しています。 これらの公開ソースは、組織の発展、トレーニング、政治的洞察、およびそれらの運用ネットワークについての洞察を提供する場合があります。
• 偽情報の取り組みを防止および軽減するために、ソーシャルメディアや公開されているメッセージングプラットフォームから供給されたイランのサイバー開発を検証し、裏付けることをお勧めします。
• イランのAPTグループのキャンペーン追跡は、TTPに関する洞察を提供するだけでなく、組織の利益についての理解を深めるのに役立つ被害者学も提供します。

編集者注: This post was an excerpt of a full report. To read the entire analysis, ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

脚注

¹S. Chubin, Wither Iran?: Reform, Domestic Politics and National Security, New York, オックスフォード大学出版局, 2002, p. 91.

²https[:]//www.tabnak[.]ir/fa/news/816849