מנהל תכנית המחקר צבא ואסטרטגיה במכון למחקרי ביטחון לאומי, גדי סיבוני, פרסם מאמר מטריד סביב חשיפתה בארצות הברית של מערכת ריגול סייבר איראני ארוכת-טווח המעידה על רמת ארגון מבצעי ומודיעיני גבוהה.
מגמתה של מערכת הריגול האיראנית הייתה שאיבת מידע מגורמי מפתח בארצות הברית, ישראל, בריטניה ומדינות אחרות.
לדברי סיבוני אמנם הפרטים שנחשפו אינם מצביעים על שימוש איראני בכלים טכנולוגיים מתקדמים, אך עם זאת הם חושפים את היכולת המבצעית המתפתחת של איראן להוציא לפועל מבצעים מורכבים במרחב הסייבר תוך איסוף מודיעיני והפעלת תשתית מבצעית מורכבת ורחבת היקף.
במאמרו פורס סיבוני את פרטי המתקפה האיראנית שנחשפה בארצות הברית, מתקפה שזכתה לכינוי newscaster והחלה את פעילותה ככל הנראה כבר בשנת 2011. סיבוני מציין כי "בהנחה שמועד זה מדויק הרי שהמתקפה החלה סמוך לחשיפת מתקפת סטקסנט, שפעלה לפגוע בסרקזות באיראן".
על אופן פעילותם של האיראנים במתקפה מפרט סיבוני: התוקפים אספו מודיעין ובנו פרופילים אנושיים באמצעות שימוש ברשתות חברתיות. זאת כדי ליצור מארג מורכב ומתואם של זהויות וירטואליות בעלות קשרים פיקטיביים לגורמי תקשורת, אנשי צבא וממשל אמריקניים, דיפלומטים וחברי קונגרס, קבלני בטחון ועוד.
הפרופילים החברתיים של זהויות פיקטיביות אלו, נוצרו על גבי רשתות חברתיות דוגמת: Facebook, Linkedin, Twitter ו-Google+ ונבנו באופן מעמיק ומפורט תוך מתן תשומת לב ליצירת כיסוי "היסטורי" אמין ומשכנע לדמויות.
התוקפים אף הקימו מערך וירטואלי התומך את סיפורי הרקע של הזהויות וכולל אתר חדשות פיקטיבי תחת השם newsonair.org, אשר בו עובדים לכאורה שש מהזהויות.
לדברי סיבוני "השימוש בזהויות פיקטיביות אינו חדש בעולם הריגול והסייבר. אולם היכולת לייצר מערך זהויות בדויות, הנתמך על ידי מערך תחזוקה וניהול זהויות הפועל לתחזק את הזהות בצורה שתשכנע את הקורבנות לאורך זמן שהזהות הנה זהות חיה ואמתית, מראה על שאיראן שידרגה את יכולות הפעולה המבצעית שלה במרחב הסייבר".
לאחר שנוצרו, סיפר, החלו האיראנים לנהל את הזהויות וליצור קשר עם אישים, אשר נתפסו בעיני התוקפים כמקורבים לממשל וכמקורות פוטנציאלים למידע בעל ערך. "בין המטרות היו בכירי ממשל בהווה ובעבר, עיתונאים, עובדי מכוני מחקר ואנשי תעשיות ביטחוניות. יצירת הקשר ובניית האמון עם המטרות נעשתה באופן סבלני ומתוחכם תוך שימוש במעגלים החברתיים של הקורבנות וניצול יעיל של הפלטפורמות השונות שמציעות הרשתות החברתיות. המטרה הייתה לייצר אמון שיספיק כדי לאפשר משלוח דואר אלקטרוני הכולל קוד זדוני. ואכן, כאשר הצליחו התוקפים לבסס מידה מספקת של אמון בין הקורבן לבין הזהויות הווירטואליות הם הוציאו אל הפועל את המתקפה ושלחו הודעות דואר אלקטרוני הכוללות קוד שהתקין עצמו על מחשב הקורבן או על קישורים לדפי מידע הדורשים הזנת פרטים אישיים ומעבירים אותם לתוקפים".
סיבוני מציין כי על-פי המידע שנחשף הצליחו התוקפים לייצר רשת הכוללת יותר מ-2000 בני אדם, בהם מאות "יעדי איכות". במידע שנחשף לא צוין סוג המידע שנגנב ואלו אישים ומוסדות נפלו ברשת, אך מהזהות הכללית של היעדים ניתן ללמוד כי התוקפים חיפשו אחר מידע רגיש הנוגע לטכנולוגיות ביטחוניות ולפעילות הצבאית והדיפלומטית של ארצות הברית, בריטניה, ישראל וערב הסעודית. לדבריו החיפוש אחר מידע מסוג זה, מעיד על אופייה הפוליטי-מדיני של המתקפה וכי ככל הנראה אין מדובר בפשיעת סייבר או בריגול תעשייתי שגרתי.
"החשיפה הנוכחית מצטרפת לרשימה ארוכה של פעולות במרחב הסייבר, המיוחסות לאיראן ואשר מטרתן לפגוע בארצות הברית, בישראל ובמדינות מערביות נוספות. אף שהחשיפה הזו אינה מצביעה על קפיצת מדרגה טכנולוגית ייחודית ביכולת לוחמת הסייבר האיראניות, היא מעידה על רמת ארגון מבצעי ומודיעיני גבוהה ועל קיומם של יעדים אסטרטגיים ארוכי טווח לאיראן בשנים האחרונות", חותם סיבוני את מאמרו.