בפרק בן 134 עמודים הקרוי ״איומים ממדינות לאום״, מצייני חוקרי מיקרוסופט כי המטרות העיקריות של תקיפות סייבר על ידי קבוצות ממדינות לאום הנן ריגול ואיסוף מודיעין, באחוזים גבוהים בהרבה מהמטרה השלישית ברשימה, שעיקרה יצירת שיבושים וזריעת הרס. זאת למעט מדינה אחת חריגה – איראן.
בדו"ח שהובא באתר israeldefense, נכתב: ״איראן היא שחקנית הלאום היחידה שעסקה באופן קבוע במתקפות הרסניות, בעיקר נגד ישראל. מתקפות הסייבר הללו כבר התרחשו באווירה במסגרתה שתי המדינות כבר החליפו מהלומות והיו במרחק קצר ממתקפה צבאית, כולל מתקפות הדדיות על ספינות מטען״, נכתב בדו״ח. ״כשהמתיחות נמצאת ברמה כה גבוהה, ההחלטה להשתמש בסייבר לזריעת הרס היוותה זינוק אסטרטגי קטן יותר עבור איראן מאשר הייתה מהווה למדינות כמו קוריאה הצפונית, רוסיה או סין״.
בדומה למחקרים נוספים מובילים נוספים שנערכים בתקופה האחרונה, גם מיקרוסופט מזהה את איום מתקפות הכופרה כמרכזי והמשמעותי ביותר מקרב כל איומי הסייבר, וגם כאן לא נפקד מקומן של ישראל ואיראן. ״ככל שהמלחמה הסמויה בין איראן לישראל הסלימה, שחקני סייבר התקפיים איראניים הגדילו את תשומת הלב שהוענקה לישראל והביאו עמם את כלי הנשק החדש – מתקפות כופר״, נכתב בדו״ח. ״מיקרוסופט זיהתה מיקוד גובר ממספר גובר של קבוצות איראניות המטרגטות את ישראל מאז חודש נובמבר, ויחד עם זה הגיעה שורה של מתקפות כופר״.
הדו״ח מציין באופן מיוחד קבוצה שלדעת החוקרים פועלת מאיראן וזכתה לכינוי רובידיום (RUBIDIUM), ש״כנראה ביצעה את מתקפות Pay2Key ן-N3twOrm, קמפיינים שכוונו כמעט אך ורק לישראל בסוף שנת 2020 ותחילת 2021, בהתאמה. אלמנט נפוץ של הקמפיינים של תוכנת הכופר של רובידיום הייתה טרגוט של חברות לוגיסטיקה ישראליות המערבות תחבורה ימית. מטרות אלה מצביעות על קישור למטרה הנרחבת יותר של טהרן, נקמה על לחץ ישראלי״.
ישראל אינה הקורבן היחיד: בדו״ח מצוין כי איראן ביצעה לפחות מתקפת כופר אחת נגד מדינת מפרץ יריבה. לא ברור האם האיראנים משתמשים במתקפות הכופרה עבור רווח כלכלי, כתבו החוקרים, אך הוסיפו שלפחות בפעם אחת השתמשו בה ככיסוי למתקפה הרסנית, כששתלו תוכנת wiper במחשבי חברה, במהלך מתקפה שהוסוותה ככופר.
יצוין, כי ישראל לא מופיעה במחקר רק כקורבן, אלא גם כמדינה המארחת שחקנים תוקפניים. מיקרוסופט מציינת כי במסגרת מאמציה להגן על לקוחותיה משחקנים התקפיים במגזר הפרטי (PSOA, ר״ת של private sector offensive actors), הצטרפה בסוף 2020 כידידת בית המשפט להליך המשפטי של וואטסאפ נגד חברת NSO (יחד עם סיסקו, גוגל, לינקדאין וחברות נוספות), על מנת ״לעודד את בית המשפט לדחות את עמדת NSO לפיה היא אינה אחראית לשימוש שעושות ממשלות במוצרים שלה למטרת מעקב וריגול״.
בנוסף, נכתב בדו״ח כי מיקרוסופט עבדה יחד סיטיזן לאב להשבית ״תכנת PSOA המבוססת בישראל שכינינו SOURGUM, וסיטיזן לאב זיהתה כקנדירו״. על פי מיקרוסופט, קנדירו ״פיתחה ושיווקה חבילות פריצה כשירות (Hacking-as-a-Service) שנמכרו לממשלות ולשחקנים זדוניים אחרים. הנוזקה שימשה על מנת לטרגט יותר ממאה קורבנות ברחבי העולם כולל פוליטיקאים, פעילי זכויות אדם, עיתונאים, אנשי אקדמיה, עובדי שגרירות ומתנגדים פוליטיים.
״על חברות פרטיות לשאת באחריות כאשר הן משתמשות בכלי מעקב הסייבר שלהן על מנת להפר את החוק, או כאשר הן מתירות ביודעין פעולות כאלה, ללא קשר למי הלקוחות או מהי המטרה. מיקרוסופט תמשיך לזהות, לעקוב ולהגן על לקוחותינו ועל המערכת הדיגיטלית העולמית מהמתקפות חסרות האבחנה הנגרמות על ידי טכנולוגיות PSOA״.