Trace Id is missing
Преминаване към основното съдържание
Security Insider

Иран е отговорен за атаките срещу Charlie Hebdo

Близък план на планета

Днес Центърът за анализ на цифрови заплахи (DTAC) на Microsoft приписва неотдавнашната операция за оказване на влияние, насочена към сатиричното френско списание Charlie Hebdo, на ирански извършител, насочван от държавата. Microsoft нарича този участник NEPTUNIUM, който е идентифициран и от САЩ. Министерството на правосъдието на САЩ като  Еменнет Пасаргад.

В началото на януари нечувана дотогава онлайн група, наричаща себе си "Свети души", която сега можем да идентифицираме като NEPTUNIUM, обяви че е получила личната информация на повече от 200 000 клиенти на Charlie Hebdo, след като е "получила достъп до база данни." Като доказателство Holy Souls публикува извадка от данните, която включва таблица с пълните имена, телефонните номера, домашните и имейл адресите на акаунтите, които са се абонирали за изданието или са закупили стоки от него. Тази информация, получена от иранско действащо лице, може да изложи абонатите на списанието на риск от онлайн или физическо нападение от страна на екстремистки организации.

Смятаме, че тази атака е отговор на иранското правителство на конкурса за карикатура, проведен от Charlie Hebdo. Месец преди Holy Souls да извършат атаката си, списанието обяви , че ще проведе международен конкурс за карикатури, "осмиващи" иранския върховен лидер Али Хаменей. Изданието с наградените карикатури трябваше да бъде публикувано в началото на януари, за да съвпадне с осма годишнина от атаката на двама нападатели, вдъхновени от Ал Кайда на Арабския полуостров (AQAP), срещу офисите на списанието.

От Holy Souls обявиха кеша с данни за продажба срещу 20 BTC (приблизително 340 000 щатски долара по това време). Публикуването на пълния обем от откраднати данни – ако приемем, че хакерите действително разполагат с данните, които твърдят, че притежават – по същество би представлявало масово облъчване на читателите на издание, което вече е било обект на екстремистки заплахи (2020 г.) и смъртоносни терористични атаки (2015 г.). За да не бъдат отхвърлени като изфабрикувани предполагаемите откраднати данни за клиентите, френският вестник на рекордите Le Monde  успя да провери "с множество жертви на това изтичане" истинността на документа с извадка, публикуван от Светите души.

След като Holy Souls публикуваха примерните данни в YouTube и множество хакерски форуми, изтичането на данни беше засилено чрез съгласувана операция в няколко платформи на социалните медии. При това усилие за усилване е използван конкретен набор от тактики, техники и процедури за влияние (ТТП), на които DTAC е ставал свидетел и преди в ирански операции за влияние, свързани с хакване и изтичане на информация.

Атаката съвпадна с критиките на иранското правителство към карикатурите. На 4 януари външният министър на Иран Хосейн Амир-Абдолахиан написа в Туитър: "Обидното и непочтено действие на френското издание [...] срещу религиозната и политико-духовната власт няма да бъде [...] оставено без отговор." Същия ден Министерството на външните работи на Иран извика посланика на Франция в Иран заради "обидата" на Charlie Hebdo. На 5 януари Иран затвори Френския институт за научни изследвания в Иран, което иранското външно министерство определи като "първа стъпка" и заяви, че ще "продължи сериозно делото и ще предприеме необходимите мерки."

Има няколко елемента на атаката, които са подобни на предишни атаки, извършени от ирански извършители, насочвани от държавата, включително:

  • Личност на хактивист, която твърди, че е автор на кибератаката
  • Твърдения за успешно повреждане на уебсайт
  • изтичане на лични данни онлайн
  • Използване на неавтентични лица в социалните медии, наричани „марионетки“ – акаунти в социалните медии, използващи измислени или откраднати самоличности, за да се прикрие истинският собственик на акаунта с цел измама – твърдейки, че са от държавата, към която е насочен хакерският удар, за да популяризират кибератаката, като използват език с грешки, очевидни за носителите на езика
  • Въплъщаване в авторитетни източници
  • Свързване с новинарски медийни организации

Въпреки че приписването, което правим днес, се основава на по-голям набор от разузнавателни данни, с които разполага екипът на Microsoft DTAC, моделът, който се вижда тук, е типичен за операции, спонсорирани от иранската държава. Тези модели са идентифицирани и в Октомври 2022 г. Нотификацията за частната индустрия (PIN) на ФБР като използвани от свързани с Иран участници за провеждане на операции за влияние в киберпространството.

Кампанията, насочена срещу Charlie Hebdo, е използвала десетки акаунти на френски език на марионетки, за да подсили кампанията и да разпространи антагонистични съобщения. На 4 януари акаунтите, много от които имат малък брой последователи и последователки и са създадени наскоро, започват да публикуват в Twitter критики на карикатурите на Хаменей. Важно е да се отбележи, че преди да се появи каквото и да било съществено съобщение за предполагаемата кибератака, тези акаунти публикуваха идентични скрийншоти на опорочен уебсайт, който включваше съобщение на френски език: "Charlie Hebdo a été piraté" ("Charlie Hebdo беше хакнат").

Няколко часа след като марионетките започнаха да пишат в Туитър, към тях се присъединиха поне два акаунта в социалните мрежи, представящи се за френски авторитети – единият имитираше ръководител на технологична компания, а другият – редактор на Charlie Hebdo. След това тези акаунти – и двата създадени през декември 2022 г. и с малък брой последователи – започнаха да публикуват екранни снимки на изтеклите данни за клиентите на Charlie Hebdo от Holy Souls. Оттогава акаунтите са с преустановен достъп от Twitter.

Фалшив акаунт на редактора на Charlie Hebdo в Twitter, в който са публикувани екранни снимки на изтекли данни за клиенти
Акаунт, представящ се за редактор на Charlie Hebdo, който пише в Twitter за изтичането на данни

Използването на такива акаунти на марионетки е наблюдавано и при други операции, свързани с Иран, включително атака, за която се твърди, че е извършена от Atlas Group, партньор на Hackers of Savior, която е била приписана от ФБР на Иран през 2022 г. По време на Световното първенство по футбол през 2022 г. Atlas Group потвърди , че е "проникнала в инфраструктурите" [sic] и е деформирала израелски спортен уебсайт. В Туитър марионетни акаунти на иврит и имитация на спортен репортер от популярен израелски новинарски канал засилиха атаката. Акаунтът на фалшивия репортер публикува съобщение, че след пътуване до Катар е стигнал до заключението, че израелците не трябва "да пътуват до арабски страни".

Заедно с екранните снимки на изтеклите данни марионетните акаунтите публикуваха нападателни съобщения на френски език, включително: "За мен следващият обект на карикатурите на Charlie трябва да бъдат френски експерти по киберсигурност". Същите акаунти се опитаха да популяризират новината за предполагаемия хакерски пробив, като отговориха с туитове на публикации и журналисти, включително йорданския ежедневник al-Dustour, алжирския Echorouk и репортера на Le Figaro  Жорж Малбруно. Други марионетни акаунти твърдяха, че Charlie Hebfrado работи от името на френското правителство, и казваха, че последното се стреми да отвлече вниманието на обществеността от спирането на трудовите стачки.

Според ФБР една от целите на иранските операции за оказване на влияние е "да се подкопае общественото доверие в сигурността на мрежата и данните на жертвата, както и да се злепоставят компаниите-жертви и целевите държави". Всъщност съобщенията в атаката, насочена срещу Charlie Hebdo, наподобяват тези на други кампании, свързани с Иран, като например тези, заявени от Хакерите на Спасителя – свързана с Иран личност, която през април 2022 г. заяви, че е проникнала в кибернетичната инфраструктура на големи израелски бази данни и публикува съобщение, предупреждаващо израелците: "Не се доверявайте на правителствените си центрове."

Каквото и мнение да се изказва за редакторския избор на Charlie Hebdo, публикуването на лична информация за десетки хиляди негови клиенти представлява сериозна заплаха. Това беше подчертано на 10 януари в предупреждение за "отмъщение" срещу изданието от командира на иранския Корпус на гвардейците на ислямската революция Хосейн Салами, който посочи примера с писателя Салман Рушди, който беше намушкан с нож през 2022 г. Салами добави, “Рушди няма да възкръсне“.

Приписването, която правим днес, се основава на Рамката на DTAC за приписване на авторство.

Microsoft инвестира в проследяване и споделяне на информация за операции за влияние, насочвани от държави, така че клиентите и демокрациите по света да могат да се предпазват от атаки като тази срещу Charlie Hebdo. Ще продължим да публикуваме разузнавателна информация за подобни заплахи, когато открием подобни операции от правителствени и престъпни групи по света.

Матрица за приписване на операции за влияние 1

Диаграма на матрица на операциите за кибервлияние
  1. [1]

    Адаптирано от Памент, Джеймс и Виктория Смит. "Приписване на операции за информационно влияние: Идентифициране на лицата, отговорни за злонамерено поведение в интернет." (2022). https://go.microsoft.com/fwlink/?linkid=2262249

Свързани статии

В защита на Украйна: Първи поуки от кибервойната

Последните констатации в продължаващите ни усилия за разузнаване на заплахите по време на войната между Русия и Украйна, както и поредица от изводи от първите четири месеца на войната, засилват необходимостта от постоянни и нови инвестиции в технологии, данни и партньорства в подкрепа на правителствата, компаниите, неправителствените организации и университетите.

Кибериздръжливост

Microsoft Security извърши проучване с повече от 500 специалисти в областта на защитата, за да разбере възникващите тенденции в защитата и най-сериозните притеснения сред ръководителите на защитата на информацията.

Прозрения от трилиони ежедневни сигнали за сигурност

Експертите по сигурност на Microsoft разкриват съвременния пейзаж на заплахите, като предоставят прозрения за заформящи се тенденции, както и за повтарящи се във времето заплахи.

Следвайте Microsoft Security