Trace Id is missing
Přeskočit na hlavní obsah
Security Insider

Írán zodpovědný za útoky na Charlie Hebdo

Sdílet
Detailní záběr planety

Centrum Digital Threat Analysis Center (DTAC) společnosti Microsoft připisuje nedávnou operaci ovlivňování, která cílila na francouzský satirický časopis Charlie Hebdo, íránskému státnímu aktérovi. Microsoft tohoto aktéra hrozeb který byl identifikován i americkou policií, označuje jako NEPTUNIUM. Ministerstvo spravedlnosti jako  Emennet Pasargad.

Na začátku ledna dosud neznámá internetová skupina, která si říká „Holy Souls“" a kterou můžeme nyní identifikovat jako NEPTUNIUM, prohlásila, že získala osobní údaje více než 200 000 zákazníků časopisu Charlie Hebdo poté, co „získala přístup do databáze“. Jako důkaz zveřejnila skupina „Holy Souls“ vzorek dat, který zahrnoval tabulku s úplnými jmény, telefonními čísly a poštovními a e-mailovými adresami účtů, které si tuto publikaci předplatily nebo si u ní zakoupily nějaké zboží. Tyto informace získané íránským aktérem hrozeb by mohly vystavit předplatitele časopisu riziku online nebo fyzického napadení ze strany extremistických organizací.

Domníváme se, že tento útok je reakcí íránské vlády na soutěž karikatur časopisu Charlie Hebdo. Měsíc před útokem skupiny „Holy Souls“ tento časopis oznámil, že uspořádá mezinárodní soutěž o karikatury „zesměšňující“ íránského nejvyššího vůdce Alího Chameneího. Číslo s vítěznými karikaturami mělo vyjít začátkem ledna, tedy v době osmého výročí útoku dvou útočníků inspirovaných hnutím Al-Káida na Arabském poloostrově (AQAP) na redakci časopisu.

Skupina „Holy Souls“ nabízela celý soubor dat k prodeji za 20 bitcoinů (což v té době odpovídalo zhruba 340 000 USD). Zveřejnění celého souboru těchto ukradených dat – za předpokladu, že hackeři skutečně mají data, o kterých tvrdí, že je mají – by v podstatě znamenalo hromadný doxing čtenářů publikace, která už byla vystavena hrozbám extrémistů (2020) a smrtelným teroristických útokům (2015). Aby tyto údajně ukradené údaje o zákaznících nebyly považovány za smyšlené, francouzský deník Le Monde mohl ověřit u několika obětí tohoto úniku pravdivost ukázkového dokumentu, který zveřejnila skupina „Holy Souls“.

Poté, co skupina „Holy Souls“ zveřejnila tato ukázková data na YouTube a několika hackerských fórech, byly informace o úniku dat zesíleny koordinovanou operací na několika platformách sociálních médií. Tato snaha o zesílení využívala zvláštní soubor taktik, technik a postupů ovlivňování (TTP), které centrum DTAC už dříve zaznamenalo při íránských operací ovlivňování využívajících metodu napadení a úniku dat.

Útok se časově shodoval s kritikou karikatur ze strany íránské vlády. 4. ledna íránský publikoval ministr zahraničí Hossein Amir-Abdollahian příspěvek na Twitteru: „Urážlivé a nezdvořilé jednání francouzské publikace [...] proti náboženské a politicko-duchovní autoritě nezůstane [...] bez odezvy.“ Stejného dne si íránské ministerstvo zahraničí předvolalo francouzského velvyslance v Íránu kvůli „urážce“ časopisu Charlie Hebdo. 5. ledna Írán uzavřel Francouzský institut pro výzkum v Íránu, což íránské ministerstvo zahraničí označilo za „první krok“, a uvedlo, že se bude případem „vážně zabývat a přijme potřebná opatření“.

Útok měl několik rysů, které připomínají předchozí útoky íránských státních aktérů:

  • Osoba hacktivisty hlásícího se ke kybernetickému útoku
  • Tvrzení o úspěšném poškození webu
  • Únik soukromých údajů na internetu
  • Používání neautentických „loutkových“ osob na sociálních sítích (účtů na sociálních sítích, které používají smyšlenou nebo odcizenou identitu, aby zastřely skutečného majitele účtu za účelem podvodu), které a tvrdí, že jsou ze země, na kterou hacker cílí, aby propagovaly kybernetický útok a používají jazyk s chybami, které jsou rodilým mluvčím zřejmé.
  • Vydávání se za autoritativní zdroje
  • Kontaktování zpravodajských agentur

Přestože toto připsání útoku vychází z rozsáhlejšího souboru zpravodajských informací, které má tým DTAC společnosti Microsoft k dispozici, vzorec, který tu vidíme, je typický pro operace sponzorované íránským státem. Tyto vzorce byly identifikovány také v oznámení Private Industry Notification (PIN) z října 2022 od FBI jako vzorce, které používají aktéři napojení na Írán k provádění operací kybernetického ovlivňování.

Kampaň namířená proti časopisu Charlie Hebdo využívala desítky loutkových účtů ve francouzštině, které ji posilovaly a rozšiřovaly antagonistické zprávy. 4. ledna začaly tyto účty, z nichž mnohé mají nízký počet sledujících a sledovaných uživatelů a byly založeny nedávno, zveřejňovat na Twitteru kritiku Chameneího karikatur. Důležité je, že ještě předtím, než se o údajném kybernetickém útoku objevily nějaké zásadní zprávy, publikovaly tyto účty identické screenshoty poškozeného webu, které obsahovaly zprávu ve francouzštině: „Charlie Hebdo a été piraté“ (Charlie Hebdo byl napaden hackery“).

Několik hodin poté, co tyto loutkové účty začaly tweetovat, se k nim přidaly nejméně dva účty na sociálních sítích, které se vydávaly za francouzské autority – jeden imitoval manažera z technologické oblasti a druhý redaktora časopisu Charlie Hebdo. Tyto účty – oba vytvořené v prosinci 2022 a s nízkým počtem sledujících – pak začaly publikovat screenshoty s uniklými údaji o zákaznících časopisu Charlie Hebdo od skupiny „Holy Souls“. Twitter následnětyto účty pozastavil.

Falešný twitterový účet redaktora časopisu Charlie Hebdo se screenshoty uniklých údajů o zákaznících
Účet, který se vydává za redaktora časopisu Charlie Hebdo a publikuje tweety o úniku informací

Používání takových „loutkových“ účtů bylo zaznamenáno i při dalších operacích spojených s Íránem, včetně útoku, ke kterému se přihlásila skupina Atlas Group, partner skupiny Hackers of Savior, a který FBI v roce 2022  přisoudila Íránu . Během fotbalového mistrovství světa v roce 2022 skupina Atlas Group prohlásila, že „pronikla do infrastruktury“ a poškodila izraelský sportovní web. Na Twitteru informace o tomto útoku zesilovaly „loutkové“ účty v hebrejštině a účet, který se vydával za sportovního reportéra populárního izraelského zpravodajského kanálu. Tento falešný novinářský účet napsal, že po cestě do Kataru dospěl k závěru, že Izraelci by „neměli cestovat do arabských zemí“.

Spolu se screenshoty s uniklými údaji zveřejnily tyto „loutkové“ účty zesměšňující zprávy ve francouzštině, včetně této: „Podle mě by se dalším tématem Charlieho karikatur měli stát francouzští experti na kybernetickou bezpečnost.“ Stejné účty se také snažily podpořit zprávu o údajném hackerském útoku tím, že na Twitteru reagovaly na publikace a novináře, včetně jordánského deníku al-Dustour, alžírského webu Echorouk a reportéra deníku Le Figaro Georgese Malbrunota. Jiné „loutkové“ účty tvrdily, že Charlie Hebdo pracuje jménem francouzské vlády, a uváděly, že ta se snaží odvrátit pozornost veřejnosti od stávek.

Podle FBI je jedním z cílů íránských operací ovlivňování „podkopat důvěru veřejnosti v zabezpečení sítě a dat obětí a zostudit firmy obětí a cílové země“. Texty týkající se útoku na časopis Charlie Hebdo se totiž podobají jiným kampaním spojeným s Íránem, například těm, ke kterým se přihlásila skupina Hackers of Savior spojená s Íránem, která v dubnu 2022 prohlásila, že pronikla do kybernetické infrastruktury hlavních izraelských databází, a publikovala zprávu varující Izraelce: „Nedůvěřujte svým vládním centrům.

Ať už si o vkusu redakce časopisu Charlie Hebdo myslíte cokoli, zveřejnění osobních údajů o desítkách tisíc jeho zákazníků představuje vážnou hrozbu. To zdůraznil 10. ledna velitel íránských Islámských revolučních gard Hosejn Salámí, který varoval před „pomstou“ vedenou proti této publikaci a poukázal na příklad spisovatele Salmana Rushdieho, který byl v roce 2022 pobodán. Salámí dodal, že „Rushdie se už nevrátí“.

Připisování autorství, která dnes děláme, vychází z modelu DTAC pro připisování autorství.

Microsoft investuje do sledování a sdílení informací o operacích ovlivňování ze strany státních aktérů, aby se zákazníci a demokracie po celém světě mohli chránit před útoky, jako byl ten na časopis Charlie Hebdo. Informace, jako jsou tyto, budeme zveřejňovat i nadále, když zaznamenáme podobné operace vládních a zločineckých skupin po celém světě.

Atribuční matice operací ovlivňování 1

Přehled operací kybernetického ovlivňování

Související články

Obrana Ukrajiny: První lekce z kybernetické války

Nejnovější poznatky v rámci naší přetrvávající snahy o analýzu hrozeb ve válce mezi Ruskem a Ukrajinou spolu se závěry z prvních čtyř měsíců války posilují potřebu nových investic do technologie, dat a spolupráce s cílem podpořit vlády, firmy, nestátní neziskové organizace a univerzity.
Další informace

Kybernetická odolnost

Tým Zabezpečení od Microsoftu provedl průzkum mezi více než 500 odborníky na zabezpečení, aby pochopil nové trendy v zabezpečení a hlavní obavy ředitelů zabezpečení informací (CISO).
Další informace

Přehled z bilionů signálů zabezpečení každý den

Experti Microsoftu na zabezpečení osvětlují současnou situaci ohledně hrozeb a přinášejí informace o nově vznikajících trendech i historicky přetrvávajících hrozbách.
Další informace

Sledujte zabezpečení od Microsoftu