I dag tilskriver Microsofts Digital Threat Analysis Center (DTAC) en nylig påvirkningsoperation rettet mod det satiriske franske magasin Charlie Hebdo til en iransk nation-stat-aktør. Microsoft kalder denne aktør for NEPTUNIUM, som også er blevet identificeret af USA. Justitsministeriet som Emennet Pasargad.
I begyndelsen af januar hævdede en hidtil ukendt online-gruppe, der kaldte sig "Holy Souls", og som vi nu kan identificere som NEPTUNIUM, at de havde fået fat i personlige oplysninger om mere end 200.000 Charlie Hebdo-kunder efter at have "fået adgang til en database." Som bevis frigav Holy Souls et eksempel på dataene, som omfattede et regneark med de fulde navne, telefonnumre og hjemme- og e-mailadresser på konti, der havde abonneret på eller købt merchandise fra publikationen. Disse oplysninger, som den iranske aktør har fået fat i, kan udsætte bladets abonnenter for ekstremistiske organisationers online eller fysiske angreb.
Vi mener, at dette angreb er et svar fra den iranske regering på en tegnekonkurrence, som Charlie Hebdo har afholdt. En måned før Holy Souls gennemførte sit angreb, annoncerede magasinet, at det ville afholde en international konkurrence for tegninger, der "latterliggjorde" den iranske øverste leder Ali Khamenei. Udgaven med de vindende tegninger skulle udkomme i begyndelsen af januar på samme tid som otteårsdagen for et angreb fra to al-Qaeda-inspirerede (AQAP) angribere på magasinets kontorer.
Holy Souls annoncerede cachen med data til salg for 20 BTC (svarende til ca. 340.000 USD på det tidspunkt). Offentliggørelsen af alle de stjålne data - forudsat at hackerne rent faktisk har de data, de hævder at være i besiddelse af – ville i bund og grund være en masse-doxing af læserne af en publikation, der allerede har været udsat for ekstremistiske trusler (2020) og dødbringende terrorangreb (2015). For at de påståede stjålne kundedata ikke skulle blive afvist som opdigtede, var den franske avis Le Monde i stand til at bekræfte rigtigheden af det prøvedokument, der blev offentliggjort af Holy Souls, "med flere ofre for denne lækage".
Efter at Holy Souls havde lagt eksemplet med dataene ud på YouTube og flere hackerfora, blev lækagen forstærket af en koordineret aktion på flere sociale medieplatforme. Denne forstærkningsindsats gjorde brug af et bestemt sæt af påvirkningstaktikker, -teknikker og -procedurer (TTP'er), som DTAC har set før i iranske hack-and-leak påvirkningshandlinger.
Angrebet faldt sammen med kritik af tegningerne fra den iranske regering. Den 4. januar tweeted: den iranske udenrigsminister Hossein Amir-Abdollahian: "Den franske publikations fornærmende og uhøflige handling [...] mod den religiøse og politisk-spirituelle autoritet vil ikke ske [...] uden et svar". Samme dag indkaldte det iranske udenrigsministerium den franske ambassadør i Iran på grund af Charlie Hebdos "fornærmelse". Den 5. januar lukkede Iran det franske institut for forskning i Iran, i det som det iranske udenrigsministerium beskrev som et "første skridt", og sagde, at det ville "forfølge sagen seriøst og træffe de nødvendige foranstaltninger."
Følg Microsoft Security