Trace Id is missing

Iraan vastutab Charlie Hebdo rünnakute eest

Lähivõte planeedist

Täna omistab Microsofti digitaalne ohuanalüüsi keskus (DTAC) hiljutise mõjuoperatsiooni, mis oli suunatud satiirilisele Prantsuse ajakirjale Charlie Hebdo, Iraani riiklikult mahitatud küberohustajale. Microsoft andis sellele küberohustajale nime NEPTUNIUM, mille on sama nimega tuvastanud ka USA. Justiitsministeerium kui  Emennet Pasargad.

Jaanuari alguses väitis ennast nimega Holy Souls ehk Pühadeks hingedeks kutsuv ja nüüdseks avalikku nime NEPTUNIUM kandev veebirühmitus, et nende valduses on enam kui 200 000 Charlie Hebdo kliendi isikuandmed pärast seda, kui rühmitus oli kätte saanud juurdepääsu andmebaasile. Tõestuseks avaldas Holy Souls näidise andmetestandmetabeli näol, mis sisaldas väljaande tellinud või sellelt kaupu ostnud kontode täisnimesid, telefoninumbreid ning kodu- ja meiliaadresse. Iraani küberohustajate kätte sattunud teave seadis potentsiaalsesse ohtu ajakirja tellijad, muutes nad äärmusorganisatsioonide veebipõhiste või koguni füüsiliste rünnete sihtmärgiks.

Usume, et see rünnak on Iraani valitsuse vastus Charlie Hebdo läbiviidud karikatuurivõistlusele. Kuu aega enne Holy Soulsi rünnakut teatas ajakiri, et korraldab rahvusvahelise konkursi karikatuuridele, mis naeruvääristaksid Iraani režiimi juhti Ali Khameneid. Karikatuuride võidutöödega väljaanne pidi ilmuma jaanuari alguses, mis langes kokku ajakirja kontoritele suunatud kahe Al-Qaida Araabia poolsaarelt (AQAP) pärit terroristi ründe kaheksanda aastapäevaga .

Holy Souls pani andmete vahemälu müüki 20 BTC eest (mis oli tol ajal umbes 340 000 USA dollarit). Varastatud andmetega täieliku vahemälu avaldamine (eeldusel, et häkkerite käes on ka tegelikult väidetavad andmed) kujutaks endast sisuliselt juba äärmuslike ähvarduste (2020) ja ohvriterohkete terrorirünnakute (2015) ohvriks langenud väljaande lugejaskonna massilist andmete doksimist. Et väidetavalt varastatud kliendiandmeid väljamõeldisena ümber lükata ei saaks, suutis Prantsuse andmeleht Le Mond kontrollida Holy Soulsi avaldatud näidisdokumendi õigsust selles lekkes avaldatud mitme ohvri admetega.

Pärast seda, kui Holy Souls postitas näidisandmed YouTube’i ja mitmesse häkkerite foorumisse, võimendas leket üle mitme suhtlusvõrguplatvormi kooskõlastatud operatsioon. See võimendamine kasutas teatud mõjutaktikate, -tehnikate ja -protseduuride kogumit, mida DTAC on ka varem Iraani häkkimise ja lekitamise mõjutamisoperatsioonide puhul täheldanud.

Rünnak langes kokku Iraani valitsuse karikatuuride kriitikaga. 4. jaanuaril säutsus Iraani välisminister Hossein Amir-Abdollahian Twitteris: „Prantsuse väljaande solvav ja ebaviisakas tegevus religioosse ja poliitilis-vaimse autoriteedi vastu ei jää […] vastuseta.“ Samal päeval kutsus Iraani välisministeerium Charlie Hebdo „solvangute“ tõttu vaibale Prantsusmaa suursaadiku Iraanis. 5. jaanuaril sulges Iraan Prantsuse Uurimisinstituudi Iraanis. Sellele tegevusele viitas Iraani välisministeerium kui „esimest sammu“, ja teatas, et „tegeleb antud juhtumiga täies mahus edasi ja võtab kasutusele vajalikke meetmeid“.

Ründel on mitu elementi, mis sarnanevad Iraani riiklikult mahitatud küberohustajate tegevusele, sealhulgas:

  • Häktivist, kes nõuab küberründe eest tasu
  • Väited veebisaidi eduka rikkumise kohta
  • Privaatsete andmete lekkimine Internetis
  • Ebaautentsete sotsiaalmeedia libaisikute kasutamine – suhtlusvõrgukontod, mis kasutavad fiktiivseid või varastatud identiteete, et varjata konto tegelikku omanikku pettuse eesmärgil –, mille puhul väidetakse, et nad on pärit häkkimise ohvriks sattunud isiku koduriigist, kasutades selle riigi keelt emakeelena kõnelejale ilmselgelt nähtavate vigadega keelt
  • Autoriteetsete allikate abil teesklemine
  • Uudistemeedia organisatsioonidega ühenduse võtmine

Kuigi täna tehtav järeldus põhineb Microsofti DTAC-i meeskonnale kättesaadavatel mahukatel luureandmetel, on siin nähtud muster tüüpiline Iraani riiklikult toetatud operatsioonidele. Neid mustreid on tuvastatud ka FBI 2022. aasta oktoobri erasektori teatises (PIN) , mida Iraaniga seotud küberohustajad kasutasid kübermõjutusoperatsioonide läbiviimiseks.

Charlie Hebdo vastu suunatud ründekampaania kasutas tegevuse võimendamiseks ja antagonistlike sõnumite levitamiseks kümneid prantsuskeelseid libakontosid. 4. jaanuaril hakati vastloodud kontodel, millest paljudel oli madal jälgijate ja vastujälgijate arv, postitama Twitterisse kriitikat Khamenei karikatuuride kohta. Ülioluline on märkida, et enne, kui väidetava küberründe kohta sisuliselt teatati, postitasid need kontod identseid kuvatõmmiseid rikutud veebisaidist, mis sisaldas prantsuskeelset sõnumit: “Charlie Hebdo a été piraté“ („Charlie Hebdo on häkkerite ründe ohver“).

Mõni tund pärast seda, kui libaisikud säutsuma hakkasid, liitusid nendega vähemalt kaks suhtlusvõrgukontot, mis kehastasid Prantsuse autoriteete – üks imiteeris tehnoloogiajuhti ja teine ​​Charlie Hebdo toimetajat. Need kontod, mis mõlemad loodi 2022. aasta detsembris ja mille jälgijate arv oli madal, hakkasid seejärel postitama Holy Soulsilt saadud Charlie Hebdo lekkinud kliendiandmete kuvatõmmiseid. Pärast seda on Twitter need kontod peatanud.

Libakasutaja, kes võttis kasutusele Charlie Hebdo toimetaja Twitteri konto, postitades kuvatõmmiseid lekkinud kliendiandmetega
Konto, mille omanik kehastab Charlie Hebdo toimetajat ja säutsub lekete kohta

Selliste libakontode kasutamist on täheldatud ka teistes Iraaniga seotud operatsioonides, sealhulgas ründes, mille eest võttis vastutuse ettevõtte Hackers of Saviour partner Atlas Group, mille FBI omistas Iraanile 2022. aastal. 2022. aasta jalgpalli maailmameistrivõistluste ajal väitis Atlas Group, et on „tunginud taristutesse“ [sic] ja kaaperdanud Iisraeli spordiveebi. Rünnet võimendasid Twitteris heebreakeelsed libakontod ja Iisraeli populaarse uudistekanali spordireporteri matkimine. Võltsreporteri kontol oli kirjas, et pärast Katari reisimist jõudis ta järeldusele, et iisraellased „ei tohiks Araabia riikidesse reisida“.

Koos lekkinud andmeid kujutavate kuvatõmmistega postitasid libakontod prantsuse keeles mõnitavaid sõnumeid , näiteks see säuts: „Minu meelest peaksid Charlie karikatuuride järgmiseks teemaks olema Prantsuse küberturbeeksperdid.“ Neid samu kontosid nähti ka püüdes suurendada uudiseid väidetavast häkkimisest, vastates säutsudes väljaannetele ja ajakirjanikele, sealhulgas Jordaania päevalehele al-Dustour, Alžeeria Echoroukile ja Le Figaro reporterile Georges Malbrunot’le. Teised libakontod väitsid, et Charlie Hebfrado töötas Prantsuse valitsuse nimel, ja väitsid, et viimane üritas avalikkuse tähelepanu tööseisakutelt kõrvale juhtida.

FBI sõnulon Iraani mõjuoperatsioonide üks eesmärk õõnestada üldsuse usaldust ohvrite võrgu ja andmete turvalisuse vastu, samuti häbistada ohvriks sattunud ettevõtteid ja sihikule võetud riike. Tõepoolest, Charlie Hebdo vastu suunatud ründe sõnum sarnaneb teiste Iraaniga seotud kampaaniate sõnumitega, nagu need, mille eest võttis vastutuse Hackers of Saviour (Iraaniga seotud organ), kes 2022. aasta aprillis väitis end tungivat suurte Iisraeli andmebaaside kübertaristusse ja avaldas iisraellastele suunatud hoiatussõnumii: „Ärge usaldage oma valitsuskeskusi.

Vahet pole, mida keegi Charlie Hebdo toimetajavalikutest arvata võib, kujutab kümnete tuhandete klientide kohta isiku tuvastamist võimaldava teabe avaldamine tõsist ohtu. Seda rõhutati 10. jaanuaril hoiatuses „kättemaksu“ eest Iraani islami revolutsioonilise kaardiväe ülema Hossein Salami avaldatud väljaande vastu, kes tõi enda eeskujuks 2022. aastal pussitatud kirjanikku Salman Rushdie’d. Salami lisas: „Rushdie ei tule tagasi.”

Täna tehtav järeldus põhineb DTAC-i atributsioooniraamistikul.

Microsoft investeerib riiklikult mahitatud mõjutusoperatsioonide jälgimisse ja teabe jagamisse, et kliendid ja demokraatlikud jõud kogu maailmas saaksid end kaitsta sarnaste rünnete eest, nagu seda oli Charlie Hebdo vastu suunatud rünne. Jätkame sedatüüpi luureandmete avaldamist, kui näeme sarnaseid valitsuste või kuritegelike rühmituste korraldatud operatsioone kogu maailmas.

Mõjuoperatsiooni atributsiooonimaatriks 1

Kübermõjuoperatsioonide diagramm-maatriks

Seotud artiklid

Ukraina kaitsmine: kübersõja esimesed õppetunnid

Meie jätkuva ohuanalüüsi uusimad leiud Venemaa ja Ukraina vahelisest sõjast ning sõja esimesest neljast kuust tehtud järeldused kinnitavad, kui oluline on järjekindlalt investeerida tehnoloogiasse, andmetesse ja partnerlustesse, mis toetavad riigiasutusi, ettevõtteid, valitsusväliseid organisatsioone ja ülikoole.

Kübervastupidavusvõime

Microsofti turbeteenuse meeskond küsitles enam kui 500 turbespetsialisti, et paremini mõista infoturbejuhtide hulgas levivaid turbetrende ja nende peamisi murekohti.

Triljonite igapäevaste turbesignaalide põhjal koostatud ülevaated

Microsofti turbeeksperdid heidavad valgust tänasele ohumaastikule, pakkudes ülevaadet nii esilekerkivatest trendidest kui ka ajaloolistest püsiohtudest.

Jälgige Microsofti turbeteenust