Tänään Microsoftin Digital Threat Analysis Center (DTAC) laskee ranskalaiseen Charlie Hebdo -lehteen kohdistuneen viimeaikaisen vaikuttamisoperaation iranilaisen kansallisvaltiotoimijan tekemäksi. Microsoft on nimennyt toimijan NEPTUNIUMiksi, joka on myös tunnistettu Yhdysvaltojen oikeusministeriön toimesta Emennet Pasargadiksi.
Tammikuun alussa aiemmin tuntematon verkkoryhmä nimeltä Holy Souls, joka on nyt tunnistettu NEPTUNIUMiksi, väitti saaneensa haltuunsa yli 200 000 Charlie Hebdo -asiakkaan henkilökohtaiset tiedot "saatuaan pääsyn tietokantaan". Todisteena Holy Souls julkaisi tiedoista näytteen, joka sisälsi laskentataulukon, jossa oli sellaisten tilien koko nimet, puhelinnumerot sekä koti- ja sähköpostiosoitteet, jotka olivat tilanneet julkaisun tai ostaneet siltä tuotteita. Iranilaisen toimijan haltuunsa saamat tiedot voisivat altistaa lehden tilaajat äärijärjestöjen kohdentamiselle verkossa tai fyysisessä maailmassa.
Uskomme tämän hyökkäyksen olevan Iranin valtion vastaus Charlie Hebdon järjestämään sarjakuvakilpailuun. Kuukautta ennen Holy Soulsin hyökkäystä lehti ilmoitti , että se järjestää kansainvälisen kilpailun sarjakuville, jotka "pilkkaavat" Iranin ylintä johtajaa, Ali Khemeneita. Kilpailun voittaneita sarjakuvia esittelevän julkaisun piti ilmestyä tammikuun alussa, mikä osuu samalle ajankohdalle kahden AQAP:n inspiroiman hyökkääjän lehden toimipisteeseen tekemien iskujen kahdeksannen vuosipäivän kanssa.
Holy Souls mainosti tietojen välimuistin myyntiä 20 bitcoinin hintaan (siihen aikaan noin 340 000 USD). Varastettujen tietojen täyden välimuistin julkaiseminen – olettaen, että hakkereilla todella on tiedot hallussaan – tarkoittaisi käytännössä sellaisen julkaisun lukijoiden tietojen joukkodoksausta, joka on jo ollut äärijärjestöjen uhkailun (2020) ja kuolonuhreja vaatineiden terroristihyökkäysten (2015) kohteena. Jotta varastetuiksi väitettyjä asiakastietoja ei ohitettaisi väärennettyinä, ranskalainen sanomalehti Le Monde onnistui vahvistamaan "vuodon usean uhrin avulla" Holy Soulsin julkaiseman malliasiakirjan aitouden.
Sen jälkeen kun Holy Souls oli julkaissut mallitiedot YouTubessa ja usealla hakkeripalstalla, vuotoa tehostettiin järjestetyllä toiminnalla eri sosiaalisen median ympäristöissä. Tehostamistoiminnassa hyödynnettiin tiettyjä vaikuttamisen taktiikoita, tekniikoita ja menetelmiä (TTP), jotka DTAC on havainnut ennenkin iranilaisten suorittamissa hakkeroi ja vuoda -vaikuttamisoperaatioissa.
Hyökkäys tapahtui samaan aikaan Iranin valtion sarjakuviin kohdistuneen kritiikin kanssa. Tammikuun 4. päivänä Iranin ulkoministeri, Hossein Amir-Abdollahian, twiittasi: "Ranskalaisen julkaisun loukkaava ja törkeä toiminta […] uskonnollista ja poliittishengellistä johtohahmoa vastaan ei tule […] jäämään ilman vastatoimia". Samana päivänä Iranin ulkoministeriö kutsui Ranskan Iranin-suurlähettilään käsittelemään Charlie Hebdon "loukkausta". Tammikuun 5. päivänä Iran sulki Ranskan tutkimusinstituutin Iranissa. Iranin ulkoministeriö kuvaili tapausta "ensiaskeleeksi" ja sanoi "vakavasti tutkivansa tapausta ja ryhtyvänsä tarvittaviin toimiin".
Seuraa Microsoft Securitya