Trace Id is missing

Iran vastuussa Charlie Hebdo -hyökkäyksistä

Lähikuva planeetasta

Tänään Microsoftin Digital Threat Analysis Center (DTAC) laskee ranskalaiseen Charlie Hebdo -lehteen kohdistuneen viimeaikaisen vaikuttamisoperaation iranilaisen kansallisvaltiotoimijan tekemäksi. Microsoft on nimennyt toimijan NEPTUNIUMiksi, joka on myös tunnistettu Yhdysvaltojen oikeusministeriön toimesta  Emennet Pasargadiksi.

Tammikuun alussa aiemmin tuntematon verkkoryhmä nimeltä Holy Souls, joka on nyt tunnistettu NEPTUNIUMiksi, väitti saaneensa haltuunsa yli 200 000 Charlie Hebdo -asiakkaan henkilökohtaiset tiedot "saatuaan pääsyn tietokantaan". Todisteena Holy Souls julkaisi tiedoista näytteen, joka sisälsi laskentataulukon, jossa oli sellaisten tilien koko nimet, puhelinnumerot sekä koti- ja sähköpostiosoitteet, jotka olivat tilanneet julkaisun tai ostaneet siltä tuotteita. Iranilaisen toimijan haltuunsa saamat tiedot voisivat altistaa lehden tilaajat äärijärjestöjen kohdentamiselle verkossa tai fyysisessä maailmassa.

Uskomme tämän hyökkäyksen olevan Iranin valtion vastaus Charlie Hebdon järjestämään sarjakuvakilpailuun. Kuukautta ennen Holy Soulsin hyökkäystä lehti ilmoitti , että se järjestää kansainvälisen kilpailun sarjakuville, jotka "pilkkaavat" Iranin ylintä johtajaa, Ali Khemeneita. Kilpailun voittaneita sarjakuvia esittelevän julkaisun piti ilmestyä tammikuun alussa, mikä osuu samalle ajankohdalle kahden AQAP:n inspiroiman hyökkääjän lehden toimipisteeseen tekemien iskujen kahdeksannen vuosipäivän kanssa.

Holy Souls mainosti tietojen välimuistin myyntiä 20 bitcoinin hintaan (siihen aikaan noin 340 000 USD). Varastettujen tietojen täyden välimuistin julkaiseminen – olettaen, että hakkereilla todella on tiedot hallussaan – tarkoittaisi käytännössä sellaisen julkaisun lukijoiden tietojen joukkodoksausta, joka on jo ollut äärijärjestöjen uhkailun (2020) ja kuolonuhreja vaatineiden terroristihyökkäysten (2015) kohteena. Jotta varastetuiksi väitettyjä asiakastietoja ei ohitettaisi väärennettyinä, ranskalainen sanomalehti Le Monde onnistui vahvistamaan "vuodon usean uhrin avulla" Holy Soulsin julkaiseman malliasiakirjan aitouden.

Sen jälkeen kun Holy Souls oli julkaissut mallitiedot YouTubessa ja usealla hakkeripalstalla, vuotoa tehostettiin järjestetyllä toiminnalla eri sosiaalisen median ympäristöissä. Tehostamistoiminnassa hyödynnettiin tiettyjä vaikuttamisen taktiikoita, tekniikoita ja menetelmiä (TTP), jotka DTAC on havainnut ennenkin iranilaisten suorittamissa hakkeroi ja vuoda -vaikuttamisoperaatioissa.

Hyökkäys tapahtui samaan aikaan Iranin valtion sarjakuviin kohdistuneen kritiikin kanssa. Tammikuun 4. päivänä Iranin ulkoministeri, Hossein Amir-Abdollahian, twiittasi: "Ranskalaisen julkaisun loukkaava ja törkeä toiminta […] uskonnollista ja poliittishengellistä johtohahmoa vastaan ei tule […] jäämään ilman vastatoimia". Samana päivänä Iranin ulkoministeriö kutsui Ranskan Iranin-suurlähettilään käsittelemään Charlie Hebdon "loukkausta". Tammikuun 5. päivänä Iran sulki Ranskan tutkimusinstituutin Iranissa. Iranin ulkoministeriö kuvaili tapausta "ensiaskeleeksi" ja sanoi "vakavasti tutkivansa tapausta ja ryhtyvänsä tarvittaviin toimiin".

Hyökkäyksessä on useita sellaisia elementtejä, jotka muistuttavat iranilaisten valtion tukemien toimijoiden edellisiä hyökkäyksiä, kuten seuraavat:

  • Haktivistin henkilötyyppi vaatimassa tunnustusta kyberhyökkäyksestä
  • Väitteet onnistuneesta sivuston turmelemisesta
  • Yksityisten tietojen vuotaminen verkossa
  • Sellaisten sosiaalisen median epäaitojen henkilötyyppien eli haamuhenkilöiden (sosiaalisen median tilit, joissa käytetään keksittyjä tai varastettuja henkilöllisyyksiä tilin oikean omistajan peittämiseksi harhauttamistarkoituksessa) käyttö, jotka väittävät olevansa hakkeroinnin kohteena olleesta maasta kyberhyökkäyksen mainostamiseksi käyttäen kieltä, jossa on natiivien puhujien helposti huomaamia virheitä
  • Vaikutusvaltaisiksi lähteiksi tekeytyminen
  • Yhteydenotot uutismediaorganisaatioihin

Vaikka tänään tekemämme syyksi lukeminen perustuu suureen joukkoon Microsoftin DTAC-tiimin käytettävissä olevaa tietoa, havaittava toimintamalli on tyypillinen iranilaisille valtion tukemille operaatioille. Myös FBI:n lokakuun 2022 Private Industry Notification (PIN) tunnisti nämä toimintamallit Iraniin liittyvien toimijoiden käyttämiksi kyberpohjaisissa vaikuttamisoperaatioissa.

Charlie Hebdoon kohdistunut kampanja käytti kymmeniä ranskankielisiä haamuhenkilötilejä kampanjan tehostamiseen ja vihamielisten viestien lähettämiseen. Tammikuun 4. päivänä tilit, joista useilla oli vain vähän seuraajia ja seurattavia ja jotka olivat hiljattain luotuja, alkoivat julkaista kritiikkiä Khamenei-sarjakuvia kohtaan Twitterissä. Ratkaisevaa oli, että ennen merkittävää uutisointia kyberhyökkäyksestä nämä tilit julkaisivat identtisiä näyttökuvia turmellusta sivustosta, joissa oli ranskankielinen viesti "Charlie Hebdo a été piraté" ("Charlie Hebdo hakkeroitiin").

Muutama tunti sen jälkeen kun haamuhenkilöt aloittivat twiittien lähettämisen, niiden joukkoon liittyi vähintään kaksi sosiaalisen median tiliä, joilla tekeydyttiin vaikutusvaltaisiksi ranskalaisiksi hahmoiksi: toinen imitoi teknologiajohtajaa ja toinen Charlie Hebdon editoria. Nämä tilit, jotka molemmat luotiin joulukuussa 2022 ja joilla oli vain vähän seuraajia, aloittivat sitten Holy Soulsilta peräisin olevien vuodettujen Charlie Hebdo -asiakastietojen näyttökuvien julkaisemisen. Tilit on estetty Twitterin toimesta tapauksen jälkeen.

Väärennetty Charlie Hebdon päätoimittajan Twitter-tili, jossa julkaistaan näyttökuvia vuodetuista asiakastiedoista
Charlie Hebdon päätoimittajaksi tekeytyvä tili twiittaa vuodoista

Haamuhenkilötilien käyttöä on havaittu muissa Iraniin liittyvissä operaatioissa, kuten Atlas Groupin, Hackers of Saviorin  kumppanin, hyökkäyksessä, jonka FBI luki Iranin nimiin vuonna 2022. Vuoden 2022 jalkapallon maailmanmestaruuskilpailujen aikaan Atlas Group väitti "murtautuneensa infrastruktuuriin" [sic] ja turmelleensa israelilaisen urheilusivuston. Twitterissä hepreankieliset haamuhenkilötilit sekä suositun israelilaisen uutiskanavan urheilutoimittajaksi tekeytyminen tehostivat hyökkäystä. Epäaito toimittajan tili julkaisi, että Qatariin matkustamisen jälkeen hänen mielestään israelilaisten "ei tulisi matkustaa arabimaihin".

Vuodettujen tietojen näyttökuvien ohella haamuhenkilötilit julkaisivat ranskaksi piikitteleviä viestejä , kuten: "Minun mielestäni Charlien sarjakuvien seuraavan aiheen pitäisi olla ranskalaiset kyberturvallisuusasiantuntijat". Samat tilit yrittivät myös tehostaa väitetyn hakkeroinnin uutisointia vastaamalla julkaisujen ja toimittajien twiitteihin. Tällaisia olivat Jordanian päivittäinen al-Dustour, Algerian Echorouk sekä Le Figaron toimittaja Georges Malbrunot. Muut haamuhenkilötilit väittivät, että Charlie Hebdo toimi Ranskan valtion puolesta ja että jälkimmäinen pyrki ohjaamaan kansan huomion pois lakoista.

FBI:n mukaanyksi Iranin vaikuttamisoperaatioiden tavoitteista on "heikentää yleistä luottamusta uhrin verkon ja tietojen suojaukseen ja nolata uhrina olevat yritykset sekä kohteena olevat maat". Charlie Hebdoon kohdistuneen hyökkäyksen viesti muistuttaakin muita Iraniin liittyviä kampanjoita. Esimerkiksi Hackers of Savior, Iraniin liittyvä toimija, väitti huhtikuussa 2022 tunkeutuneensa tärkeiden israelilaisten tietokantojen kyberinfrastruktuuriin ja julkaisi israelilaisia varoittavan viestin: "Älkää luottako valtionne keskuksiin".

Charlie Hebdon toimituksellisista valinnoistavoi olla montaa mieltä, mutta sen kymmenien tuhansien asiakkaiden henkilökohtaisten tietojen julkaiseminen on vakava uhka. Tammikuun 10. päivänä tätä korostettiin Iranin vallankumouskaartin komentajan, Hossein Salamin, varoituksessa "kostosta" julkaisua vastaan. Hän otti esimerkiksi kirjailija Salman Rushdien, jota puukotettiin vuonna 2022. Salami lisäsi, että "Rushdie ei enää palaa".

Tänään tekemämme syyksi lukeminen perustuu DTAC:n syyksi lukemisen kehykseen.

Microsoft panostaa valtion tukemien vaikuttamiskampanjoiden seurantaa ja tiedon jakamista niistä, jotta asiakkaat ja demokratiat eri puolilla maailmaa voivat suojautua Charlie Hebdoon kohdistetun kaltaisilta hyökkäyksiltä. Jatkamme tämän kaltaisten tietojen julkaisemista, kun havaitsemme vastaavia valtioiden ja rikollisryhmittymien operaatioita eri puolilla maailmaa.

Vaikuttamisoperaatioiden syyksi lukemisen matriisi 1

Kybervaikuttamisoperaatioiden kaaviomatriisi

Aiheeseen liittyviä artikkeleita

Defending Ukraine: Early Lessons from the Cyber War

Viimeisimmät havainnot Venäjän ja Ukrainan väliseen sotaan liittyvästä uhkatiedustelusta ja johtopäätökset sen neljältä ensimmäiseltä kuukaudelta vahvistavat tarvetta jatkuviin sekä uusiin investointeihin teknologiaan, tietoihin ja kumppanuuksiin hallitusten, yritysten, kansalaisjärjestöjen sekä yliopistojen tukemiseksi.

Kyberresilienssi

Microsoft Security toteutti kyselyn yli 500 tietoturva-ammattilaiselle ymmärtääkseen nousevia tietoturvatrendejä sekä tietoturvajohtajien yleisimpiä huolenaiheita.

Tietoa biljoonista tietoturvasignaaleista päivittäin

Microsoftin tietoturva-asiantuntijat valaisevat nykypäivän uhkamaisemaa ja tarjoavat tietoa nousevista trendeistä sekä historiallisista pysyvämmistä uhista.

Seuraa Microsoft Securitya