Trace Id is missing

Iran bertanggung jawab atas serangan terhadap Charlie Hebdo

Tampilan jarak dekat sebuah planet

Hari ini, Digital Threat Analysis Center (DTAC) Microsoft mengaitkan operasi pengaruh baru-baru ini yang menargetkan majalah satir Prancis Charlie Hebdo dengan pelaku negara bangsa asal Iran. Microsoft menyebut aktor ini NEPTUNIUM, yang juga telah diidentifikasi oleh Departemen Kehakiman AS sebagai  Emennet Pasargad.

Pada awal bulan Januari, sebuah grup online yang belum pernah terdengar sebelumnya yang menamakan dirinya “Holy Souls,” yang kini dikenal sebagai NEPTUNIUM, mengeklaim bahwa mereka telah memperoleh informasi pribadi lebih dari 200.000 pelanggan Charlie Hebdo setelah “mendapatkan akses ke sebuah database.” Sebagai buktinya, Holy Souls merilis sampel data, yang memperlihatkan spreadsheet dengan perincian nama lengkap, nomor telepon, dan alamat rumah serta email dari akun yang berlangganan, atau membeli barang dagangan dari publikasi tersebut. Informasi yang diperoleh oleh aktor Iran ini dapat membuat pelanggan majalah tersebut rentan menjadi sasaran organisasi ekstremis baik secara online maupun fisik.

Kami yakin serangan ini merupakan respons pemerintah Iran terhadap kontes kartun yang diadakan oleh Charlie Hebdo. Satu bulan sebelum serangan Holy Souls, majalah tersebut mengumumkan akan mengadakan kompetisi internasional untuk kartun yang “mengolok-olok” Pemimpin Tertinggi Iran Ali Khamenei. Edisi yang menampilkan kartun pemenang akan diterbitkan pada awal Januari, bertepatan dengan peringatan kedelapan serangan yang dilakukan oleh dua penyerang yang terinspirasi oleh al-Qaeda di Semenanjung Arab (AQAP) terhadap kantor majalah tersebut.

Holy Souls mengiklankan cache data untuk dijual seharga 20 BTC (setara dengan sekitar USD$340.000 pada saat itu). Dengan asumsi para peretas benar-benar memiliki data yang mereka klaim miliki, penerbitan seluruh cache data yang dicuri pada dasarnya merupakan doxing massal terhadap pembaca sebuah publikasi yang telah menjadi sasaran ancaman ekstremis (2020) dan serangan teror yang mematikan (2015). Agar data pelanggan yang diduga dicuri tidak dianggap palsu, surat kabar Prancis Le Monde dapat memverifikasi kebenaran sampel dokumen yang diterbitkan oleh Holy Souls “dengan banyak korban kebocoran ini”.

Setelah Holy Souls memposting data sampel di YouTube dan beberapa forum peretas, kebocoran tersebut semakin menjadi perhatian akibat operasi terpadu di beberapa platform media sosial. Upaya penyebaran ini memanfaatkan serangkaian taktik, teknik, dan prosedur pengaruh tertentu (TTPs) yang telah lebih dahulu dikenali oleh DTAC dalam operasi pengaruh peretasan dan kebocoran oleh Iran.

Serangan itu bertepatan dengan kritik pemerintah Iran terhadap kartun tersebut. Pada tanggal 4 Januari, Menteri Luar Negeri Iran Hossein Amir-Abdollahian melalui Twitter mengatakan: “Tindakan yang menghina dan tidak sopan dari publikasi Perancis […] terhadap otoritas agama dan politik-keagamaan tidak akan […] dibiarkan tanpa tanggapan.” Pada hari yang sama, Kementerian Luar Negeri Iran memanggil Duta Besar Prancis untuk Iran atas “penghinaan” Charlie Hebdo. Pada tanggal 5 Januari, Iran menutup Institut Penelitian Perancis di Iran, yang digambarkan oleh Kementerian Luar Negeri Iran sebagai “langkah pertama,” dan mengatakan pihaknya akan “secara serius menindaklanjuti kasus ini dan mengambil tindakan yang diperlukan.”

Ada beberapa elemen serangan yang mirip dengan serangan sebelumnya yang dilakukan oleh pelaku negara bangsa asal Iran, antara lain:

  • Sosok hacktivist yang mengaku bertanggung jawab atas serangan cyber tersebut
  • Klaim keberhasilan perusakan situs web
  • Bocornya data pribadi secara online
  • Memanfaatkan “sockpuppet” di akun media sosial samaran berbasis identitas fiktif atau curian, yaitu media sosial untuk mengaburkan identitas pemilik asli akun untuk menipu, persona ini mengaku berasal dari negara sasaran peretasan dan menggalang dukungan untuk serangan cyber namun ia mengucapkan kesalahan bahasa yang begitu jelas bagi penutur asli
  • Penyamaran sebagai penyedia sumber resmi
  • Menghubungi organisasi media berita

Meskipun keterkaitan yang kami simpulkan hari ini didasarkan pada kumpulan intelijen yang lebih luas yang tersedia untuk tim DTAC Microsoft, pola yang terlihat di sini memiliki kemiripan dengan operasi yang disponsori negara Iran. Pola-pola ini juga telah diidentifikasi oleh  Pemberitahuan Industri Swasta (Private Industry Notification/PIN) FBI pada bulan Oktober 2022 sebagai pola yang digunakan oleh para aktor yang terafiliasi dengan Iran untuk menjalankan operasi pengaruh melalui dunia maya.

Kampanye yang menargetkan Charlie Hebdo memanfaatkan lusinan akun sockpuppet berbahasa Prancis untuk memperkuat kampanye dan menyebarkan pesan-pesan antagonis. Pada tanggal 4 Januari, akun-akun tersebut, yang umumnya tidak memiliki banyak pengikut dan tidak banyak mengikuti serta baru dibuat, mulai mengunggah kritik terhadap kartun Khamenei di Twitter. Yang terutama, sebelum ada laporan penting mengenai klaim serangan cyber tersebut, akun-akun ini memposting tangkapan layar serupa dari situs web yang dirusak dan menyertakan pesan berbahasa Prancis: “Charlie Hebdo a été piraté” (“Charlie Hebdo diretas”).

Beberapa jam setelah sockpuppets mulai men-tweet, mereka bergabung dengan setidaknya dua akun media sosial yang menyamar sebagai otoritas Prancis – satu menyamar seorang eksekutif teknologi dan yang lainnya menyamar sebagai editor Charlie Hebdo. Kedua akun ini dibuat pada Desember 2022. Kemudian, dengan jumlah pengikut yang sedikit, mereka mulai memposting tangkapan layar data pelanggan Charlie Hebdo yang bocor dari Holy Souls. Akun tersebut telah ditangguhkan oleh Twitter.

Akun twitter editor Charlie Hebdo palsu memposting cuplikan layar data pelanggan yang bocor
Sebuah akun yang menyamar sebagai editor Charlie Hebdo, men-tweet tentang kebocoran tersebut

Penggunaan akun sockpuppet semacam itu telah diamati dalam operasi lain yang terkait dengan Iran termasuk serangan yang diklaim oleh Atlas Group, mitra  Hackers of Savior, yang dinilai FBI terkait dengan Iran pada tahun 2022. Selama Piala Dunia 2022, Atlas Group mengklaim telah “menembus infrastruktur” [sic] dan merusak situs web olahraga Israel. Di Twitter, akun sockpuppet berbahasa Ibrani dan penyamaran sebagai reporter olahraga dari saluran berita populer Israel memperkuat serangan tersebut. Akun reporter palsu tersebut memposting bahwa setelah melakukan perjalanan ke Qatar, dia menyimpulkan bahwa orang Israel “tidak boleh melakukan perjalanan ke negara-negara Arab“.

Bersamaan dengan tangkapan layar dari data yang bocor, akun sockpuppet tersebut memposting pesan-pesan yang mengejek dalam bahasa Prancis antara lain: “Menurut saya, subjek kartun Charlie berikutnya adalah pakar keamanan siber Prancis.” Akun-akun yang sama juga terlihat berupaya menyebarkan berita tentang dugaan peretasan tersebut dengan membalasnya melalui tweet ke publikasi dan jurnalis, termasuk harian Yordania al-DustourEchoroukdari Aljazair, dan reporter Le Figaro Georges Malbrunot. Akun sockpuppet lainnya mengeklaim bahwa Charlie Hebfrado bekerja atas nama pemerintah Prancis dan mengatakan bahwa pemerintah Prancis berusaha mengalihkan perhatian publik dari aksi mogok buruh.

Menurut FBI, salah satu tujuan operasi pengaruh Iran adalah untuk “merusak kepercayaan publik terhadap keamanan jaringan dan data korban, serta mempermalukan perusahaan korban dan negara-negara yang menjadi sasaran.” Memang benar, pesan dalam serangan yang ditujukan kepada Charlie Hebdo memiliki kemiripan dengan kampanye lain yang terkait dengan Iran, seperti klaim Hackers of Savior, sebuah organisasi yang berafiliasi dengan Iran. Pada bulan April 2022, ia mengeklaim berhasil menyusup ke infrastruktur cyber basis data besar Israel dan menerbitkan pesan peringatan untuk orang-orang Israel, “Jangan percaya pada pusat pemerintahan Anda.

Apa pun pendapat orang tentang pilihan editorialCharlie Hebdo, pelepasan informasi pengidentifikasi pribadi milik puluhan ribu pelanggan merupakan ancaman serius. Pada 10 Januari, peringatan "balas dendam" terhadap publikasi tersebut ditegaskan oleh komandan Korps Garda Revolusi Islam Iran, Hossein Salami, yang merujuk pada kasus penulis Salman Rushdie yang diserang pada tahun 2022. Salami menambahkan, “Rushdie tidak akan kembali.”

Keterkaitan yang kami simpulkan hari ini didasarkan pada Kerangka Kerja Keterkaitan DTAC.

Microsoft berinvestasi dalam pelacakan dan berbagi informasi tentang operasi pengaruh negara-bangsa sehingga pelanggan dan negara-negara demokratis di seluruh dunia dapat melindungi diri dari serangan seperti yang dialami Charlie Hebdo. Kami akan terus merilis informasi intelijen semacam ini ketika kami mendeteksi operasi serupa yang dilakukan oleh pemerintah atau kelompok kriminal di seluruh dunia.

Matriks keterkaitan operasi pengaruh 1

Matriks bagan operasi pengaruh cyber

Artikel terkait

Membela Ukraina: Pelajaran Awal dari Perang Cyber

Temuan terbaru dalam upaya inteligensi ancaman kami yang sedang berlangsung dalam perang antara Rusia dan Ukraina, dan serangkaian kesimpulan dari empat bulan pertama perang tersebut memperkuat perlunya investasi baru dan berkelanjutan dalam teknologi, data, dan kemitraan untuk mendukung pemerintah, perusahaan, LSM, dan universitas.

Ketahanan Cyber

Microsoft Security melakukan survei terhadap lebih dari 500 profesional keamanan untuk memahami tren keamanan yang muncul dan kekhawatiran utama di kalangan CISO.

Wawasan dari triliunan sinyal keamanan harian

Ahli keamanan Microsoft menjelaskan lanskap ancaman saat ini, memberikan wawasan tentang tren yang baru muncul, serta ancaman yang sudah ada sejak dahulu.

Ikuti Microsoft Security