Oggi, il Digital Threat Analysis Center (DTAC) di Microsoft attribuisce una recente operazione di influenza che ha colpito la rivista satirica francese Charlie Hebdo a un attore di stato-nazione iraniano. Microsoft identificata tale attore come NEPTUNIUM, che è anche stato identificato dal Dipartimento di giustizia degli Stati Uniti come Emennet Pasargad.
I primi di gennaio, un gruppo online mai sentito prima identificatosi come "Holy Souls" e che noi ora identifichiamo come NEPTUNIUM, ha affermato di aver ottenuto informazioni personali di oltre 200.000 clienti di Charlie Hebdo dopo "aver ottenuto accesso a un database". A prova di questo, Holy Souls ha rilasciato un campione di dati, che includeva un foglio di calcolo contenente nomi, numeri di telefono e indirizzi di casa ed e-mail degli account registrati alla rivista o che hanno acquistato suo merchandising. Queste informazioni, ottenute dall'attore iraniano, avrebbero potuto mettere gli abbonati a rischio di attacchi online o fisici da parte di organizzazioni estremiste.
Riteniamo che questo attacco sia una risposta del governo iraniano a una gara di fumetto lanciata da Charlie Hebdo. Un mese prima che Holy Souls conducesse il suo attacco, la rivista ha annunciato che avrebbe condotto una gara internazionale di vignette per "ridicolizzare" il leader supremo iraniano Ali Khamenei. L'uscita contenente le vignette vincitrici sarebbe dovuta essere pubblicata i primi di gennaio, in concomitanza dell' ottavo anniversario di un attacco agli uffici della rivista da parte di due combattenti ispirati ad al-Qā'ida nella Penisola Arabica.
Holy Souls ha pubblicizzato la vendita della cache di dati per 20 BTC (equivalenti a circa 340.000 dollari USD allora). La divulgazione dell'intera cache di dati rubati, assodato che gli hacker possedessero effettivamente i dati che dichiaravano di possedere, avrebbe costituito essenzialmente la più grande pubblicazione di informazioni personali dei lettori di una pubblicazione già soggetta a minacce estremiste (2020) e attacchi terroristici mortali (2015). Per paura che i dati dei clienti apparentemente rubati venissero considerati inventati, il famoso quotidiano francese Le Monde è riuscito a verificare "insieme a molte delle vittime di tale fuga di notizie" l'autenticità del documento di esempio pubblicato da Holy Souls.
Dopo che Holy Souls ha pubblicato i dati di esempio su YouTube e su diversi forum di hacker, la fuga di dati è stata amplificata da un'operazione coordinata su diverse piattaforme di social media. Il lavoro di amplificazione ha utilizzato un particolare set di tattiche, tecniche e procedure (TTP) di influenza che il DTAC aveva già osservato nelle operazioni di influenza hack-and-leak dell'Iran.
L'attacco è coinciso con la critica delle vignette da parte del governo iraniano. Il 4 gennaio, il Ministro degli esteri iraniano Hossein Amir-Abdollahian ha scritto un tweet: "The insulting and discourteous action of the French publication […] against the religious and political-spiritual authority will not be […] left without a response" (L'azione offensiva e sgarbata della rivista francese [...] contro l'autorità spirituale e politica non sarà lasciata [...] senza riposta). Lo stesso giorno il Ministro degli Esteri iraniano ha convocato l'Ambasciatore francese in Iran in merito all'"insulto" di Charlie Hebdo. Il 5 gennaio, l'Iran ha chiuso l'Istituto di ricerca francese in Iran in quello che il Ministro degli Esteri descrive come il "primo passo" affermando che "avrebbe continuato a seguire il caso e preso le misure necessarie".
Segui Microsoft Security