Dzisiaj Centrum analizy cyberzagrożeń (DTAC, Digital Threat Analysis Center) firmy Microsoft przypisuje niedawną operację wywierania wpływu, której celem był francuski magazyn satyryczny Charlie Hebdo, irańskiej państwowej grupie hakerskiej. Firma Microsoft nazwała tę grupę NEPTUNIUM. Została ona także zidentyfikowana przez Departament Sprawiedliwości Stanów Zjednoczonych jako Emennet Pasargad.
Na początku stycznia wcześniej nieznana grupa online nazywająca sama siebie „Holy Souls”, którą teraz możemy zidentyfikować jako NEPTUNIUM, oświadczyła, że przechwyciła dane osobowe ponad 200 000 klientów Charlie Hebdo po „uzyskaniu dostępu do bazy danych”. Jako dowód grupa Holy Souls opublikowała próbkę danych, która obejmowała arkusz kalkulacyjny z wyszczególnieniem imion i nazwisk, numerów telefonów oraz adresów zamieszkania i e-mail kont osób, które subskrybują wydawnictwo lub zakupiły od niego produkty. Te informacje uzyskane przez irańską grupę hakerską mogły narazić subskrybentów magazynu na ryzyko stania się ofiarą fizycznych lub internetowych ataków ze strony organizacji ekstremistycznych.
Sądzimy, że ten atak był reakcją rządu irańskiego na konkurs rysunków satyrycznych przeprowadzony przez Charlie Hebdo. Miesiąc przed przeprowadzeniem ataku przez grupę Holy Souls magazyn ogłosił, że będzie przeprowadzać międzynarodowy konkurs na rysunki satyryczne, w których Najwyższy Przywódca Iranu, Ali Khamenei, ma zostać „ośmieszony”. Wydanie ze zwycięskimi rysunkami miało zostać opublikowane na początku stycznia, w terminie zbiegającym się w czasie z ósmą rocznicą ataku dwóch azylantów zainspirowanych bojownikami Al-Kaidy na Półwyspie Arabskim (AQAP) na biura magazynu.
Grupa Holy Souls wystawiła pamięć podręczną zawierającą dane na sprzedaż za 20 bitcoinów (ówczesny równoważnik około 340 000 USD). Opublikowanie całej pamięci podręcznej zawierającej skradzione dane — przy założeniu, że hakerzy faktycznie mieli dane, które twierdzili, że posiadają — spowodowałoby masowy doxing czytelników publikacji, która była już obiektem pogróżek ekstremistów (2020) i śmiertelnych ataków terrorystycznych (2015). Aby nie dopuścić do odrzucenia rzekomo skradzionych danych klientów jako sfabrykowanych, francuska prestiżowa gazeta Le Monde była w stanie potwierdzić „u wielu ofiar tego wycieku” prawdziwość przykładowego dokumentu opublikowanego przez Holy Souls.
Po opublikowaniu przez Holy Souls przykładowych danych w serwisie YouTube i na wielu forach dla hakerów wyciek nabrał rozgłosu poprzez skoordynowane działania na kilku platformach mediów społecznościowych. W tych działaniach nagłaśniających wykorzystano konkretny zestaw taktyk, technik i procedur (TTP) wywierania wpływu, które DTAC zaobserwowała wcześniej w irańskich operacjach wywierania wpływu polegających na zahakowaniu i wycieku danych.
Atak zbiegł się w czasie z krytyką rysunków satyrycznych ze strony irańskiego rządu. 4 stycznia irański minister spraw zagranicznych, Hossein Amir-Abdollahian, opublikował tweet: „Obraźliwe i nieuprzejme działania francuskiego wydawnictwa […] przeciwko duchowemu autorytetowi religijnemu i politycznemu nie pozostaną […] bez odpowiedzi”. Tego samego dnia irański minister spraw zagranicznych wezwał francuskiego ambasadora do Iranu w sprawie „zniewagi” ze strony magazynu Charlie Hebdo. 5 stycznia Iran zamknął francuski instytut badawczy w Iranie w ramach tego, co irański minister spraw zagranicznych nazwał „pierwszym krokiem” i zapowiedział, że będzie „prowadzić poważne dochodzenie w sprawie i podejmie odpowiednie środki”.
Obserwuj rozwiązania zabezpieczające firmy Microsoft