Trace Id is missing

Irão responsável por ataques à Charlie Hebdo

Um grande plano de um planeta

Hoje, o Centro de Análise de Ameaças Digitais (DTAC) da Microsoft está a atribuir uma operação de influência recente, que visou a revista satírica francesa “Charlie Hebdo”, a um ator do estado-nação iraniano. A Microsoft chama a este ator NEPTUNIUM, que também foi identificado pelo Departamento de Justiça dos EUA como  Emennet Pasargad.

No início de janeiro, um grupo online anteriormente desconhecido a chamar-se “Holy Souls” a si mesmo, que agora podemos identificar como NEPTUNIUM, afirmou ter obtido as informações pessoais de mais de 200 000 clientes da Charlie Hebdo após “obter acesso a uma base de dados.” Como prova, o Holy Souls divulgou uma amostra dos dados, que incluíam uma folha de cálculo a detalhar os nomes completos, números de telefone, moradas e endereço de e-mail das contas que tinham assinado a publicação ou comprado artigos da mesma. Estas informações, obtidas pelo ator iraniano, podiam pôr os assinantes da revista em risco de se tornarem alvos, online ou fisicamente, de organizações extremistas.

Cremos que este ataque é uma resposta do governo iraniano a um concurso de cartoons organizado pela Charlie Hebdo. Um mês antes de o Holy Souls ter realizado o seu ataque, a revista anunciou que iria organizar uma competição internacional de cartoons a “ridicularizar” o Líder Supremo Iraniano Ali Khamenei. O número com os cartoons vencedores seria publicado no início de janeiro, para coincidir com o oitavo aniversário de um ataque de dois agressores inspirados pela al-Qa’ida na Península Árabe (AQPA) nos escritórios da revista.

O Holy Souls pôs os dados à venda por 20 BTC (equivalente a aproximadamente 340 000 USD na altura). A publicação dos dados roubados na totalidade, assumindo que os hackers têm verdadeiramente os dados que afirmam ter em posse, constituiria essencialmente o “doxing” massivo dos leitores de uma publicação que já foi alvo de ameaças extremistas (2020) e ataques terroristas letais (2015). Para evitar que os dados de clientes alegadamente roubados fossem rejeitados como inventados, o jornal de referência francês Le Monde pôde verificar “com várias vítimas desta fuga” a veracidade do documento de amostra publicado pelo Holy Souls.

Depois de o Holy Souls ter publicado os dados de amostra no YouTube em vários fóruns de hackers, a fuga foi amplificada por uma operação concertada em várias plataformas de redes sociais. Esta iniciativa de amplificação utilizou um conjunto específico de táticas, técnicas e procedimentos (TTP) de influência que o DTAC testemunhou antes em operações de influência de hackear e divulgar iranianas.

O ataque coincidiu com críticas aos cartoons por parte do governo iraniano. A 4 de janeiro, o ministro dos negócios estrangeiros iraniano Hossein Amir-Abdollahian tuitou: “As ações insultuosas e descorteses da publicação francesa […] contra a autoridade religiosa e político-espiritual não será […] deixada sem resposta.” No mesmo dia, o ministério dos negócios estrangeiros iraniano convocou o embaixador francês no Irão a respeito do “insulto” da Charlie Hebdo. A 5 de janeiro, o Irão fechou o Instituto Francês de Pesquisa no Irão naquilo que o ministério dos negócios estrangeiros iraniano descreveu como “primeiro passo,” e disse que iria “seguir o caso seriamente e tomar as medidas necessárias.”

Há vários elementos do ataque que se assemelham a ataques anteriores realizados por atores do estado-nação iraniano, incluindo:

  • Um indivíduo hacktivista a reclamar a responsabilidade do ciberataque
  • Afirmações de um desfiguramento de site com êxito
  • Publicação de dados privados online
  • A utilização de personagens “sockpuppet” não autênticas de redes sociais (contas de redes sociais a utilizar identidades fictícias ou roubadas para ocultar o dono verdadeiro da conta) a afirmar serem do país que o hack visou para promover o ciberataque usando linguagem com erros óbvios para falantes nativos
  • Imitação de fontes de autoridade
  • Contactar organizações de notícias

Embora a atribuição que estamos a fazer hoje se baseie num conjunto mais amplo de informações ao dispor da equipa do DTAC da Microsoft, o padrão aqui visto é típico de operações financiadas pelo estado iraniano. Estes padrões também foram identificados pelo Aviso da Indústria Privada (PIN) de outubro de 2022 do FBI como sendo utilizados por atores associados ao Irão para realizar operações de ciberinfluência.

A campanha a visar a Charlie Hebdo utilizou dezenas de contas sockpuppet em francês para amplificar a campanha e distribuir uma mensagem hostil. A 4 de janeiro, as contas, muitas das quais com baixos números de seguidores e a seguir e de criação recente, começaram a publicar críticas dos cartoons de Khamenei no Twitter. Crucialmente, antes de haver quaisquer relatos substanciais sobre o suposto ciberataque, estas contas publicaram capturas de ecrã idênticas de um site desfigurado que incluía a mensagem em francês: “Charlie Hebdo a été piraté” (“A Charlie Hebdo foi pirateada”).

Algumas horas depois de os sockpuppets terem começado a tuitar, juntaram-se pelo menos duas contas de redes sociais a imitar figuras de autoridade francesas, uma a imitar um executivo de tecnologia e a outra um editor da Charlie Hebdo. Estas contas, ambas criadas em dezembro de 2022 e com baixos números de seguidores, começaram então a publicar capturas de ecrã dos dados de clientes da Charlie Hebdo roubados do Holy Souls. Entretanto, as contas foram suspensas pelo Twitter.

Conta de twitter falsa do editor da Charlie Hebdo a publicar capturas de ecrã de dados de clientes roubados
Uma conta a imitar um editor da Charlie Hebdo, a tuitar sobre a fuga

A utilização de contas sockpuppet foi observada noutras operações associadas ao Irão, incluindo um ataque reivindicado pelo Atlas Group, um parceiro do Hackers of Savior, que foi atribuído pelo FBI ao Irão em 2022. Durante o Mundial de 2022, o Atlas Group afirmou ter “penetrado nas infraestruturas” e desfigurado um site desportivo israelita. No Twitter, contas sockpuppet em hebreu e uma imitação de um repórter desportivo de um canal de notícias popular israelita amplificou o ataque. A conta falsa do repórter publicou que após viajar para o Catar, concluiu que os israelitas deviam “evitar viajar para países árabes”.

Juntamente com capturas de ecrã dos dados roubados, as contas sockpuppet publicaram mensagens insultuosas em francês incluindo: “Para mim, o próximo alvo dos cartoons da Charlie deviam ser os especialistas de cibersegurança franceses.” Estas mesmas contas também foram vistas a tentar promover as notícias do alegado hack ao responder em tweets a publicações a jornalistas, incluindo o diário jordano al-Dustour, o Echorouk da Argélia e o repórter do Le Figaro Georges Malbrunot. Outras contas sockpuppet afirmaram que a Charlie Hebdo estava a trabalhar por conta do governo francês e disseram que este estava a procurar distrair o público das greves.

Segundo o FBI, um objetivo das operações de influência iranianas é “corroer a confiança pública na segurança da rede e dos dados da vítima, bem como envergonhar as empresas vítimas e os países visados.” De facto, a mensagem no ataque à Charlie Hebdo parece-se com a de outras campanhas associadas ao Irão, como aquelas reivindicadas pelo Hackers of Savior, um personagem afiliado com o Irão que, em abril de 2022, afirmou ter infiltrado a infraestrutura cibernética de bases de dados israelitas importantes e publicou uma mensagem a avisar os israelitas, “Não confiem nos vossos centros governamentais.

O que quer que se pense das escolhas editoriais da Charlie Hebdo, a publicação de informações pessoais de dezenas de milhares dos seus clientes constitui uma ameaça grave. Isto foi sublinhado a 10 de janeiro num aviso de “vingança” contra a publicação do comandante do Exército de Guardas da Revolução Islâmica do Irão Hossein Salami, que apontou para o exemplo do autor Salman Rushdie, que foi apunhalado em 2022. Added Salami, “Rushdie não volta.”

A atribuição que estamos a fazer hoje baseia-se no Quadro da DTAC para Atribuição.

A Microsoft investe na monitorização e partilha de informação sobre operações de influência de estados-nações para que os clientes e democracias de todo o mundo se possam proteger de ataques como aquele contra a Charlie Hebdo. Continuaremos a publicar informações como esta quando virmos operações semelhantes de governos e grupos criminosos em todo o mundo.

Matriz de atribuição de operações de influência  1

Matriz de gráfico de operações de ciber-influência

Artigos relacionados

Defender a Ucrânia: Primeiras Lições da Guerra Cibernética

As últimas descobertas dos nossos esforços de informações sobre ameaças contínuos na guerra entre a Rússia e a Ucrânia e uma série de conclusões dos seus primeiros quatro meses, reforçam a necessidade de investimentos contínuos e novos em tecnologia, dados e parcerias para apoiar governos, empresas, ONG e universidades.

Ciber-resiliência

O Microsoft Security realizou um inquérito com mais de 500 profissionais de segurança para compreender as tendências de segurança emergentes e as principais preocupações entre responsáveis pela segurança de sistemas de informação.

Informações de biliões de sinais de segurança diários

Peritos em segurança da Microsoft esclarecem o panorama de ameaças de hoje em dia, fornecendo informações sobre tendências emergentes, bem como ameaças persistentes historicamente.

Siga o Microsoft Security