Trace Id is missing
Salt la conținutul principal
Security Insider

Iranul, responsabil pentru atacurile Charlie Hebdo

Distribuiți
Prim-plan cu o planetă

Astăzi, Centrul Microsoft de analiză a amenințărilor digitale (DTAC) atribuie o operațiune recentă de influență care a vizat revista franceză de satiră Charlie Hebdo unui actor de stat iranian. Microsoft numește acest actor NEPTUNIUM, identificat și de Departamentul de Justiție al Statelor Unite ca  Emennet Pasargad.

La începutul lunii ianuarie, un grup online de care nu se mai auzise înainte, care-și spunea „Holy Souls” și pe care acum îl identificăm ca NEPTUNIUM, a susținut că a obținut informațiile personale a peste 200.000 de clienți Charlie Hebdo după „obținerea accesului la o bază de date.” Drept dovadă, Holy Souls a publicat un eșantion al acestor date, care includea o foaie de calcul cu detalii precum numele complete, numerele de telefon și adresele poștale și de e-mail ale conturilor care s-au abonat la publicație sau au achiziționat bunuri de la aceasta. Aceste informații, obținute de un actor iranian, ar putea pune în pericol abonații revistei, expunându-i online sau fizic la organizațiile extremiste.

Considerăm că acest atac este un răspuns al guvernului iranian la un concurs de benzi desenate organizat de Charlie Hebdo. Cu o lună înainte ca Holy Souls să efectueze atacul, revista a anunțat că va organiza un concurs internațional de benzi desenate care-l „ridiculizează” pe conducătorul suprem al Iranului, Ali Khamenei. Numărul de revistă cu benzile desenate câștigătoare a fost publicat la începutul lunii ianuarie, pentru a coincide cu aniversarea de opt ani a atacului asupra birourilor publicației de către doi atacatori inspirați de al-Qa’ida în Peninsula Arabică (AQAP).

Holy Souls a promovat vânzarea setului de date cu 20 BTC (echivalentul a aproximativ 340.000 USD la acel moment). Publicarea întregului set de date furate, presupunând că hackerii chiar au datele pe care susțin că le au, ar reprezenta divulgarea în masă a datelor personale ale cititorilor unei publicații care a fost deja ținta amenințărilor extremiste (2020) și a atacurilor teroriste mortale (2015). Ca nu cumva să fie respinse ca inventate acele date ale clienților despre care se pretinde că au fost furate, ziarul francez de referință Le Monde a confirmat veridicitatea eșantionului de document publicat de Holy Souls „cu mai multe victime ale acestei scurgeri de date”.

După ce Holy Souls a publicat eșantionul de date pe YouTube și mai multe forumuri de hacking, scurgerea a fost amplificată de o operațiune comună pe mai multe platforme de socializare. Acest efort de amplificare a utilizat un anumit set de tactici, tehnici și proceduri (TTP) de influență pe care DTAC le-a observat anterior în operațiunile de influență iraniene de accesare ilegală și scurgere a datelor.

Atacul a coincis cu criticarea benzilor desenate de către guvernul iranian. Pe 4 ianuarie, ministrul de externe iranian Hossein Amir-Abdollahian a postat pe Twitter: „Acțiunea insultătoare și nepoliticoasă a publicației franceze […] împotriva autorității spirituale politice și religioase nu va […] rămâne fără răspuns.” În aceeași zi, ministrul de externe iranian l-a convocat pe ambasadorul Franței în Iran în legătură cu insulta Charlie Hebdo.” Pe 5 ianuarie, Iranul a închis Institutul francez de cercetare din Iran, lucru pe care ministrul de externe iranian l-a catalogat drept un „prim pas”, spunând că va „urmări îndeaproape cazul și va lua măsurile necesare”.

Mai multe elemente ale atacului seamănă cu atacurile anterioare dirijate de actori de stat iranieni, inclusiv:

  • revendicarea atacului cibernetic de către un personaj hacktivist,
  • revendicarea unei desfigurări reușite a site-ului,
  • scurgerea datelor private online,
  • utilizarea unor personaje „marionetă” neautentice pe rețelele de socializare (conturi care folosesc identități fictive sau furate pentru a ascunde proprietarul real al contului în scopul înșelăciunii), care pretind să fie din țara vizată de hacker pentru a promova atacul cibernetic și care fac erori de limbă evidente pentru vorbitorii nativi,
  • asumarea identității unor surse sigure,
  • contactarea organizațiilor de presă.

În timp ce atribuirea pe care o facem astăzi se bazează pe un set mai amplu de informații disponibile pentru echipa Microsoft DTAC, modelul observat aici este tipic operațiunilor sponsorizate de statul iranian. Aceste modele au fost identificate și de FBI în Notificarea industriei private (PIN) din octombrie 2022 ca fiind folosite de actori asociați Iranului pentru derularea operațiunilor de influență cibernetică.

Campania care a vizat Charlie Hebdo a utilizat zeci de conturi marionetă în limba franceză pentru amplificarea campaniei și distribuirea de mesaje ostile. Pe 4 ianuarie, conturile, multe dintre ele recent create și cu un număr redus de urmăritori și urmăriri, au început să posteze critici la adresa benzilor desenate cu Khamenei pe Twitter. Un lucru foarte important este că, înainte să existe o raportare substanțială despre presupusul atac cibernetic, aceste conturi au postat capturi de ecran identice ale unui site desfigurat care includeau următorul mesaj în franceză: „Charlie Hebdo a été piraté” („Charlie Hebdo a fost accesat ilegal”).

La câteva ore după ce marionetele au început să posteze, li s-au alăturat cel puțin alte două conturi de pe rețelele de socializare care se dădeau drept figuri autoritare, unul imita un director tehnic și celălalt un editor Charlie Hebdo. Aceste conturi, ambele create în decembrie 2022 și cu un număr redus de urmăritori, au început să posteze capturi de ecran cu scurgerile de date ale clienților Charlie Hebdo de la Holy Souls. De atunci, conturile au fost suspendate de către Twitter.

Utilizarea unor asemenea conturi marionetă a fost observată și în alte operațiuni asociate Iranului, inclusiv un atac revendicat de Atlas Group, un partener al Hackers of Savior, care a fost atribuit de FBI Iranului în 2022. În timpul Campionatului Mondial de Fotbal din 2022, Atlas Group a pretins că a „penetrat infrastructuri” și a desfigurat un site israelian de sport. Pe Twitter, atacul a fost amplificat de conturi marionetă în limba ebraică și prin asumarea identității unui reporter sportiv de la un cunoscut post de știri israelian. Contul fals al reporterului a postat că, după ce a călătorit în Qatar, a ajuns la concluzia că israelienii ar trebui să „nu călătorească în țările arabe”.

Împreună cu capturile de ecran ale datelor scurse, conturile marionetă au postat mesaje sarcastice în franceză, inclusiv: „După mine, următorul subiect al benzilor desenate de Charlie ar trebui să fie experții în securitate cibernetică francezi.” Aceleași conturi au fost observate încercând să amplifice știrile despre presupusa accesare ilegală răspunzând pe Twitter publicațiilor și jurnaliștilor, inclusiv publicației iordaniene al-Dustour, celei algeriene Echorouk și reporterului Le Figaro Georges Malbrunot. Alte conturi marionetă au pretins că Charlie Hebdo acționează în numele guvernului francez și au spus că acesta din urmă căuta să distragă atenția publică de la greve.

Conform FBI, unul dintre obiectivele operațiunilor de influență iraniene este de „a submina încrederea publică în securitatea datelor și a rețelei victimei, precum și a face de râs firmele care au căzut victimă și țările vizate”. Într-adevăr, mesajele din atacul care a vizat Charlie Hebdo seamănă cu cele alte altor campanii asociate Iranului, cum ar fi cele revendicate de Hackers of Savior, un personaj afiliat Iranului care în aprilie 2022 a pretins că s-a infiltrat în infrastructura cibernetică a unor baze de date israeliene importante și a publicat un mesaj prin care avertiza israelienii: „Nu aveți încredere în centrele voastre guvernamentale.

Indiferent care ar fi opinia unor sau altora despre alegerile editoriale de la Charlie Hebdo, publicarea informațiilor cu caracter personal a zeci de mii de clienți reprezintă o amenințare gravă. Acest lucru a fost subliniat pe 10 ianuarie într-un avertisment de „răzbunare” împotriva publicației din partea comandantului Gărzilor Revoluționare Islamice ale Iranului, Hossein Salami, care a dat ca exemplu cazul autorului Salman Rushdie, care a fost înjunghiat în 2022. Salami a mai adăugat că „Rushdie nu va reveni”.

Atribuirea pe care o facem astăzi se bazează pe Cadrul DTAC pentru atribuire.

Microsoft investește în monitorizarea și distribuirea informațiilor despre operațiunile actorilor de stat, astfel încât clienții și democrațiile din întreaga lume să se poată proteja împotriva atacurilor cum a fost cel împotriva Charlie Hebdo. Vom continua să publicăm informații de acest gen atunci când observăm operațiuni similare din partea grupurilor infracționale și guvernamentale din întreaga lume.

Matricea de atribuire a operațiunilor de influență 1

Matrice cu diagrama operațiunilor de influență cibernetică

Articole asociate

Apărând Ucraina: Primele lecții din războiul cibernetic

Cele mai recente descoperiri în efortul nostru continuu de investigare a amenințărilor în războiul dintre Rusia și Ucraina, precum și o serie de concluzii din primele patru luni ale acestuia, subliniază nevoia unor investiții noi și constante în tehnologie, date și parteneriate pentru a sprijini guvernele, companiile, ONG-urile și universitățile.
Aflați mai multe

Reziliență cibernetică

Microsoft Security a efectuat un sondaj printre mai mult de 500 de specialiști în securitate, pentru a înțelege noile tendințe din domeniul securității și principalele îngrijorări din rândul directorilor de securitate informatică.
Aflați mai multe

Detalii din trilioane de semnale zilnice de securitate

Experții în securitatea Microsoft prezintă situația amenințărilor de astăzi, oferind detalii despre noile tendințe, precum și despre amenințările istorice care persistă.
Aflați mai multe

Urmăriți Microsoft