Trace Id is missing

Iran odgovoren za napade na revijo Charlie Hebdo

Skupna raba
Posnetek planeta od blizu

Microsoftovo središče za analizo digitalnih groženj pripisuje odgovornost nedavnega postopka vplivanja na francosko satirično revijo Charlie Hebdo iranskemu državnemu akterju. Microsoft tega akterja imenuje NEPTUNIUM, Ministrstvo za pravosodje ZDA pa ga je identificiralo kot  Emennet Pasargad.

V začetku januarja je prej neznana spletna skupina, ki si je nadela ime »Svete duše« in je zdaj znana kot NEPTUNIUM, trdila , da je pridobila osebne podatke več kot 200.000 naročnikov revije Charlie Hebdo, potem ko je »pridobila dostop do zbirke podatkov«. Skupina Svete duše je kot dokaz objavila vzorec podatkov, ki je vključeval preglednico s polnimi imeni, telefonskimi številkami ter domačimi in e-poštnimi naslovi računov, za katere so bila izvedena naročila na publikacijo oziroma nakupi v okviru te publikacije. Zaradi teh informacij, pridobljenih s strani iranskega akterja, je obstajala nevarnost, da naročniki revije postanejo morebitne tarče spletnega ali fizičnega napada ekstremističnih organizacij.

Po našem mnenju je bil ta napad odziv iranske vlade na natečaj za najboljše karikature, ki ga je pripravila revija Charlie Hebdo. Mesec dni pred napadom Svetih duš je revija objavila , da bo organizirala mednarodni natečaj za karikature na temo »zasmehovanja« iranskega vrhovnega voditelja Alija Hameneja. Izid izdaje z zmagovalnimi karikaturami je bil načrtovan za začetek januarja, kar je sovpadalo z osmo obletnico napada na pisarne revije, ki sta ga izvedla dva napadalca, katerima zgled je bila skupina Al Kaida na Arabskem polotoku (AQAP).

Svete duše so za prodajo predpomnilnika s podatki zahtevale 20 BTC (kar je takrat znašalo pribl. 340.000 USD). Objava celotnega predpomnilnika ukradenih podatkov – ob predpostavki, da so hekerji dejansko pridobili omenjene podatke – bi privedla do množičnega vpogleda v bralce publikacije, ki so bili že prej tarče groženj skrajnežev (2020) in terorističnih napadov s smrtnim izidom (2015). Da bi potrdili pristnost domnevno ukradenih podatkov strank, je francoski častnik Le Monde preveril verodostojnost vzorčnega dokumenta, ki so ga objavile Svete duše, pri »več žrtvah tega uhajanja podatkov«.

Ko so Svete duše objavile vzorčne podatke v storitvi YouTube in številnih hekerskih forumih, je bila posledica uhajanja dodatno razširjena z usklajenim postopkom v več platformah družbenih omrežij. Ta prizadevanja za dodatno razširjanje vpliva uhajanja so temeljila na posebnem naboru taktik, tehnik in postopkov vplivanja (TTP), ki so jih v Središču za analizo digitalnih groženj (DTAC) že zaznali v iranskih postopkih vplivanja z vdorom in uhajanjem.

Napad je sovpadel s kritikami iranske vlade na karikature. Iranski zunanji minister Hossein Amir-Abdollahian je 4. januarja tvitnil: »žaljivo in nevljudno dejanje francoske publikacije [...] zoper versko in politično-duhovno avtoriteto ne bo [...] ostalo brez odziva.« Istega dne je iransko ministrstvo za zunanje zadeve nagovorilo francoskega veleposlanika v Iranu glede »žalitve« v reviji Charlie Hebdo. Iran je 5. januarja napovedal zaprtje francoskega inštituta za raziskave v Iranu, kar je iransko zunanje ministrstvo komentiralo kot »prvi korak», in sporočilo, da bo »resno obravnavalo primer ter sprejelo potrebne ukrepe«.

Več elementov napada je podobnih prejšnjim napadom, ki so jih izvedli iranski državni akterji, vključno z:

  • hektivist, ki si pripisuje zasluge za kibernetski napad,
  • trditve o uspešnem uničenju spletnega mesta,
  • uhajanje zasebnih podatkov v spletu,
  • uporaba lažnih identitet oseb v družabnih omrežjih – računov za družabna omrežja z izmišljenimi ali ukradenimi identitetami za prikrivanje prave identitete lastnika računa za namene zavajanja – ki trdijo, da so iz države, ki je bila tarča vdora, da bi promovirali kibernetski napad v jeziku z napakami, ki so očitne maternim govorcem,
  • poosebljanje verodostojnih virov,
  • vzpostavljanje stikov z novičarskimi medijskimi organizacijami.

Čeprav današnje pripisovanje odgovornosti temelji na širšem naboru obveščevalnih podatkov, ki so na voljo ekipi Microsoftovega središča za analizo digitalnih groženj (DTAC), je vzorec tega napada značilen za operacije, ki jih sponzorira iranska država. Ti vzorci so bili prepoznani tudi v poročilu Private Industry Notification (PIN) iz oktobra 2022 , ki ga je izdal urad FBI, kot vzorci, ki jih uporabljajo z Iranom povezani akterji za izvajanje kibernetskih postopkov vplivanja.

Napad, katerega tarča je bila revija Charlie Hebdo, je uporabljal več deset lažnih računov v francoskem jeziku za okrepitev napada in distribuiranje sovražnih sporočil. 4. januarja so bile z računi, med katerimi so imeli številni majhno število sledilcev in so bili ustvarjeni pred kratkim, objavljene kritike na temo karikatur Hameneja v storitvi Twitter. Še posebej pomembno pa je, da so bili s temi računi objavljeni enaki posnetki zasloni vdora na spletno mesto, ki je vsebovalo sporočilo v francoskem jeziku: »Charlie Hebdo a été piraté« (»Prišlo je do vdora v revijo Charlie Hebdo«), še preden so o domnevnem kibernetskem napadu poročali v medijih.

Nekaj ur po objavi tvitov z lažnimi računi sta se pridružila najmanj dva računa družabnih omrežij, ki sta poosebljala francoske avtoritetne osebnosti – eden z lažno identiteto vodje tehnološkega področja, drugi pa urednika revije Charlie Hebdo. Ta računa – oba ustvarjena decembra 2022 in z majhnim številom sledilcev – sta nato začela objavljati posnetke zaslona podatkov strank revije Charlie Hebdo, ki so jih razkrili hekerji Holy Souls. Računi so bili od takrat onemogočeni s strani Twitterja.

Lažni račun urednika revije Charlie Hebdo v storitvi Twitter z objavami posnetkov zaslona z razkritimi podatki strank
Račun z lažno identiteto urednika revije Charlie Hebdo, s katerim je bil v storitvi Twitter objavljen tvit o uhajanju podatkov

Uporaba takšnih lažnih računov je bila opažena tudi v drugih operacijah, povezanih z Iranom, vključno z napadom, ki ga je izvedla skupina Atlas Group, partnerji skupine Hackers of Savior, odgovornost zanj pa je urad FBI leta 2022 pripisal Iranu. Med svetovnim prvenstvom leta 2022 je skupina Atlas Group trdila , da je »vdrla v infrastrukturo« [sic] in poškodovala izraelsko športno spletno mesto. V storitvi Twitter je bil napad dodatno okrepljen z lažnimi računi v hebrejščini in poosebljanjem športnega novinarja priljubljenega izraelskega informativnega kanala. Z lažnim računom in lažno identiteto je domnevni novinar objavil, da je po potovanju v Katar ugotovil, da Izraelci ne bi smeli »potovati v arabske države«.

Poleg posnetkov zaslona razkritih podatkov so bila z lažnim računom objavljena tudi posmehljiva sporočila v francoščini, vključno s temi: »Menim, da bi morala biti naslednja tema karikatur revije Charlie francoski strokovnjaki za kibernetsko varnost.« S temi istimi računi so poskušali razširiti novico o domnevnem vdoru tudi tako, da so s tviti odgovarjali publikacijam in novinarjem, vključno z jordanskim dnevnikom al-Dustour, alžirskim časopisom Echorouk in novinarjem časopisa Le Figaro Georgesom Malbrunotom. Z drugimi lažnimi računi so trdili, da Charlie Hebfrado dela v imenu francoske vlade in želi preusmeriti pozornost javnosti od prekinitve dela.

Po podatkih urada FBI je bil eden od ciljev iranskih vplivnih operacij »spodkopati zaupanje javnosti v varnost omrežja in podatkov žrtve ter osramotiti podjetja žrtve in ciljane države«. Sporočila pri napadu na revijo Charlie Hebdo so namreč podobna sporočilom v drugih napadih, povezanih z Iranom, na primer v napadih, za katere je prevzela odgovornost skupina Hackers of Savior – z Iranom povezana oseba, ki je aprila 2022 trdila, da je vdrla v kibernetsko infrastrukturo glavnih izraelskih zbirk podatkov in objavila sporočilo z opozorilom Izraelcem, naj »ne zaupajo svojim vladnim ustanovam«.

Ne glede na osebna mnenja o uredniških odločitvah revije Charlie Hebdo, objava osebno določljivih podatkov o več deset tisoč naročnikih oziroma bralcih predstavlja resno grožnjo. To je 10. januarja poudaril poveljnik iranske Islamske revolucionarne garde Hossein Salami, ki je opozoril na primer pisatelja Salmana Rushdieja, ki so ga leta 2022 zabodli kot odziv »maščevanja« na objavo v publikaciji. Salami je dodal, “Rushdie se ne bo vrnil.”

Današnje pripisovanje odgovornosti temelji na DTAC okviru za dodeljevanje.

Microsoft vlaga v sledenje in izmenjavo informacij o operacijah vplivanja države, da se lahko stranke in demokracije po svetu zaščitijo pred napadi, kot je bil napad na Charlie Hebdo. Nadaljevali bomo z objavo takšnih podatkov, ko bomo zaznali podobne operacije vladnih in kriminalnih skupin po svetu.

Matrika pripisovanja operacij vplivanja 1

Matrika postopkov kibernetskega vpliva

Sorodni članki

Obramba Ukrajine: Začetne lekcije iz kibernetske vojne

Najnovejše ugotovitve naših stalnih prizadevanj za obveščanje o grožnjah v vojni med Rusijo in Ukrajino, ter vrsta zaključkov iz prvih štirih mesecev, krepijo potrebo po stalnih in novih naložbah v tehnologijo, podatke in partnerstva za podporo vladam, podjetjem, nevladnim organizacijam, in univerzam.
Več informacij

Kibernetska odpornost

Ekipa zbirke Microsoftova varnost je opravila anketo med več kot 500 strokovnjaki za varnost in pridobila informacije o novih trendih varnosti in najpomembnejših skrbeh središč CISO.
Več informacij

Vpogledi v več bilijonov dnevnih signalov

Strokovnjaki za varnost Microsoft razkrivajo današnje okolje groženj in zagotavljajo vpoglede v nastajajoče trende ter trdovratne grožnje iz preteklosti.
Več informacij

Spremljajte Microsoftovo varnost