Trace Id is missing

Iran odgovoran za napade na Šarli ebdo

Deljenje
Krupni plan planete

Danas, Microsoft centar za analizu digitalnih pretnji (DTAC) pripisuje iranskom državnom akteru nedavnu operaciju uticaja usmerenu na francuski satirični časopis Šarli ebdo. Ovog aktera, kojeg su identifikovale i Sjedinjenje Države, Microsoft naziva NEPTUNIUM. Ministarstvo pravde o  Emennet Pasargad.

Početkom januara, ranije nepoznata grupa na mreži koja sebe naziva „Holy Souls“, a koju sada možemo identifikovati kao NEPTUNIUM, izjavila je da je pribavila lične podatke za više od 200.000 korisnika časopisa Šarli ebdo nakon „dobijanja pristupa bazi podataka“. Kao dokaz, grupa „Holy Souls“ objavila je uzorak podataka, koji je sadržao tabelu sa detaljnim prikazom punih imena, brojeva telefona, kao i kućnih i adresa e-pošte naloga koji su bili pretplaćeni na publikaciju ili su od nje kupovali proizvode. Te informacije, koje je pribavio iranski akter, mogle su pretplatnike na časopis izložiti riziku da postanu mete ekstremističkih organizacija, na mreži ili fizički.

Uvereni smo da je taj napad reakcija iranske vlade na konkurs za karikaturu koji je organizovao časopis Šarli ebdo. Mesec dana pre nego što je grupa „Holy Souls“ izvršila napad, časopis je objavio da će održati međunarodno takmičenje za karikature koje „ismevaju“ iranskog vrhovnog vođu, Ali Hamneji. Izdanje sa pobedničkim karikaturama trebalo je da bude objavljeno početkom januara, da bi se vremenski poklopilo sa osmom godišnjicom napada dvojice napadača na kancelarije časopisa podstaknutih delovanjem grupe Al Kaida na Arapskom poluostrvu (AKAP).

Grupa „Holy Souls“ oglašavala je prodaju keširanih podataka za 20 BTC (što je u to vreme iznosilo oko 340.000 USD). Objavljivanje kompletnog keša ukradenih podataka – pod pretpostavkom da hakeri zaista poseduju podatke za koje tvrde da ih poseduju – u suštini bi predstavljalo masovno doksiranje čitalaca publikacije koja je već bila izložena ekstremističkim pretnjama (2020. godine) i terorističkim napadima sa smrtnim ishodom (2015. godine). Kako navodno ukradeni korisnički podaci ne bi bili odbačeni kao lažni, francuski list Mond uspeo je da proveri „sa više žrtava curenja“ verodostojnost uzorka dokumenta koji je objavila grupa „Holy Souls“.

Nakon što je grupa „Holy Souls“ objavila uzorak podataka na platformi YouTube i na više hakerskih foruma, curenje je pojačano udruženom operacijom na platformama nekoliko društvenih mreža. U tom pokušaju pojačavanja aktivnosti korišćen je poseban skup taktika, tehnika i procedura (TTP) koji je centar DTAC viđao i ranije u iranskim operacijama uticaja hakovanja i curenja podataka.

Napad se dogodio u isto vreme kada je iranska vlada kritikovala karikature. Iranski ministar spoljnih poslova Hosein Amir Abdolahjan 4. januara je objavio tvit: „Uvredljiva i neučtiva akcija francuske publikacije […] protiv verskih i političko-duhovnih vlasti neće […] ostati bez reakcije.“ Istog dana, iransko Ministarstvo spoljnih poslova sazvalo je hitan sastanak sa francuskim ambasadorom u Iranu zbog „uvrede“ časopisa Šarli ebdo. Iran je 5. januara zatvorio Francuski institut za istraživanja u Iranu, što je iransko Ministarstvo spoljnih poslova opisalo kao „prvi korak“, i izjavio da će se „ozbiljno posvetiti ovom slučaju i preduzeti potrebne mere“.

Postoji nekoliko elemenata napada koji podsećaju na prethodne napade koje su izvršili iranski državni akteri, uključujući:

  • Haktivista koji preuzima odgovornost za kibernetički napad
  • Tvrdnje o uspešno izvedenom napadu na veb sajt
  • Curenje privatnih podataka na mreži
  • Korišćenje neautentičnih „čaraparko“ ličnosti na društvenim mrežama – nalozi na društvenim mrežama koji koriste izmišljene ili ukradene identitete kako bi prikrili pravog vlasnika naloga sa ciljem obmane – tvrdeći da potiču iz zemlje koja predstavlja metu hakovanja za promovisanje kibernetičkog napada koristeći jezik sa očiglednim greškama za osobe kojima je to maternji jezik
  • Imitiranje izvora od autoriteta
  • Obraćanje organizacijama novinskih medija

Iako danas atribuciju vršimo na osnovu većeg skupa obaveštajnih podataka dostupnih Microsoft DTAC timu, uzorak koji se ovde uočava svojstven je operacijama koje finansira iranska država. Ove obrasce identifikovala je i agencija FBI oktobra 2022. godine u svom Obaveštenju o delatnostima u privatnom sektoru (PIN) kao kibernetičke aktivnosti koje su akteri povezani sa Iranom koristili za sprovođenje operacija uticaja.

Kampanja čija je meta bio časopis Šarli ebdo koristila je desetine „čaraparko“ naloga na francuskom jeziku za jačanje kampanje i distribuciju antagonističkih poruka. 4. januara, nalozi, od kojih mnogi imaju mali broj pratilaca i praćenja i nedavno su kreirani, počeli su na mreži Twitter da objavljuju kritike Hamneijevih karikatura. Ono što je najvažnije, pre bilo kakvog značajnog izveštaja o navodnom kibernetičkom napadu, ti nalozi su objavljivali istovetne snimke ekrana oštećenog veb sajta na kojoj se nalazila poruka na francuskom jeziku: „Charlie Hebdo a été piraté“ („Šarli ebdo je hakovan“).

Nekoliko sati nakon što su „čaraparko“ nalozi počeli sa objavljivanjem tvitova, pridružila su im se najmanje dva naloga na društvenim mrežama koji su imitirali francuske zvaničnike – jedan je imitirao tehničkog direktora, a drugi urednika časopisa Šarli ebdo. Ti nalozi – oba kreirana decembra 2022. godine i sa malim brojem pratilaca – potom su počeli da objavljuju snimke ekrana grupe Holy Souls sa curenjem podataka korisnika časopisa Šarli ebdo. Nalozi su od tada obustavljeni na mreži Twitter.

Lažni Twitter nalog urednika časopisa Šarli ebdo objavljuje snimke ekrana sa curenjem korisničkih podataka
Nalog koji se lažno predstavlja kao urednik časopisa Šarli ebdo objavljuje tvitove o curenju podataka

Korišćenje takvih „čaraparko“ naloga uočeno je u drugim operacijama povezanim sa Iranom, uključujući napad za koji je odgovornost preuzela Atlas grupa, partner grupe Hackers of Savior, a koji je FBI pripisao Iranu 2022. godine. Tokom Svetskog prvenstva 2022. godine, Atlas grupa je iznela tvrdnju da je „prodrla u infrastrukturu“ [sic] i oštetila izraelski sportski veb sajt. Na mreži Twitter, „čaraparko“ nalozi na hebrejskom jeziku i lažno predstavljanje sportskog izveštača sa popularnog izraelskog informativnog kanala pojačali su napad. Na nalogu lažnog izveštača objavljeno je kako je nakon putovanja u Katar zaključio da Izraelci „ne bi trebalo da putuju u arapske zemlje“.

Zajedno sa snimcima ekrana sa procurelim podacima, na „čaraparko“ nalozima objavljivane su podrugljive poruke na francuskom jeziku, uključujući: „Mislim da sledeća tema Šarlijevih karikatura treba da budu francuski stručnjaci za kibernetičku bezbednost.“ Isti ti nalozi pokušavali su da povećaju interesovanje za vesti o navodnom hakovanju odgovarajući na tvitove publikacija i novinara, uključujući jordanski dnevni list al-Dustour, alžirski Echorouk kao i izveštača lista Figaro Žorža Malbrunoa. Drugi „čaraparko“ nalozi tvrdili su da je časopis Šarli ebdo delovao u ime francuske vlade koja je pokušavala da skrene pažnju javnosti sa obustava rada.

Prema podacima službe FBI, jedan od ciljeva iranskih operacija uticaja je „podrivanje poverenja javnosti u bezbednost mreže i podataka žrtava, kao i omalovažavanje preduzeća žrtava i zemalja koje su meta napada“. I zaista, poruke u napadu koji je bio usmeren na Šarli ebdo slične su porukama u drugim kampanjama povezanim sa Iranom, poput one za koju je odgovornost preuzela grupa Hackers of Savior, ličnost povezana sa Iranom koja je aprila 2022. godine izjavila da se infiltrira u kibernetičku infrastrukturu velikih izraelskih baza podataka i objavila upozoravajuću poruku Izraelcima: „Ne verujte centrima svoje vlade.

Šta god neko mislio o odlukama uredništva časopisa Šarli ebdo, objavljivanje ličnih podataka o više desetina hiljada njegovih korisnika predstavlja ozbiljnu pretnju. To je 10. januara posebno istakao Hosein Salami, komandant iranskog korpusa Islamske revolucionarne garde u upozorenju o „osveti“ u kojem je ukazao na primer pisca Salmana Ruždija, koji je izboden nožem 2022. godine. Salami je dodao: „Ruždi se neće vratiti.“

Atribucija koju danas vršimo zasniva se na DTAC okviru za atribuciju.

Microsoft ulaže u praćenje i deljenje informacija o državnim operacijama uticaja kako bi se klijenti i demokratska društva širom sveta zaštitili od napada poput onog na Šarli ebdo. Nastavićemo sa objavljivanjem ovakvih obaveštajnih podataka uvek kada uočimo slične operacije vlada i kriminalnih grupa širom sveta.

Matrica za atribuciju operacija uticaja 1

Grafikon matrice operacija kibernetičkog uticaja

Srodni članci

Odbrana Ukrajine: Prve spoznaje iz kibernetičkog rata

Najnovija otkrića u našim neprekidnim naporima u vezi sa informacijama o pretnjama u ratu između Rusije i Ukrajine, kao i niz zaključaka iz prva četiri meseca rata, doveli su do jačanja potrebe za stalnim i novim ulaganjima u tehnologiju, podatke i partnerstva radi pružanja podrške vladama, preduzećima, nevladinim organizacijama i univerzitetima.
Saznajte više

Kibernetička otpornost

Uz uslugu Microsoft bezbednost sprovedena je anketa za više od 500 stručnjaka za bezbednost kako bi se spoznali novi bezbednosni trendovi i najveći problemi kojima se bave direktori za bezbednost informacija.
Saznajte više

Uvidi na osnovu biliona svakodnevnih bezbednosnih signala

Stručnjaci za Microsoft bezbednost osvetljavaju sadašnje okruženje pretnji, pružajući uvid u nove trendove, kao i na stare uporne pretnje u prošlosti.
Saznajte više

Pratite Microsoft bezbednost