Trace Id is missing

Iran ansvarigt för attacker mot Charlie Hebdo

En närbild av en planet

Idag tillskriver Microsofts Digital Threat Analysis Center (DTAC) en iransk nationell statsaktör en nyligen utförd påverkansoperation mot den franska satirtidskriften Charlie Hebdo. Microsoft kallar den här aktören NEPTUNIUM, som även har identifierats av USA:s justitiedepartement som  Emennet Pasargad.

I början av januari hävdade en tidigare okänd onlinegrupp som kallade sig ”Heliga själar”, som vi nu kan identifiera som NEPTUNIUM, att man hade fått personuppgifter om mer än 200 000 Charlie Hebdo-kunder efter att ha ”fått åtkomst till en databas”. Som bevis släppte Heliga själar ett urval av uppgifterna, som bl.a. innehöll ett kalkylblad med fullständiga namn, telefonnummer och hem- och e-postadresser för konton som hade prenumererat på eller köpt varor från tidskriften. Denna information, som förvärvats av den iranska aktören, skulle kunna placera tidningens prenumeranter i riskzonen för att bli mål för extremistiska organisationers cyberattacker eller fysiska attacker.

Vi tror att denna attack är ett svar från den iranska regeringen på en satirteckningstävling som arrangerades av Charlie Hebdo. En månad innan Heliga själar genomförde sin attack meddelade tidningen att den skulle arrangera en internationell tävling för tecknade serier som ”förlöjligar” Irans högsta ledare Ali Khamenei. Numret med de vinnande teckningarna skulle publiceras i början av januari, så att den skulle sammanfalla med åttaårsdagen av den attack som två al-Qaida-inspirerade angripare genomförde mot tidningens kontor.

Heliga själar meddelade att cacheminnet med informationen var till salu till ett pris på 20 BTC (motsvarande ungefär 340 000 USD vid tidpunkten). Om alla de stulna uppgifterna skulle släppas ut – förutsatt att hackarna faktiskt sitter på de data de påstår sig ha – skulle i grunden leda till en massdoxning av tidskriftens läsekrets – en tidskrift som redan har utsatts för hot från extremister (2020) och dödliga terrorattacker (2015). För att inte de påstådda stulna kunduppgifterna skulle avfärdas som fabricerade kunde den franska tidningen Le Monde efter att ha talat ”med flera offer för denna läcka” verifiera sanningshalten i de exempeldokument som hade publicerats av Heliga själar.

Efter det att Heliga själar hade publicerat dessa exempeldata på YouTube och flera hackerforum, så gavs läckan extra bränsle genom en samordnad operation på flera sociala medieplattformar. I denna eskaleringsoperation använde man sig av en särskild uppsättning taktiker, tekniker och procedurer för påverkan (TTP) som DTAC har observerat tidigare i iranska hacka-och-läcka-påverkansoperationer.

Attacken sammanföll med kritik mot karikatyrerna från den iranska regeringen. Den 4 januari twittrade Irans utrikesminister Hossein Amir-Abdollahian: ”Det förolämpande och otrevliga agerandet från den franska publikationen […] mot den religiösa och politiskt-andliga auktoriteten kommer inte […] att lämnas utan svar.” Samma dag tillkallades den franska ambassadören i Iran av det iranska utrikesdepartementet angående Charlie Hebdos ”förolämpning”. Den 5 januari stängde Iran det franska forskningsinstitutet i Iran i vad det iranska utrikesministeriet beskrev som ett ”första steg” och sa att de ”på allvar skulle driva fallet och vidta de åtgärder som krävs”.

Många delar av attacken påminner om tidigare attacker utförda av iranska nationella statsaktörer. Några exempel är:

  • En hacktivistprofil tar på sig cyberattacken
  • Hävdar att en lyckad webbplatsdestruktion har genomförts
  • Läckta privata uppgifter online
  • Falska profiler i sociala medier – så kallade sockpuppet-profiler – är sociala mediekonton som använder fiktiva eller stulna identiteter för att dölja kontots verkliga ägare och bedrägliga syften, och som påstår sig vara från det land som hackerattacken riktat in sig på, och som försöker främja cyberattacken genom att använda ett språk som innehåller uppenbara fel för den som har språket som sitt modersmål
  • Imitation av auktoritativa källor
  • Kontakta nyhets- och mediaorganisationer

Även om den tillskrivning vi gör idag baseras på en större mängd underrättelser som är tillgänglig för Microsofts DTAC-team, så är mönstret som ses här typiskt för iranska statssponsrade operationer. Dessa mönster identifierades även av FBI i oktober 2022 i Private Industry Notification (PIN) där det hävdades att de används av Iran-anknutna aktörer som kör cyberaktiverade påverkansoperationer.

Kampanjen som riktades mot Charlie Hebdo använde dussintals franskspråkiga sockpuppet-konton för att förstärka kampanjen och distribuera fientliga budskap. Den 4 januari började dessa konton, av vilka många bara hade ett fåtal följare och hade skapats först strax dessförinnan, att publicera kritik mot Khamenei-tecknarna på Twitter. Av avgörande betydelse här är att, innan det hade hunnit göras någon väsentlig rapportering om den påstådda cyberattacken, så publicerade dessa konton identiska skärmdumpar av en saboterad webbplats med ett meddelande på franska: “Charlie Hebdo a été piraté” (“Charlie Hebdo hackades”).

Några timmar efter det att sockpuppet-kontona hade börjat twittra fick de sällskap av minst två konton på sociala medier som utgav sig för att representera franska personer med auktoritet – ett såg ut att vara en teknisk chefs och ett en Charlie Hebdo-redaktörs. Dessa konton – båda skapade i december 2022 och med lågt antal följare – började sedan lägga upp skärmdumpar av de läckta Charlie Hebdo-kunduppgifterna från Heliga själar. Dessa konton har sedan inaktiverats av Twitter.

Falsk Charlie Hebdo-redaktörs twitterkonto visar skärmdumpar av läckta kunddata
Ett konto som ser ut att tillhöra en Charlie Hebdo-redaktör, twittrar om läckorna

Användningen av sådana sockpuppet-konton har observerats även i andra operationer med kopplingar till Iran, t.ex. en attack som Atlas Group tog på sig, och som är en partner till Hackers of Savior, som tillskrevs Iran av FBI 2022. Under VM 2022 gjorde Atlas Group anspråk på att ha ”penetrerat infrastrukturen” [sic] och skadat en israelisk sportwebbplats. På Twitter förstärkte hebreiska sockpuppet-konton kampanjen, liksom en fejkad sportreporter från en populär israelisk nyhetskanal. På det fejkade kontot publicerade sedan reportern att han efter att ha rest till Qatar hade dragit slutsatsen att Israel borde ”inte resa till arabiska länder”.

Tillsammans med skärmdumpar av de läckta uppgifterna publicerade sockpuppet-kontona hånfulla meddelanden på franska – bland annat följande: ”Jag tycker att Charlies nästa ämne för sina tecknade serier borde vara franska cybersäkerhetsexperter.” Samma konton sågs också försöka lyfta fram nyheten om den påstådda hackerattacken genom att besvara tweets från olika publikationer och journalister, som den jordanska dagstidningen al-Dustour, algeriska Echorouk och Le Figaro-reportern Georges Malbrunot. Andra sockpuppet-konton hävdade att Charlie Hebfrado arbetade för den franska regeringen, som gjorde allt för att försöka avleda folkets uppmärksamhet från de pågående strejkerna.

Enligt FBI är ett av målen med de iranska påverkansoperationerna att ”undergräva allmänhetens förtroende för offrets nätverket och data, samt skämma ut vissa företag och länder.” Faktum är att meddelandet i attacken mot Charlie Hebdo liknar det från andra kampanjer med Iran-kopplingar, såsom de som tillskrivs Hackers of Saviour, ett Iran-anknutet konto som i april 2022 påstod sig ha infiltrerat cyberinfrastrukturen i stora israeliska databaser och sedan publicerade ett uttalande med en varning till alla israeler: ”Lita inte på era statliga center.

Vad man än må tycka om Charlie Hebdos redaktionella val, så skulle läckt personligt identifierbar information om tiotusentals av dess kunder utgöra ett allvarligt hot. Detta underströks den 10 januari i en varning om ”hämd” mot publikationen från det iranska islamska revolutionsgardets befälhavare Hossein Salami, som pekade ut författaren Salman Rushdie, som knivhöggs 2022, som ett exempel. Salami tillade: ”Rushdie kommer inte tillbaka.”

Den tillskrivning vi gör idag baseras på DTAC-ramverket för tillskrivning.

Microsoft satsar på att spåra och dela information om nationalstatliga påverkansoperationer så att kunder och demokratier runt om i världen kan skydda sig mot attacker som den mot Charlie Hebdo. Vi kommer att fortsätta att släppa information som denna så snart vi ser liknande operationer från regeringar och kriminella grupper runt om i världen.

Matris för tillskrivning av påverkansoperationer 1

Diagrammatris för cyberpåverkansoperationer

Relaterade artiklar

Att försvara Ukraina: Tidiga lärdomar av cyberkriget

De senaste rönen i vårt löpande hotinformationsarbete i kriget mellan Ryssland och Ukraina, och en rad slutsatser från krigets första fyra månader, stärker behovet av löpande och nya investeringar i teknik, data och partnerskap för att stödja myndigheter, företag, icke-statliga organisationer och universitet.

Cybermotstånd

Microsoft Security har utfört en undersökning bland fler än 500 säkerhetsexperter för att få grepp om de senaste säkerhetstendenserna och främsta orosmomenten bland IT-säkerhetschefer.

Insikter från biljontals dagliga säkerhetssignaler

Microsofts säkerhetsexperter belyser dagens hotlandskap och ger insikter om nya trender såväl som historiskt beständiga hot.

Följ Microsoft Security