Trace Id is missing

Charlie Hebdo saldırılarının sorumlusu İran

Bir gezegenin yakından görünümü

Microsoft’un Dijital Tehdit Analizi Merkezi (DTAC), alaycı Fransız Charlie Hebdo dergisini hedef alan bir etki operasyonundan, İran devleti destekli aktörü sorumlu tuttu. Microsoft bu aktörü NEPTUNIUM olarak adlandırıyor. Ayrıca bu isim ABD’nin Adalet Bakanı  Emennet Pasargad tarafından da bu şekilde tanımlanmıştır.

Ocak ayının ilk günlerinde, daha önce hiç duyulmamış, kendilerini “Holy Souls” olarak adlandıran, ancak bizim NEPTUNIUM olarak tanımladığımız online grup, “veritabanına erişim sağladıktan” sonra 200.000’den fazla Charlie Hebdo müşterisinin kişisel verilerini ele geçirdiğini iddia etti . Holy Souls, iddialarının kanıtı olarak, bu yayına abone olan veya buradan ürün satın alan hesapların tam adları, telefon numaraları, ev ve e-posta adresleri gibi detayların bulunduğu elektronik tabloyu içeren örnek verileri yayınladı. İran destekli aktör tarafından elde edilen bu bilgiler, derginin abonelerinin aşırılıkçı kurumlar tarafından çevrimiçi veya fiziksel olarak hedef alma riskiyle baş başa bırakıyor.

Bu saldırının, İran devletinin, Charlie Hebdo tarafından yürütülen karikatür yarışmasına verdiği bir cevap olduğuna inanıyoruz. Dergi, Holy Souls tarafından gerçekleştirilen saldırılan bir ay önce, İran’ın ulu lideri Ali Khamenei ile “alay eden” karikatürlere yönelik uluslararası bir yarışma düzenleyeceğini duyurmuştu . Kazanan karikatürlerinin yer aldığı sayı, Ocak ayının ilk günlerinde yayınlanacaktı ancak bu, Arap Yarımadası El-Kaidesi’nden etkilenen iki saldırganın derginin ofislerine düzenlediği saldırının sekizinci yıldönümüne denk gelmişti.

Holy Souls, verilerin önbelleğini 20 BTC karşılığında (yaklaşık 340.000 USD) satışa çıkardı. Korsanların iddia ettikleri gibi verilere sahip olduğu varsayıldığında çalışan verilerin tam önbelleğinin yayınlanması, zaten aşırılıkçı tehditlere (2020) ve ölümcül terör saldırılarına maruz kalan (2015) yayın kuruluşunun okurlarının topluca bilgilerine ulaşılması riski barındırıyordu. Çalındığı iddia edilen müşteri verilerinin uydurma olduğu sanılmasın diye Fransız gazetesi Le Monde , Holy Souls tarafından yayınlanan örnek verilerin gerçekliğini “bu sızdırmadan mağdur olan birden fazla kişiyle”doğrulamayı başardı .

Holy Souls, örnek verileri YouTube’da ve birçok korsan forumunda paylaştıktan sonra sızdırma birden fazla sosyal medya platformunda yapılan toplu bir operasyonla daha da yayıldı. Bu yayma çabası sırasında, DTAC’nin, İran’ın korsanlık yap ve sızdır benzeri operasyonlarında rastladığı bir takım etkileme taktikleri, teknikleri ve prosedürleri (TTP) kullanılmıştır.

Saldırı, İran devletinin karikatürlere yönelik yaptığı eleştirilerle aynı zamana denk geliyordu. İran Dış İşleri Bakanı Hossein Amir-Abdollahian , 4 Ocak’ta şu tweet’i atmıştı: ”Fransız yayın kuruluşunun [...] dini, siyasi ve ruhani mercilere karşı yaptığı aşağılayıcı ve saygısız eylem [...] karşılıksız kalmayacak.” İran Dışişleri Bakanlığı, Charlie Hebdo’nun “hakareti” ile ilgili olarak aynı gün İran’ın Fransa Büyükelçisini çağırdı . İran, 5 Ocak’ta İran’daki Fransız Araştırma Enstitüsü’nü kapattı ve İran Dışişleri Bakanlığı bu gelişmeyi “birinci adım” olarak tanımlayarak “meselenin ciddiyetle ele alındığını ve gerekli önlemlerin alınacağını” belirtti.

Saldırıda, İran devlet destekli aktörlerin daha önce gerçekleştirdiği saldırılara benzeyen aşağıdaki saldırı unsurlarına da rastlanmıştır:

  • Bir korsan aktivistinin, siber saldırıdan sorumlu olduğunu iddia etmesi
  • Web sitesinin başarılı şekilde tahribata uğratıldığı iddiaları
  • Özel verilerin internet ortamına sızdırılması
  • Ana dili konuşan kişilerin kolayca tespit edebileceği hatalarla dolu bir dil kullanarak siber saldırıyı desteklemek için saldırının hedef aldığı ülkeden olduğunu iddia eden ve sosyal medyada gerçek olmayan “kukla” kişiliklerin, yani kandırma amacıyla hesabın gerçek sahibini gizlemek için sahte veya çalınan kimlikleri kullanan sosyal medya hesaplarının kullanılması
  • Yetkili kaynakların kimliğine bürünme
  • Haber medya kurumlarıyla iletişime geçme

Halihazırda açıkladığımız bağlantılar, Microsoft’un DTAC ekibinin elde ettiği büyük ölçekli verilere dayalı olsa da burada görülen düzen, İran devleti destekli operasyonlarına uygun düşmektedir. Ayrıca FBI’ın Ekim 2022 tarihli Özel Endüstri Bildirimi’nde (PIN) , bu saldırı düzeninin, İran’la bağlantılı aktörler tarafından siber destekli etki operasyonları yürütmede kullanıldığı tespit edilmiştir.

Charlie Hebdo’yu hedef alan kampanyada, kampanyanın genişletilmesi ve muhalif mesajların yayılması için Fransızca olarak binlerce kukla kullanıldı. Birçoğu takipçi ve takip edilen hesap sayısı az olan ve yeni oluşturulan hesaplar, 4 Ocak’ta Twitter üzerinden Khamenei karikatürlerine yönelik eleştiriler paylaşmaya başladı. Daha da önemlisi bu hesaplar, sözde siber saldırıyla ilgili herhangi bir haber yapılmadan önce, “Charlie Hebdo a été piraté” (“Charlie Hebdo hacklendi”)şeklinde Fransızca mesajın yer aldığı, tahribata uğrayan web sitenin benzeri olan ekran görüntüleri paylaştı .

Kukla hesaplar tweet atmaya başlamadan birkaç saat önce, biri teknoloji sektöründe yönetici, diğeri ise Charlie Hebdo editörü olmak üzere Fransız otorite figürlerini taklit eden en az iki sosyal medya hesabı bunlara katıldı. Ardından, Aralık 2022’de oluşturulan ve düşük takipçi sayısına sahip bu iki hesap, Holy Souls’un sızdırdığı Charlie Hebdo müşteri verilerinin ekran görüntülerini paylaşmaya başladı. O tarihte bu hesaplar Twitter tarafından askıya alındı.

Sızdırılan müşteri verilerinin ekran görüntülerini paylaşan ve Charlie Hebdo editörü gibi davranan sahte bir twitter hesabı
Bir Charlie Hebdo editörü gibi davranan ve sızıntılar hakkında tweet atan bir hesap

Bu tür kukla hesapların, İran ile bağlantılı diğer operasyonlarda da kullanıldığı görüldü. Bunlardan biri, 2022 yılında FBI tarafından İran ile ilişkilendirilen ve Hackers of Saviorgrubunun ortağı Atlas Grubu tarafından üstlenilen saldırıydı. Atlas Grubu, 2022 Dünya Kupası sırasında, İsrail menşeli bir spor web sitesinin “altyapılarına girdiğini” [ifade edildiği şekliyle] ve tahribata uğrattığını iddia etmişti . Twitter’da, İbranice yazan kukla hesaplar ve İsrail’deki popüler bir haber kanalının spor muhabirinin taklitçileri saldırıyı daha da yaydı. Sahte muhabir hesabı, Katar’a vardıktan sonra İsrailli kişilerin “Arap ülkelerine seyahat etmemesi“ gerektiği kanısına vardığını paylaştı.

Kukla hesaplar, sızdırılan verilerin ekran görüntülerinin yanı sıra Fransızca olarak şu şekilde alaycı mesajlar paylaştı: “Bence Charlie karikatürlerinin bir sonraki konusu Fransız siber güvenlik uzmanları olmalı.” Ayrıca aynı hesaplar, Ürdün gazetesi al-Dustour, Cezayir’in  Echorouk gazetesi ve Fransız gazetesi Le Figaro muhabiri Georges Malbrunot dahil gazetecilere ve yayın kurumlarına tweet atarak yanıt vererek iddia edilen hack eyleminin haberlerini artırma girişiminde bulunduğu tespit edildi. Diğer kukla hesaplar ise Charlie Hebdo’nun Fransa devleti adına çalıştığını iddia ederek Fransa devletinin, işçi eylemlerinden halkın dikkatini başka yöne çevirmeye çalıştığını belirtti.

FBI’ya göre, İran etki operasyonlarının hedefi, “mağdurların ağlarının ve verilerinin güvenliğine ilişkin toplumun güvenirliğini sarsmak ve mağdur şirketler ile hedef alınan ülkeleri rahatsız etmektir”. Aslında Charlie Hebdo’yu hedef alan saldırıdaki mesajlar, Nisan 2022’deki İran ile ilişkilendirilen kişilik olarak Hackers of Savior grubu tarafından üstlenilen İran ile ilişkili diğer kampanyalarla benzerlik göstermektedir ve büyük İsrail veritabanlarının siber altyapılarına sızıldığı iddia edilerek İsrailli kişileri uyaran şu mesaj yayınlanmıştır:“Devletinizin ana merkezlerine güvenmeyin.

Charlie Hebdo’nunyayın tercihleriyleilgili hangi yönde düşünceler olursa olsun, on binlerce müşterisinin kişisel verilerin yayınlanması saldırı tehdidi oluşturmaktadır. 10 Ocak'ta İran Devrim Muhafızları Komutanı Hossein Salami'nin, 2022'de bıçaklanan yazar Salman Rushdie örneğine atıfta bulunarak yaptığı yayına karşın "intikam" uyarısıyla bu olaya dikkat çekilmiştir. Ayrıca Salami, “Rushdie geri dönmeyecek” ifadesini de eklemiştir.

Bugün yaptığımız ilişkilendirme,  DTAC’nin İlişkilendirme Çerçevesi’ne dayanarak yapılmıştır.

Microsoft, dünya çapındaki müşterilerimizin ve devletlerin, Charlie Hebdo saldırısına benzer saldırılara karşı kendilerini koruyabilmeleri için devlet destekli etki operasyonlarını takip edebilmeyi ve bilgi paylaşımını sağlayacak yatırımlar yapıyor. Dünya çapında devlet destekli grupların veya suçlu gruplarının gerçekleştirdiği benzer operasyonlar bulduğumuz takdirde bu ve benzeri bilgileri paylaşmaya devam edeceğiz.

Etki operasyonu ilişkilendirme matrisi 1

Siber etki operasyonları grafik matrisi

İlgili makaleler

Ukrayna’yı Savunmak: Siber Savaştan Çıkarılan İlk Dersler

Rusya ve Ukrayna arasındaki savaşla ilgili olarak devam ettiğimiz tehdit analizi çalışmalarımızda edindiğimiz son bulgular ve ilk dört ayda ulaştığımız bir dizi sonuç; hükumetleri, şirketleri, STK’ları ve üniversiteleri desteklemek için teknoloji, veri ve ortaklıklar konusunda mevcut yatırımları sürdürmenin yanı sıra bunlara yenilerinin de eklenmesi gerektiğini gösteriyor.

Siber Destek

Microsoft Güvenlik, ortaya çıkan güvenlik eğilimlerini ve CISO’lar arasındaki en önemli endişeleri anlamak için 500’den fazla güvenlik uzmanının katılımıyla bir anket gerçekleştirdi.

Trilyonlarca günlük güvenlik sinyalinden elde edilen içgörüler

Microsoft güvenlik uzmanları, günümüzün tehdit ortamını aydınlatarak yeni ortaya çıkan trendlerin yanı sıra geçmişten bugüne devam eden tehditler hakkında da bilgi veriyor.

Microsoft Güvenlik'i takip edin