Hôm nay, Trung tâm Phân tích mối đe dọa số (DTAC) của Microsoft sẽ quy kết một hoạt động gây ảnh hưởng gần đây nhắm tới tạp chí châm biếm của Pháp Charlie Hebdo cho một tác nhân được nhà nước Iran hậu thuẫn. Microsoft gọi tác nhân này là NEPTUNI, còn được Bộ Tư pháp Hoa Kỳ xác định là Emennet Pasargad.
Vào đầu tháng 1, một nhóm hoạt động trên mạng chưa từng nghe nói đến trước đây tự xưng là “Holy Souls” (mà giờ đây chúng tôi xác định là NEPTUNI) tuyên bố rằng nhóm này đã lấy được thông tin cá nhân của hơn 200.000 khách hàng của Charlie Hebdo sau khi “có quyền truy nhập vào cơ sở dữ liệu”. Holy Souls đã công bố một mẫu dữ liệu để làm bằng chứng, trong đó có một bảng tính nêu chi tiết họ tên, số điện thoại, cũng như địa chỉ nhà và địa chỉ email của các tài khoản đã đăng ký hoặc đã mua hàng từ ấn phẩm này. Thông tin nằm trong tay tác nhân từ Iran này có thể khiến những người đăng ký tạp chí có nguy cơ bị các tổ chức cực đoan nhắm mục tiêu trên mạng hoặc ở ngoài đời.
Chúng tôi cho rằng cuộc tấn công này là phản hồi của chính phủ Iran đối với cuộc thi vẽ tranh biếm họa do Charlie Hebdo tiến hành. Một tháng trước khi Holy Souls tiến hành cuộc tấn công này, tạp chí đã thông báo sẽ tổ chức một cuộc thi quốc tế về vẽ tranh biếm họa “chế nhạo” vị Lãnh tụ tối cao của Iran là Ali Khamenei. Số báo đăng tải các tranh biếm họa đạt giải sẽ được xuất bản vào đầu tháng 1, trùng với thời điểm tổ chức lễ kỷ niệm 8 năm ngày xảy ra cuộc tấn công tại văn phòng của tạp chí của hai kẻ lấy cảm hứng từ al-Qa’ida ở Bán đảo Ả Rập (AQAP).
Holy Souls đã quảng cáo để bán bộ đệm ẩn của dữ liệu với giá 20 BTC (tương đương khoảng 340.000 USD tại thời điểm đó). Việc công bố toàn bộ bộ đệm ẩn của dữ liệu bị đánh cắp – giả sử tin tặc thực sự có dữ liệu mà chúng tuyên bố sở hữu – về cơ bản sẽ cấu thành hành vi công khai trái phép hàng loạt thông tin về độc giả của một ấn phẩm đã phải chịu những mối đe dọa cực đoan (2020) và các cuộc tấn công khủng bố chết người (2015). Để ngăn chặn những dữ liệu khách hàng bị cáo buộc đánh cắp bị bác bỏ là giả mạo, tờ báo quốc gia Pháp Le Monde đã có thể xác minh “với nhiều nạn nhân của vụ rò rỉ này” tính xác thực của tài liệu mẫu mà Holy Souls công bố.
Sau khi Holy Souls đăng dữ liệu mẫu lên YouTube và nhiều diễn đàn của tin tặc, vụ rò rỉ này đã được khuếch đại thông qua hoạt động phối hợp trên một số nền tảng mạng xã hội. Nỗ lực khuếch đại này đã sử dụng một bộ chiến thuật, kỹ thuật và quy trình (TTP) gây ảnh hưởng cụ thể mà DTAC đã chứng kiến trước đây trong các hoạt động xâm nhập và rò rỉ gây ảnh hưởng của Iran.
Cuộc tấn công này diễn ra cùng thời điểm với việc chính phủ Iran chỉ trích tranh biếm họa. Vào ngày 4 tháng 1, Ngoại trưởng Iran Hossein Amir-Abdollahian đã đăng trên Twitter như sau: “Chúng tôi sẽ không bỏ qua mà sẽ có câu trả lời cho hành động xúc phạm và bất nhã của ấn phẩm Pháp […] chống lại cơ quan tôn giáo và chính trị – tinh thần […]”. Cùng ngày hôm đó, Bộ Ngoại giao Iran đã triệu tập Đại sứ Pháp tới Iran để bàn về hành vi “xúc phạm” của Charlie Hebdo. Vào ngày 5 tháng 1, Iran đã đóng cửa Viện Nghiên cứu của Pháp tại Iran. Theo mô tả của Bộ Ngoại giao Iran, đây là “bước đầu tiên” và họ sẽ “theo đuổi vụ việc này một cách nghiêm túc cũng như thực hiện các biện pháp cần thiết”.
Theo dõi Microsoft Security