Trace Id is missing

伊朗應對《查理週刊》襲擊事件負責

行星特寫

今天,Microsoft 網路威脅分析中心(DTAC)將最近針對法國諷刺雜誌《查理週刊》的影響力作戰歸咎為伊朗民族國家行為者。Microsoft 稱其為 NEPTUNIUM,該行為者也被美國司法部識別出來,即  Emennet Pasargad

1月初,一個前聞所未聞的自稱為「Holy Souls (聖魂)」的在線團體,我們現在可以將其識別為 NEPTUNIUM, 聲稱 在「獲得資料庫存取」后取得了超過 20 萬名《查理週刊》客戶的個人資訊。作為證據,Holy Souls 發佈了一份資料樣本,其中包括一個電子錶格,詳細說明了訂閱或購買該出版物的帳戶全名、電話號碼以及家庭和電子郵件地址。伊朗執行者獲得的這些資訊可能會使該雜誌的訂閱者面臨極端主義組織線上或物理攻擊的風險。

我們認為這次襲擊是伊朗政府對《查理週刊》舉辦的漫畫比賽的回應。在 Holy Souls 發動襲擊的一個月前,該雜誌 宣佈 將舉辦一場「揶揄」伊朗最高領袖阿裡·哈梅內伊的漫畫國際比賽。獲獎漫畫的刊期原定於 1 月初出版,恰逢阿拉伯半島基地組織(半島基地組織)煽動的兩名襲擊者襲擊該雜誌辦公室 八周年 。

Holy Souls 以 20 比特幣(當時約合 340,000 美元)的價格出售資料快取。發佈被盜數據的全部快取(假設駭客確實已掌握他們聲稱擁有的數據),本質上將構成對已經受到 極端主義威脅 (2020 年)和 致命恐怖襲擊 (2015年)的發行集讀者群的大規模人肉搜索。為了避免涉嫌被盜的客戶資料被駁回為捏造,法國權威報紙 《世界報》 能夠 「與這次洩漏的多名受害者」核實 Holy Souls 發佈的範例文件的真實性。

在 Holy Souls 在 YouTube 和多個駭客論壇上發佈資料樣本后,通過在多個社交媒體平臺上的聯合行動,擴大了泄密事件的影響。這種放大投入量利用了 DTAC 之前在伊朗駭客和洩密影響作業中被見證的一套特定的影響力策略、技術和程式(TTP)。

這次襲擊適逢伊朗政府對漫畫的批評。1月4日,伊朗外交部長海珊·阿米爾·阿卜杜拉希安(Hossein Amir-Abdollahian) 在推特上寫道: 「法國出版物[......]對宗教和政治精神權威的侮辱性和無禮行為不會[......]不了了之」。同一天,伊朗外交部就《查理週刊》的「侮辱」 召見了 法國駐伊朗大使。1月5日,伊朗 關閉了 法國駐伊朗研究中心,伊朗外交部稱其為「第一步」,並表示將「認真追究此事件並採取必要措施」。

這次襲擊有幾個元素與伊朗民族國家行為者先前進行的襲擊相似,包括:

  • 一位駭客聲稱個人對該網路攻擊負責
  • 聲稱網站篡改成功
  • 洩露線上私人數據
  • 使用不真實的社交媒體「傀儡」角色(使用虛構或被盜身分識別的社交媒體帳戶,混淆帳戶的真實擁有者,達到欺騙的目的),聲稱其來自駭客攻擊的目標國家/地區,使用母語人士都能看出明顯錯誤的語言來宣傳網路攻擊
  • 冒充權威來源
  • 聯繫新聞媒體組織

雖然我們今天所做的歸因是基於 Microsoft 的 DTAC 團隊可用的更大一組情報,但這裡看到的模式為伊朗國家所支持行動的典型模式。聯邦調查局的  2022 年 10 月 私營企業通知 (PIN)  也確定了這些模式,這些模式被與伊朗有聯繫的執行者用來開展網路影響力行動。

針對《查理週刊》的活動利用了數十個法語傀儡賬戶來擴大該活動並散發敵對傳訊。1月4日,這些賬戶開始在 Twitter 上張貼對哈梅內伊漫畫的批評,其中許多帳戶的粉絲和關注者數量都很低,並且是最近創建的。至關重要的是,在對所謂的網路攻擊進行任何實質性報導之前,這些賬戶 發佈了一個被篡改的網站的相同截圖, 其中包括法語資訊: “Charlie Hebdo a été piraté” (「《查理週刊》被駭客入侵」)。

在傀儡帳戶開始發推文幾個小時后,至少有兩個冒充法國權威人物的社交媒體帳戶加入了他們的行列——一個模仿科技高管,另一個模仿《查理週刊》的編輯。這些都是在 2022 年 12 月建立的帳戶,關注者的數量很少,然後開始發佈 Holy Souls 洩露《查理週刊》客戶資料的螢幕擷取畫面。此後,Twitter 已暫止 這些帳戶。

偽冒《查理週刊》編輯的推特帳戶,發佈了洩露客戶資料的螢幕擷取畫面
一個冒充《查理週刊》編輯的帳戶在推特上發佈了關於洩密事件的推文

在其他與伊朗有關的行動中也觀察到了這種傀儡帳戶的使用,包括阿特拉斯集團聲稱的一次攻擊,该集团是 救世主駭客 的 合作夥伴,聯邦調查局於 2022 年將這起攻擊 歸咎 於伊朗。在 2022 年世界杯期間,阿特拉斯集團 聲稱 「滲透到基礎設施」 [原文如此]並破壞了以色列體育網站。在推特上,希伯來語傀儡帳戶和冒充以色列熱門新聞頻道的體育記者放大了這次襲擊。冒充記者賬戶發帖說,在前往卡達后,他得出的結論是以色列人不應該「前往阿拉伯國家」。

除了洩露數據的螢幕擷取畫面外,傀儡帳戶還用法語發佈了 嘲諷資訊 ,包括:『對我來說,查理漫畫的下一個主題應該是法國網路安全專家。』 這些帳戶還試圖通過在推文中回應出版物和記者來增加涉嫌駭客攻擊的消息,包括《約旦日報》 al-Dustour、阿爾及利亞的 Echorouk 和《費加羅報》記者 Georges Malbrunot。 其他傀儡賬戶聲稱查理·赫夫拉多(Charlie Hebfrado)代表法國政府工作,並表示後者 正試圖轉移公眾 對停工的注意力。

根據聯邦調查局的說法,伊朗影響力行動的一個目標是「破壞公眾對受害者網路和資料安全的信心,並使受害者公司和目標國家/地區難堪」。事實上,針對《查理週刊》的攻擊中的資訊與其他與伊朗有關的活動相似,例如與伊朗有關聯的「救世主駭客」聲稱的資訊,該組織在 2022 年 4 月聲稱滲透了以色列主要資料庫的網路基礎結構,並發佈了一條消息警告以色列人,「不要寄望於你們的政府中心。

無論人們如何看待《查理週刊》的編輯選擇,發佈數以萬計的客戶的個人識別資訊都構成了嚴重的威脅。1月10日,伊朗伊斯蘭革命衛隊司令海珊·薩拉米(Hossein Salami)發出了對出版物進行「報復」的警告,他指出了2022年 被刺傷的作家薩爾曼·拉什迪(Salman Rushdie)的例子。 薩拉米補充道:「拉什迪不會回來了。」

我們今天進行的歸因是基於 DTAC 歸因架構。

Microsoft 投資於追蹤和共用有關民族國家影響力作戰的資訊,以便世界各地的客戶和民主國家/地區能夠保護自己免受像《查理週刊》一樣的襲擊。當我們看到世界各地的政府和犯罪集團採取類似行動時,我們將繼續發佈相似的情報。

影響力作戰歸因矩陣 1

網路影響力行動圖表矩陣

相關文章

保衛烏克蘭:從網路戰爭中獲得的早期教訓

我們在俄烏戰爭中持續進行威脅情報工作的最新發現,以及前四個月的系列結論,都強調了對科技、資料和合作夥伴關係進行持續和新投資的必要性,用以支援政府、公司、非政府組織和大學。

網路韌性

Microsoft 安全性部門對 500 多名安全專業人員進行了問卷調查,以了解新興的安全趨勢和 CISO 最關心的問題。

每日數兆個安全性訊號的深入解析

Microsoft 安全性專家闡明了當今的威脅形勢,並提供新興趨勢和歷史上持續威脅的深入解析。

關注 Microsoft 安全性