Trace Id is missing
דלג לתוכן הראשי
Security Insider

איראן עומדת מאחורי המתקפות על Charlie Hebdo

שתף
צילום תקריב של כדור לכת

כיום, מרכז ניתוח האיומים הדיגיטליים (DTAC) של Microsoft מייחסת פעולת השפעה שבוצעה לאחרונה והתמקדה במגזין הסטירי הצרפתי Charlie Hebdo לשחקן מדינת לאום איראני. Microsoft קוראת לגורם זה NEPTUNIUM, אשר זוהה גם על-ידי משרד המשפטים האמריקאי בתור  Emennet Pasargad.

בתחילת ינואר, קבוצה מכוונת שלא נשמע עליה לפני כן אשר מכנה את עצמה “Holy Souls”, ועכשיו ניתן לזהות בשם NEPTUNIUM, טענה שהיא השיגה מידע אישי של מעל 200,000 לקוחות Charlie Hebdo לאחר ”השגת גישה למסד נתונים”. כהוכחה, Holy Souls הפיצו דוגמה של הנתונים, אשר כללה גיליון אלקטרוני שמפרט את השמות המלאים, מספרי הטלפון וכתובות הבית והדוא”ל של חשבונות שנרשמו כמנויים להוצאה או רכשו ממנה סחורה. מידע זה, שהושג על-ידי גורם איראני, יכול להציב בסיכון את מנויי המגזין שיהפוך אותם ליעד מקוון או פיזי של ארגונים קיצוניים.

אנו מאמינים שמתקפה זו היא תגובה של הממשל האיראני לתחרות הקריקטורות שנערכה על-ידי Charlie Hebdo. חודש לפני ש- Holy Souls ביצעו את המתקפה הזאת, המגזין הכריז שהוא יערוך תחרות בינלאומית של קריקטורות ”שמגחכות” על המנהיג העליון של איראן, עלי חמינאי. הגיליון שכולל את הקריקטורות הזוכות היה אמור להתפרסם בתחילת ינואר, כך שהוא תוזמן להתקיים במקביל ליום השנה השמיני של מתקפה שבוצעה על-ידי שני פעילי אל-קעידה בחצי האי ערב (AQAP)-שממנה שאבו השראה התוקפים במשרדי העיתון.

Holy Souls פרסמה את מטמון הנתונים למכירה בתמורה - 20 BTC (שווה ערך לכ- USD$340,000 באותה תקופה). ההפצה של המטמון המלא של נתונים גנובים - בהנחה של הפורצים אכן החזיקו בנתונים שהם טענו שבידיהם - כוננה בסופו של דבר את חשיפת ופרסום המידע ההמוני של קוראי ההוצאה שכבר היו נתונים לאיומי פעילים קיצוניים (2020) ולמתקפות טרור רצחניות (2015). העיתון הצרפתי Le Monde הצליח לאמת ”בעזרת קרבנות רבים של הדליפה” את האמת של המסמך לדוגמה שפורסם על-ידי Holy Souls, שמא נתוני הלקוחות שנגנבו לכאורה יזכו ליחס מבטל כאל נתונים מזויפים.

לאחר ש- Holy Souls פרסמה את הנתונים לדוגמה ב- YouTube ובפורומים רבים של האקרים, הדליפה הודברה על-ידי פעולה מוצקה ברחבי מספר פלטפורמות מדיה חברתית. מאמץ חיזוק זה השתמש בערכה מסוימת של טקטיקות, טכניקות ונהלים (TTPs) בעלי השפעה ש- DTAC היה עד להם לפני כן בפעולות פריצה ודליפה איראניות בעלות השפעה.

המתקפה התרחשה במקביל לביקורת על הקריקטורות מהממשל האיראני. ב- 4 בינואר, שר החוץ האיראני חוסיין אמיר עבד א-ליהאן צייץ ב- Twitter: ”הפעולה הפוגענית וגסת הרוח של ההוצאה הצרפתית [...] נגד הרשות הדתית והפוליטית-רוחנית לא [...] תיוותר ללא תגובה”. באותו יום, משרד החוץ האיראני זימן את השגריר הצרפתי לאיראן בשל ”עלבון” של Charlie Hebdo. ב- 5 בינואר, איראן סגרה את המוסד הצרפתי למחקר באיראן בפעולה שתיארו שר החוץ האיראני בתור ”שלב ראשון” ואמר שהיא ”תרדוף ברצינות גמורה את המקרה ותנקוט בצעדים הנדרשים”.

ישנם מספר רכיבים של המתקפה שדומים למתקפות קודמות שבוצעו על-ידי שחקני מדינת לאום איראניים כולל:

  • אישיות האקטיביסטית דורשת קרדיט עבור מתקפת הסייבר
  • טוענת להשחתה מוצלחת של אתר אינטרנט
  • דליפה של נתונים פרטיים לרשת
  • השימוש באישיויות ”וירטואליות בדויות” לא מאומתות במדיה חברתית - חשבונות מדיה חברתית שמשתמשים בזהויות בדויות או גנובות כדי להאפיל על הבעלים האמתיים של החשבון למטרת רמאות - טוענת שמקורה במדינה שהוצבה כיעד של הפריצה כדי לקדם את מתקפת הסייבר באמצעות שפה שכוללת שגיאות ברורות לדוברי השפה במקור
  • התחזות למקורות סמכותיים
  • יצירת קשר עם ארגוני מדיה של חדשות

בעוד שהשייכות שאנו מבצעים היום מבוססת על ערכת גדולה יותר של בינה שזמינה לצוות ה- DTAC של Microsoft, הדפוס שנראה כאן הוא טיפוסי לפעולות בחסות המדינה האיראנית. גם  ה- Private Industry Notification ‏(PIN) מאוקטובר 2022 של ה- FBI זיהה שדפוסים אלה היו בשימוש של שחקנים שקשורים לאיראן כדי להפעיל פעולות בעלות השפעה שמאפשרות סייבר.

הקמפיין שהציב כיעד את Charlie Hebdo השתמש בעזרות חשבונות בעלי זהות וירטואלית בדויה בשפה הצרפתית כדי להגביר את הקמפיין ולשבש העברת הודעות עוינות. ב- 4 בינואר, החשבונות, שלרבים מהם יש מספר עוקבים נמוך ונוצרו לאחרונה, התחילו לפרסם ביקורות על הקריקטורות של חמינאי ב- Twitter. באופן מכריע, לפני שהיה דיווח מוצק כלשהי לגבי מתקפת הסייבר המכוונת, חשבונות אלה פרסמו צילומי מסך זהים של אתר אינטרנט מושחת שכלל הודעה בצרפתית: “Charlie Hebdo a été piraté” ‏(”Charlie Hebdo נפרץ”).

מספר שעות לאחר שהחשבונות הווירטואליים הבדויים החלו לפרסם ב-Teitter, הצטרפו אליהם שני חשבונות במדיה החברתית שהתחזו לדמויות ברשויות הצרפתיות - אחד שחיקה מנהל טכנולוגיה בכיר והשני חיקה עורך של Charlie Hebdo. חשבונות אלה - ששניהם נוצרו בדצמבר 2022 עם מספר עוקבים נמוך - התחילו בשלב זה לפרסם צילומי מסך של נתוני לקוחות Charlie Hebdo שהודלפו מקבוצת Holy Souls. החשבונות הושעו מאז על-ידי Twitter.

חשבון Twitter מזויף של עורך העיתון Charlie Hebdo מפרסם צילומי מסך של נתוני לקוחות שדלפו
חשבון שמתחזה לעורך של Charlie Hebdo, מפרסם ב- Twitter לגבי הדליפות

השימוש בחשבונות וירטואליים בדויים מסוג זה נצפו בפעולות אחרות שמקושרות לאיראן כולל מתקפה שאת האחריות עליה לקחה Atlas Group, שותפה של Hackers of Savior, אשר ה- FBI שייך אותה לאיראן ב- 2022. במהלך גביע העולם של 2022, Atlas Group טענה שהיא ”חדשה לתוך התשתיות” והשחיתה אתר אינטרנט ישראלי בתחום הספורט. חשבונות וירטואליים בדויים בשפה העברית ב- Twitter והתחזות לכתבי ספורט מערוץ חדשות ישראלי פופולרי, חיזרו את המתקפה. חשבון הכתב המזויף פרסם שלאחר נסיעה לקטר, הוא הגיע למסכנה שעל הישראלים ”לא לטייל למדינות ערביות.”

יחד עם צילומי מסך של הנתונים שדלפו, החשבונות הווירטואליים הבדויים פרסמו הודעות מקניטות בצרפתית, כולל: ”בשבילי, הנושא הבא של הקריקטורות של Charlie צריך להיות מומחי אבטחת סייבר צרפתים”. אותם חשבונות נראו גם מנסים לחזק את החדשות של הפריצה לכאורה על-ידי תגובה בציוצי Twitter להוצאות ועיתונאים, כולל עיתון הירדני היומי al-Dustour,  Echorouk  האלג’יראי וכתב Le Figaro זו’רז’ מלברונו. חשבונות וירטואליים בדויים אחרים טענו ש- Charlie Hebdo פעל בשם הממשלה הצרפתית ואמרו שהממשלה חיפש להסיט את תשומת לב הציבור מההחלטה על ניכויי עבודה.

לפי ה- FBI, מטרה אחת של פעולות ההשפעה האיראניות היא ”לערער את הביטחון הציבורי באבטחה של הרשת והנתונים של הקרבן, וכן להביך את החברות שמהוות קרבן ואת המדינות שהוצבו כיעד”. אכן, העברת ההודעות במתקפה שהציבה כיעד את Charlie Hebdo דומה להעברת הודעות של קמפיינים אחרים שמקושרים לאיראן, כגון כאלה שלקח עליהם אחריות Hackers of Savior, אישיות שמשויכת לאיראן אשר באפריל 2022 טענה שהיא חדרה לתשתית הסייבר של מסדי נתונים ישראליים חשובים ופרסמה הודעה שמזהירה ישראלים, ”אל תסמכו על מרכזי הממשל שלכם”.

לא משנה מה דעתו של אדם לגבי בחירות מאמר המערכת של Charlie Hebdo, ההפצה של מידע המאפשר זיהוי אישי של עשרות אלפים מלקוחות העיתון כולל איום חמור. רעיון זו הודגש ב- 10 בינואר באזהרה לגבי ”נקמה” נגד ההוצאה ממפקד משמרות של המהפכה האיסלאמית של איראן, חוסיין סלאמי, שהצביע על הדוגמה של המחבר סלמאן רושדי, שנדקר בשנת 2022. סלאמי הוסיף, ”רושדי לא יחזור”.

השיוך שאנו עושים היום מבוסס על מסגרת המדיניות של DTAC עבור שיוך.

Microsoft משקיעה במעקב ושיתוף מידע לגבי פעולות בעלות השפעה של מדינת לאום כדי שלקוחות ומדינות דמוקרטיות ברחבי העולם יוכלו להגן על עצמם מפני מתקפות כמו המתקפה שהתרחשה נגד Charlie Hebdo. אנו נמשיך להפיץ מודיעין מסוג זה כשנראה פעולות דומות ממשלות וקבוצות פושעים ברחבי העולם.

מטריצת שיוך פעולות בעלות השפעה 1

מטריצת תרשים של פעולות המשפיעות על תחום הסייבר

מאמרים קשורים

הגנה על אוקראינה: לקחים מוקדמים ממלחמת הסייבר

ממצאים העדכניים ביותר במאמצי בינת האיומים המתמשכים שלנו במלחמה בין רוסיה לאוקראינה, וסדרה של מסקנות מארבעת החודשים הראשונים שלה מחזקת את הצורך בחקירות מתמשכות וחדשות בטכנולוגיה, נתונים ושותפות כדי לתמוך בממשלות, חברות, ארגונים שאינם למטרות רווח ואוניברסיטאות.
למידע נוסף

חסינות סייבר

האבטחה של Microsoft ערכה סקר שכלל מעל 500 מומחי אבטחה כדי להבין את המגמות החדשות של אבטחה ואת הדאגות המובילות בקרב חברי CISO.
למידע נוסף

תובנות שהתקבלו מטריליוני אותות אבטחה יומיים

מומחי Microsoft לאבטחה שופכים אור על סביבת האיומים של ימינו ומספקים תובנות לגבי המגמות החדשות ולגבי האיומים הקבועים.
למידע נוסף

עקוב אחר 'האבטחה של Microsoft'