Trace Id is missing

Iran odgovoran za napade na Charlie Hebdo

Zajedničko korištenje
Krupni plan planeta

Microsoftov centar za analizu digitalnih prijetnji (DTAC) danas pripisuje nedavnu operaciju utjecaja kojoj je meta bio francuski satirični časopis Charlie Hebdo iranskom državnom akteru. Microsoft naziva tog aktera NEPTUNIUM, a također ga je i Ministarstvo pravosuđa SAD-a identificiralo kao  Emennet Pasargad.

Početkom siječnja grupa na mreži koja sebe naziva „Holy Souls”, za koju prethodno nitko nije čuo, a koju sada možemo identificirati kao NEPTUNIUM, tvrdila je da je pribavila osobne podatke od više od 200 000 korisnika časopisa Charlie Hebdo nakon „dobivanja pristupa bazi podataka”. Kao dokaz, Holy Souls je objavio uzorke podataka koji su obuhvaćali proračunsku tablicu s imenima i prezimenima, telefonskim brojevima, kućnim adresama i adresama e-pošte računa koji su se pretplatili na taj časopis ili kupili proizvode od tog časopisa. Ove informacije, koje je pribavio iranski akter, mogu ugroziti pretplatnike na časopis jer mogu postati mete ekstremističkih organizacija, na mreži ili fizički.

Vjerujemo da je ovaj napad odgovor iranske vlade na natječaj karikaturista koji je proveo Charlie Hebdo. Mjesec dana prije nego je grupa Holy Souls provela svoj napad, časopis je objavio da će provesti međunarodni natječaj za karikature kojima se „ismijava” iranski vrhovni vođa Ali Khemenei. Broj s pobjedničkim karikaturama trebao je biti objavljen početkom siječnja kako bi se podudarao s osmom godišnjicom napada dvaju napadača na urede časopisa, koje je nadahnula al-Qa’ida na Arapskom poluotoku (AQAP).

Holy Souls je oglasio prodaju predmemorije podataka za 20 BTC (u to doba otprilike u vrijednosti od 340 000 USD). Objava cijele predmemorije ukradenih podataka – pod pretpostavkom da hakeri imaju podatke za koje tvrde da su u posjedu – u osnovi bi sačinjavalo masovno razotkrivanje čitateljstva časopisa koji je već bilo žrtva ekstremističkih prijetnji (2020.) i smrtonosnih terorističkih napada (2015.). Kako ukradeni korisnički podaci ne bi bili odbačeni kao lažni, francuski list Le Monde uspio je provjeriti „s više žrtava curenja” vjerodostojnost uzorka dokumenta koji je objavila grupa Holy Souls.

Nakon što je grupa Holy Souls objavila uzorke podataka na YouTubeu i više hakerskih foruma, curenje je pojačala usklađena operacija na nekoliko platformi društvenih mreža. U tom pokušaju pojačavanja aktivnosti korišten je poseban skup taktika, tehnika i procedura (TTP) koji je centar DTAC viđao i ranije u iranskim operacijama utjecaja hakiranja i curenja podataka.

Napad se poklapao s kritikama karikatura iz iranske vlade. Iranski ministar vanjskih poslova Hosein Hossein Amir-Abdollahian 4. siječnja je objavio na mreži Twitter: „Uvredljiva i nepristojna akcija francuskog časopisa […] protiv vjerskih i političko-duhovnih vlasti neće […] ostati bez reakcije.” Istog je dana iranskog Ministarstvo vanjskih poslova pozvalo francuskog veleposlanika u Iranu zbog „uvrede” Charlija Hebdoa. Dana 5. siječnja Iran je zatvorio Francuski institut za istraživanje u Iranu radnjom koju je iransko Ministarstvo vanjskih poslova opisalo kao „prvi korak” i rekao je da će „ozbiljno raditi na tom slučaju i poduzeti potrebne mjere.”

Postoji nekoliko elemenata napada koji sliče prethodnim napadima koje su provodili iranski državni akteri, uključujući:

  • Haktivistički entitet koji tvrdi da je odgovoran za računalni napad
  • Tvrdnje o uspješnom brisanju web-mjesta
  • Curenje privatnih podataka na mreži
  • Korištenje neautentičnih modela korisnika „lutke od čarapa” na društvenim medijima – računi na društvenim medijima koji koriste fiktivne ili ukradene identitete kako bi učinili nerazumljivim račun stvarnog korisnika u svrhe obmane – za koje se tvrdi da dolaze iz zemalja koja haker cilja za promicanje računalnog napada primjenom jezika s greškama očitima izvornom govorniku
  • Oponašanje autoritativnih izvora
  • Stupanje u kontakt s novinskim medijskim organizacijama

Dok se pripisivanje koje radimo danas temelji na većem skupu obavještajnih podataka dostupnom Microsoftovu DTAC timu, obrazac koji se ovdje vidi tipičan je za operacije koje sponzorira Iran. Ove je obrasce također identificirao FBI u svojoj  Obavijesti o privatnoj industriji (PIN) u listopadu 2022. kao obrasce koje koriste akteri povezani s Iranom radi provođenja kibernetički omogućenih operacija utjecaja.

U kampanji u kojoj je meta bio Charlie Hebdo koristili su se deseci računa s lutkama od čarapa na francuskom jeziku kako bi se pojačala kampanja i distribuirala antagonistička poruka. Dana 4. siječnja računi su počeli objavljivati kritike karikatura Khameneija na Twitteru, a ti računi imaju mali broj pratitelja, mali broj računa koje prate te su nedavno izrađeni. Ključno je da su prije bilo kojeg značajnog izvješćivanja o provedenom računalnom napadu ovi računi objavili identične snimke zaslona izbrisanog web-mjesta s porukom na francuskom jeziku: ”Charlie Hebdo a été piraté” („Charlie Hebdo je hakiran”).

Nekoliko sati nakon što su lutke od čarapa počele tweetati, pridružila su im se najmanje dva računa na društvenim mrežama koja su oponašala francuska autoritativna tijela – jedan je imitirao tehnološkog direktora, a druge urednika u časopisu Charlie Hebdo. Ovi su računi – oba izrađena u prosincu 2022. i s malim brojem pratitelja – zatim počeli objavljivati snimke zaslona Charlie Hebdo korisničkih podataka koji su procurili od grupe Holy Souls. Račune je od tada suspendirao Twitter.

Lažni urednički račun na Twitteru časopisa Charlie Hebdo stavlja snimke zaslona korisničkih podataka koji su procurili
Račun koji oponaša Charlie Hebdo urednika, tweeta o curenjima

Upotreba takvih računa s lutkama od čarapa uočena je u drugim operacijama povezanima s Iranom, uključujući napad čiju je odgovornost preuzela grupa Atlas Group, partner grupe Hackers of Savior, koju je FBI pripisao Iranu 2022. godine. Tijekom Svjetskog nogometnog prvenstva 2022. Atlas Group je tvrdio da je „probio u infrastrukture” [sic] i obrisao izraelsko sportsko web-mjesto. Na Twitteru su računi s lutkama od čarapa na hebrejskom jeziku i oponašanje sportskog reportera na popularnom izraelskom kanalu s vijestima pojačali napad. Lažni račun reportera objavio je da je nakon putovanja u Katar zaključio da Izraelci „ne bi trebali putovati u arapske zemlje”.

Zajedno sa snimkama zaslona podataka koji su procurili, računi s lutkama od čarapa objavili su zajedljive poruke na francuskom jeziku, uključujući: „Za mene, sljedeći subjekt Charliejevih karikatura trebali bi biti francuski stručnjaci za računalnu sigurnost.” Ovi su isti računi također pokušali isticati vijesti o navodnom hakiranju odgovaranjem na tweetove časopisima i novinarima, uključujući jordanske dnevne novine al-Dustour, alžirski Echorouk i Le Figaro novinara Georges Malbrunot. Drugi računi s lutkama s čarapama tvrdili su da Charlie Hebdo radi u ime francuske vlade i rekli da potonja nastoji skrenuti pažnju javnosti od štrajkova.

Prema FBI-jujedan cilj iranskih operacija utjecaja je „potkopati pouzdanost javnosti u sigurnost mreže i podataka žrtve, ako i osramotiti poduzeća žrtava i ciljane zemlje.” Zaista, poruke u napadu čija je meta bio Charlie Hebdo slične su onima u drugim kampanjama povezanima s Iranom, poput onih čiju je odgovornost preuzela grupa Hackers of Savior, entitet povezan s Iranom koji je u travnju 2022. tvrdio da je ušao u kibernetičku infrastrukturu većih izraelskih baza podataka i objavio poruku upozorenja Izraelcima, „Ne vjerujte svojim vladinim centrima.

Što god mi možemo misliti ouredničkim odabirimačasopisa Charlie Hebdo, objava podataka koji otkrivaju identitet osobe otprilike desetaka tisuća njihovih korisnika čini veliku sigurnosnu prijetnju. To je istaknuto 10. siječnja uupozorenju o „osveti” protiv  objave narednika Korpusa islamskih revolucionarnih gardi Hosseina Salamija, koji je ukazao na primjer autora Salmana Rushdieja koji jeizboden u 2022. Dodao je Salami „Rushdie se neće vratiti.”

Pripisivanje koje danas radimo temelji se na Okviru DTAC-a za pripisivanje.

Microsoft ulaže u praćenje i dijeljenje informacija o državnim operacijama utjecaja tako da se korisnici i demokracije diljem svijeta mogu zaštititi od napada kao što je onaj na Charlie Hebdo. Nastavit ćemo objavljivati obavještajne podatke poput ovih kada vidimo slične operacije od vlada i zločinačkih grupa diljem svijeta.

Matrica atribucije operacija utjecaja 1

Matrica grafikona operacija kojima se utječe na računalo

Povezani članci

Obrana Ukrajine: Prve lekcije iz računalnog rata

Najnovije spoznaje u stalnim naporima obavještavanja o prijetnjama u ratu između Rusije i Ukrajine i niz zaključaka iz prva četiri mjeseca pojačavaju potrebu za stalnim i novim ulaganjima u tehnologiju, podacima i partnerstvima radi podrške vladama, tvrtkama, nevladinim organizacijama i sveučilištima.
Saznajte više

Kibernetička otpornost

Microsoft Security proveo je anketu s više od 500 stručnjaka u području sigurnosti kako bi razumio novonastale sigurnosne trendove i najveća problemska pitanja među CISO-vima.
Saznajte više

Uvidi iz bilijun dnevnih sigurnosnih signala

Stručnjaci za sigurnost tvrtke Microsoft osvjetljavaju današnji krajolik računalnih prijetnji pružajući uvide u novonastale trendove kao i u povijesno trajne prijetnje.
Saznajte više

Pratite Microsoft Security