Trace Id is missing

Irán felelős a Charlie Hebdo-támadásokért

Megosztás
Egy bolygó közelről

A Microsoft Digital Threat Analysis Center (DTAC) ma egy iráni nemzetállami szereplőnek tulajdonítja a Charlie Hebdo szatirikus francia magazin ellen nemrégiben végrehajtott befolyásolási műveletet. A Microsoft NEPTUNIUM-nak nevezi ezt a szereplőt, akit az Egyesült Államok igazságügyi minisztériuma  Emennet Pasargad néven is azonosított.

Január elején egy magát „Holy Soulsnak” nevező, korábban ismeretlen online csoport, amelyet most NEPTUNIUM néven azonosíthatunk, azt állította, hogy több mint 200 000 Charlie Hebdo vásárló személyes adataihoz jutott hozzá, miután „hozzáférést szerzett egy adatbázishoz”. Bizonyítékként a Holy Souls nyilvánosságra hozott egy adatmintát, amely egy olyan táblázatot tartalmazott, amely részletezi a kiadványra előfizető vagy a kiadványtól árut vásárló fiókok teljes nevét, telefonszámát, otthoni és e-mail címét. Ezek az iráni szereplő által megszerzett információk a magazin előfizetőit szélsőséges szervezetek online vagy fizikai célpontjainak veszélyébe sodorhatják.

Úgy véljük, hogy ez a támadás az iráni kormány válasza a Charlie Hebdo karikatúraversenyére. Egy hónappal a Holy Souls támadása előtt a magazin bejelentette, hogy nemzetközi pályázatot hirdet Ali Khamenei iráni legfelsőbb vezetőt „kigúnyoló” karikatúrák készítésére. A győztes karikatúrákat tartalmazó számot január elején akarták megjelentetni, a magazin irodái ellen az al-Kaida az Arab-félszigeten (AQAP) által inspirált két támadó által elkövetett támadás nyolcadik évfordulójára időzítve.

A Holy Souls 20 BTC-ért (ami akkoriban nagyjából 340 000 USD összegnek felelt meg) hirdette meg az adathalmazt. Az ellopott adatok teljes tárának nyilvánosságra hozatala – feltéve, hogy a hackerek valóban rendelkeznek az állításuk szerint birtokukban lévő adatokkal – lényegében egy olyan kiadvány olvasóinak tömeges kiszivárogtatását jelentené, amely már volt szélsőséges fenyegetések (2020) és halálos terrortámadások (2015) áldozata. Hogy az állítólagosan ellopott ügyféladatokat ne lehessen hamisítványnak tekinteni, a Le Monde című francia napilap „a kiszivárogtatás több áldozatával” ellenőrizni tudta a Holy Souls által közzétett dokumentumminta valódiságát.

Miután a Holy Souls közzétette a mintaadatokat a YouTube-on és több hackerfórumon, a kiszivárgást több közösségi médiaplatformon összehangolt művelet erősítette fel. Ez az erősítési kísérlet a befolyásolási taktikák, technikák és eljárások (TTP-k) egy bizonyos csoportját alkalmazta, amelyet a DTAC már korábban is tapasztalt iráni eltörő és kiszivárogtató befolyásolási műveletek során.

A támadás egybeesett az iráni kormány karikatúrákkal szembeni kritikájával. Január 4-én Hossein Amir-Abdollahian iráni külügyminiszter a következőt tweetelte: „A francia kiadvány sértő és udvariatlan fellépése [...] a vallási és politikai-szellemi tekintély ellen nem marad [...] válasz nélkül”. Ugyanezen a napon az iráni külügyminisztérium beidézte Franciaország iráni nagykövetét a Charlie Hebdo „sértegetése” miatt. Január 5-én Irán bezáratta az Iráni Francia Kutatóintézetet, amit az iráni külügyminisztérium „első lépésnek” nevezett, és közölte, hogy „komolyan nyomon követi az ügyet, és megteszi a szükséges intézkedéseket”.

A támadás számos eleme hasonlít az iráni nemzetállami szereplők által végrehajtott korábbi támadásokra, ilyenek például az alábbiak:

  • Egy hacktivista személyiség, aki magának tulajdonítja a kibertámadást
  • Sikeres weboldal-fertőzésre vonatkozó állítások
  • Magánjellegű adatok online kiszivárgása
  • Nem hiteles közösségi média „báb” személyiségek használata – olyan közösségimédia-fiókok, amelyek fiktív vagy lopott személyazonosságokat használnak, hogy megtévesztés céljából elfedjék a fiók valódi tulajdonosát –, amelyek azt állítják, hogy abból az országból származnak, amelyet a feltörés célba vett, hogy a kibertámadást az anyanyelvi beszélők számára nyilvánvaló hibákat tartalmazó nyelven népszerűsítsék
  • Hiteles források megszemélyesítése
  • Kapcsolatfelvétel a hírközlő szervezetekkel

Bár az általunk ma tett attribúció a Microsoft DTAC-csapatának rendelkezésére álló szélesebb körű hírszerzési információkon alapul, az itt látható minta jellemző az iráni állam által támogatott műveletekre. Ezeket a mintákat az FBI 2022. októberi magánipari értesítése (Private Industry Notification, PIN) is úgy azonosította, mint amelyeket Iránhoz kötődő szereplők használnak kiberalapú befolyásolási műveletek végrehajtására.

A Charlie Hebdo elleni kampány több tucat francia nyelvű bábfiókot használt fel a kampány felerősítésére és az ellenséges üzenetek terjesztésére. Január 4-én a fiókok, amelyek közül sok kis számú követővel rendelkezik, és amelyek nemrég jöttek létre, elkezdték a Twitteren a Khamenei-karikatúrák kritikáját közzétenni. A legfontosabb az, hogy még azelőtt, hogy az állítólagos kibertámadásról érdemben beszámoltak volna, ezek a fiókok azonos képernyőképeket tettek közzé egy megrongált weboldalról, amely a francia nyelvű üzenetet tartalmazta: „Charlie Hebdo a été piraté” („A Charlie Hebdót feltörték”).

Néhány órával azután, hogy a bábok elkezdtek tweetelni, legalább két olyan közösségimédia-fiók is csatlakozott hozzájuk, amelyek francia hatósági személyiségeknek adták ki magukat – az egyik egy technológiai vezetőt, a másik pedig a Charlie Hebdo szerkesztőjét imitálta. Ezek a fiókok – mindkettőt 2022 decemberében hozták létre, és alacsony követőszámmal rendelkeztek – ezután elkezdtek képernyőképeket közzétenni a Charlie Hebdo Holy Souls által kiszivárogtatott ügyféladatairól. A fiókokat azóta a Twitter felfüggesztette.

Hamis Charlie Hebdo-szerkesztő twitter-fiókja kiszivárgott ügyféladatok képernyőképeit jeleníti meg
Egy fiók a Charlie Hebdo szerkesztőjének adta ki magát, és a kiszivárogtatásokról tweetelt

Az ilyen bábfiókok használatát más, Iránhoz köthető műveletek során is megfigyelték, beleértve az Atlas Group, a Hackers of Savior partnere által állított támadást, amelyet az FBI 2022-ben Iránnak tulajdonított . A 2022-es világbajnokság idején az Atlas Group azt állította, hogy „behatolt az infrastruktúrákba” [sic], és megrongált egy izraeli sportoldalt. A Twitteren héber nyelvű bábfiókok és egy népszerű izraeli hírcsatorna sportriporterének megszemélyesítése erősítette a támadást. A hamis riporteri fiók azt írta, hogy miután Katarba utazott, arra a következtetésre jutott, hogy az izraelieknek „nem kellene arab országokba utazniuk”.

A kiszivárgott adatokról készült képernyőképek mellett a bábfiókok francia nyelvű gúnyos üzeneteket tettek közzé, többek között: „Szerintem Charlie karikatúráinak következő alanya a francia kiberbiztonsági szakértők kellene, hogy legyenek.” Ugyanezek a fiókok az állítólagos hackelés hírét is megpróbálták felpörgetni azzal, hogy tweetekben válaszoltak kiadványoknak és újságíróknak, köztük a jordániai al-Dustour napilapnak, az algériai Echorouknak és a Le Figaro riporterének, Georges Malbrunot-nak. Más bábfiókok azt állították, hogy a Charlie Hebdo a francia kormány nevében dolgozik, és azt állították, hogy ez utóbbi el akarja terelni a közvélemény figyelmét a munkabeszüntetésekről.

Az FBI szerint az iráni befolyásolási műveletek egyik célja, hogy „aláássák az áldozat hálózatának és adatainak biztonságába vetett közbizalmat, valamint kínos helyzetbe hozzák az áldozat vállalatokat és a célországokat”. A Charlie Hebdo elleni támadás üzenetei valóban hasonlítanak más, Iránhoz kötődő kampányok üzeneteire, például a Hackers of Savior, egy Iránhoz kötődő személyiség, amely 2022 áprilisában azt állította, hogy beszivárgott a nagy izraeli adatbázisok kiberinfrastruktúrájába, és közzétett egy üzenetet, amelyben figyelmeztette az izraelieket: „Ne bízzanak a kormányzati központjaikban.

Bármit is gondoljunk a Charlie Hebdo szerkesztői döntéseiről, a több tízezer ügyfelére vonatkozó, személyazonosításra alkalmas adatok nyilvánosságra hozatala komoly fenyegetést jelent. Ezt hangsúlyozta január 10-én az iráni Iszlám Forradalmi Gárda parancsnoka, Hossein Salami, aki a 2022-ben leszúrt Salman Rushdie író példájára hivatkozva „bosszúra” figyelmeztetett a kiadvány ellen. Salami hozzátette: „Rushdie nem fog visszatérni”.

Az attribúció, amelyet ma teszünk, a DTAC Attribúciós keretrendszeren alapul.

A Microsoft a nemzetállamok befolyásolási műveleteivel kapcsolatos információk nyomon követésébe és megosztásába befektetve gondoskodik róla, hogy az ügyfelek és a demokratikus államok világszerte megvédhessék magukat a Charlie Hebdo ellenihez hasonló támadásoktól. Továbbra is közzé fogjuk tenni az ehhez hasonló hírszerzési információkat, amikor hasonló műveleteket látunk a kormányok és bűnözői csoportok részéről világszerte.

Befolyásolási műveletek attribúciós mátrixa 1

Kiberbefolyásolási műveletek diagrammátrixa

Kapcsolódó cikkek

Ukrajna védelme: A kiberháború korai tanulságai

Az Oroszország és Ukrajna közötti háborúval kapcsolatos, veszélyforrás-intelligencia területén tett folyamatos erőfeszítéseink legújabb eredményei és az első négy hónap következtetéseinek sora alátámasztja a folyamatos és új technológiai, adat- és partnerségi beruházások szükségességét a kormányok, vállalatok, nem kormányzati szervezetek és egyetemek támogatása érdekében.
További információ

Kiberbiztonsági ellenálló képesség

A Microsoft Biztonság több mint 500 biztonsági szakember körében végzett felmérést a várható biztonsági trendek és az információbiztonsági vezetők legfőbb aggodalmainak megértése érdekében.
További információ

Több billió napi biztonsági jelzés alapján tett megállapítások

A Microsoft biztonsági szakértők betekintést nyújtanak a mai veszélyforrások világába, miközben az újonnan kialakuló trendeket és a régóta fennálló fenyegetéseket is bemutatják.
További információ

A Microsoft Biztonság követése