Trace Id is missing

Irã responsável por ataques à Charlie Hebdo

Compartilhar
Um close de um planeta

Hoje, o Digital Threat Analysis Center (DTAC) da Microsoft atribuiu uma recente operação de influência que teve como alvo a revista satírica francesa Charlie Hebdo a um ator do estado-nação iraniano. A Microsoft denomina esse ator de NEPTUNIUM, que também foi identificado pelo Departamento de Justiça dos EUA como  Emennet Pasargad.

No início de janeiro, um grupo online até então desconhecido, autodenominado "Holy Souls" (Almas Santas), que identificamos como NEPTUNIUM, afirmou ter obtido informações pessoais de mais de 200.000 clientes da Charlie Hebdo após "conseguir acesso a um banco de dados". Como prova, o Holy Souls divulgou uma amostra dos dados, que incluía uma planilha detalhando os nomes completos, números de telefone e endereços residenciais e de email de contas que assinaram ou compraram produtos da revista. Essas informações, nas mãos do ator iraniano, poderiam colocar os assinantes da revista em risco de serem alvo de organizações extremistas, tanto online quanto fisicamente.

Acreditamos que esse ataque seja uma resposta do governo iraniano a uma competição de caricaturas promovida pela Charlie Hebdo. Um mês antes do ataque do grupo Holy Souls, a revista anunciou que realizaria uma competição internacional de caricaturas "ridicularizando" o Líder Supremo iraniano Ali Khamenei. A edição com as caricaturas vencedoras seria publicada no início de janeiro, coincidindo com o oitavo aniversário de um ataque de dois criminosos inspirados pela Al-Qaeda na Península Arábica (AQAP) à sede da revista.

O Holy Souls anunciou a venda do lote de dados por 20 BTC (o que equivalia cerca de US$ 340.000 na época). A divulgação completa dos dados roubados, supondo que os hackers realmente possuam os dados que alegam ter, representaria basicamente uma exposição em massa dos leitores de uma publicação que já foi alvo de ameaças extremistas em 2020 e  ataques terroristas que causaram mortes em 2015. Para que os dados de clientes supostamente roubados não fossem considerados falsos, o jornal francês Le Monde conseguiu verificar a autenticidade do documento de amostra publicado pelo Holy Souls "com várias vítimas deste vazamento".

Depois da postagem da amostra dos dados no YouTube e em vários fóruns de hackers, o vazamento foi amplificado por uma operação coordenada em várias plataformas de rede social. Essa campanha de amplificação usou um conjunto específico de táticas, técnicas e procedimentos (TTPs) que o DTAC já observou em operações de influência iranianas que envolvem ataques cibernéticos e vazamentos de dados (hack-and-leak).

O ataque coincidiu com críticas às caricaturas por parte do governo iraniano. No dia 4 de janeiro, o Ministro das Relações Exteriores do Irã, Hossein Amir-Abdollahian, publicou no Twitter: "A ação ofensiva e desrespeitosa da publicação francesa […] contra a autoridade religiosa e político-espiritual não ficará […] sem resposta". No mesmo dia, o Ministério das Relações Exteriores do Irã convocou o Embaixador da França no Irã por causa do "insulto" proferido pela Charlie Hebdo. Em 5 de janeiro, o Irã fechou o Instituto Francês de Pesquisa no Irã, em um movimento que o Ministério das Relações Exteriores iraniano descreveu como um "primeiro passo", afirmando que "levaria o caso adiante e tomaria as medidas necessárias".

Existem vários elementos do ataque que se assemelham a ataques anteriores conduzidos por atores do estado-nação iraniano, incluindo:

  • Uma hacktivista reivindicando a autoria do ataque cibernético
  • Alegações de um defacement de site bem-sucedido
  • Vazamento de dados privados na internet
  • O uso de perfis fakes nas redes sociais, conhecidos como "sockpuppets" (contas de mídia social que usam identidades fictícias ou roubadas para ocultar o verdadeiro dono da conta com o objetivo de enganar), que se passam por cidadãos do país que foi alvo do hack para promover o ataque cibernético, empregando uma linguagem com erros óbvios para falantes nativos
  • Usurpação de identidade de fontes confiáveis
  • Contato com os veículos de comunicação

A responsabilização que realizamos hoje se baseia em um conjunto mais amplo de inteligência que a equipe do DTAC da Microsoft tem à disposição, o padrão visto aqui é típico das operações patrocinadas pelo estado iraniano. Esses padrões também foram identificados pela Notificação à Indústria Privada (PIN) do FBI em outubro de 2022 como sendo usados por atores ligados ao Irã para conduzir operações de influência cibernética.

A campanha contra a Charlie Hebdo fez uso de dezenas de contas sockpuppet em francês para amplificar a campanha e espalhar mensagens hostis. No dia 4 de janeiro, essas contas, muitas delas com poucos seguidores e criadas recentemente, começaram a publicar críticas às caricaturas de Khamenei no Twitter. Antes de haver qualquer reportagem substancial sobre o suposto ataque cibernético, essas contas postaram capturas de tela idênticas de um site alterado que incluía a mensagem em francês: “Charlie Hebdo a été piraté ("A Charlie Hebdo foi hackeada").

Algumas horas após o início das publicações dos sockpuppets no Twitter, eles foram acompanhados por pelo menos duas contas em redes sociais que se passavam por autoridade francesas: uma fingindo ser um executivo de tecnologia e outra um editor da Charlie Hebdo. Essas contas (ambas criadas em dezembro de 2022 e com poucos seguidores ) começaram então a publicar capturas de tela dos dados de clientes da Charlie Hebdo vazados pelo grupo Holy Souls. Desde então, as contas foram suspensas pelo Twitter.

Uma conta falsa do editor da Charlie Hebdo postou no Twitter capturas de tela de dados de clientes vazados
Uma conta fingindo ser um editor do Charlie Hebdo, twittando sobre os vazamentos

O uso de tais contas sockpuppet foi observado em outras operações vinculadas ao Irã, incluindo um ataque realizado pelo Atlas Group, um parceiro do grupo Hackers of Savior, que foi atribuído pelo FBI ao Irã em 2022. Durante a Copa do Mundo de 2022, o Atlas Group afirmou ter "penetrado nas infraestruturas" [sic] e alterado a aparência de um site esportivo israelense. No Twitter, contas sockpuppet em hebraico e uma usurpação de identidade de um repórter esportivo de um conhecido canal de notícias israelense ampliaram o ataque. A conta fake do repórter postou que, após viajar para o Catar, concluiu que os israelenses "não deveriam viajar para países árabes".

Junto com capturas de tela de dados vazados, as contas sockpuppet postaram mensagens provocativas em francês, incluindo: "Para mim, o próximo tema das caricaturas da Charlie deveria ser os especialistas em segurança cibernética franceses". Essas mesmas contas também tentaram promover a notícia do suposto hack respondendo a tweets de publicações e jornalistas, incluindo o diário jordaniano al-Dustour, o Echorouk da Argélia e o repórter do Le Figaro Georges Malbrunot. Outras contas sockpuppet afirmaram que a Charlie Hebdo estava agindo em nome do governo francês e alegaram que estavam tentando desviar a atenção do público de graves trabalhistas.

Segundo o FBI, um dos objetivos das operações de influência iranianas é "abalar a confiança pública na segurança da rede e dos dados da vítima, além de constranger as empresas e países alvo". De fato, as mensagens transmitidas no ataque direcionado à Charlie Hebdo são semelhantes às de outras campanhas ligadas ao Irã, como as realizadas pelos Hackers of Savior, um grupo afiliado ao Irã que, em abril de 2022, alegou ter infiltrado a infraestrutura cibernética de importantes bancos de dados israelenses e publicou uma mensagem alertando os israelenses: "Não confiem nos seus centros governamentais".

Independentemente do que se pense sobre asescolhas editoriaisda Charlie Hebdo, a divulgação de informações de identificação pessoal de dezenas de milhares de seus clientes representa uma séria ameaça. Isso foi destacado em 10 de janeiro em umalertade "vingança" contra a publicação, feito pelo comandante do Corpo da Guarda Revolucionária Islâmica do Irã, Hossein Salami, que citou o exemplo do autor Salman Rushdie, que foiesfaqueadoem 2022. Salami acrescentou: "Rushdie não voltará".

A responsabilização pelo ataque que estamos fazendo hoje é baseada no DTAC Framework for Attribution.

A Microsoft investe no rastreamento e compartilhamento de informações sobre operações de influência de estados-nação para que clientes e democracias em todo o mundo possam se proteger de ataques como o sofrido pela Charlie Hebdo. Continuaremos a divulgar informações como esta quando observarmos operações semelhantes de grupos governamentais e criminosos ao redor do mundo.

Matriz de Atribuição de Operação de Influência 1

Gráfico de matriz de operações de influência cibernética

Artigos relacionados

Defendendo a Ucrânia: as primeiras lições da guerra cibernética

As últimas descobertas em nossos esforços contínuos de inteligência contra ameaças na guerra entre a Rússia e a Ucrânia e uma série de conclusões dos primeiros quatro meses reforçam a necessidade de investimentos contínuos e novos em tecnologia, dados e parcerias para dar suporte aos governos, empresas, ONGs e universidades.
Saiba mais

Resiliência cibernética

A Segurança da Microsoft realizou uma pesquisa com mais de 500 profissionais de segurança para entender as tendências de segurança que estão surgindo e as principais preocupações dos CISOs (diretores de segurança da informação).
Saiba mais

Insights de trilhões de sinais de segurança diários

Os especialistas em segurança da Microsoft esclarecem o panorama de ameaças atual, oferecendo insights sobre tendências emergentes, bem como ameaças que perduram ao longo do tempo.
Saiba mais

Siga a Segurança da Microsoft