Idag tillskriver Microsofts Digital Threat Analysis Center (DTAC) en iransk nationell statsaktör en nyligen utförd påverkansoperation mot den franska satirtidskriften Charlie Hebdo. Microsoft kallar den här aktören NEPTUNIUM, som även har identifierats av USA:s justitiedepartement som Emennet Pasargad.
I början av januari hävdade en tidigare okänd onlinegrupp som kallade sig ”Heliga själar”, som vi nu kan identifiera som NEPTUNIUM, att man hade fått personuppgifter om mer än 200 000 Charlie Hebdo-kunder efter att ha ”fått åtkomst till en databas”. Som bevis släppte Heliga själar ett urval av uppgifterna, som bl.a. innehöll ett kalkylblad med fullständiga namn, telefonnummer och hem- och e-postadresser för konton som hade prenumererat på eller köpt varor från tidskriften. Denna information, som förvärvats av den iranska aktören, skulle kunna placera tidningens prenumeranter i riskzonen för att bli mål för extremistiska organisationers cyberattacker eller fysiska attacker.
Vi tror att denna attack är ett svar från den iranska regeringen på en satirteckningstävling som arrangerades av Charlie Hebdo. En månad innan Heliga själar genomförde sin attack meddelade tidningen att den skulle arrangera en internationell tävling för tecknade serier som ”förlöjligar” Irans högsta ledare Ali Khamenei. Numret med de vinnande teckningarna skulle publiceras i början av januari, så att den skulle sammanfalla med åttaårsdagen av den attack som två al-Qaida-inspirerade angripare genomförde mot tidningens kontor.
Heliga själar meddelade att cacheminnet med informationen var till salu till ett pris på 20 BTC (motsvarande ungefär 340 000 USD vid tidpunkten). Om alla de stulna uppgifterna skulle släppas ut – förutsatt att hackarna faktiskt sitter på de data de påstår sig ha – skulle i grunden leda till en massdoxning av tidskriftens läsekrets – en tidskrift som redan har utsatts för hot från extremister (2020) och dödliga terrorattacker (2015). För att inte de påstådda stulna kunduppgifterna skulle avfärdas som fabricerade kunde den franska tidningen Le Monde efter att ha talat ”med flera offer för denna läcka” verifiera sanningshalten i de exempeldokument som hade publicerats av Heliga själar.
Efter det att Heliga själar hade publicerat dessa exempeldata på YouTube och flera hackerforum, så gavs läckan extra bränsle genom en samordnad operation på flera sociala medieplattformar. I denna eskaleringsoperation använde man sig av en särskild uppsättning taktiker, tekniker och procedurer för påverkan (TTP) som DTAC har observerat tidigare i iranska hacka-och-läcka-påverkansoperationer.
Attacken sammanföll med kritik mot karikatyrerna från den iranska regeringen. Den 4 januari twittrade Irans utrikesminister Hossein Amir-Abdollahian: ”Det förolämpande och otrevliga agerandet från den franska publikationen […] mot den religiösa och politiskt-andliga auktoriteten kommer inte […] att lämnas utan svar.” Samma dag tillkallades den franska ambassadören i Iran av det iranska utrikesdepartementet angående Charlie Hebdos ”förolämpning”. Den 5 januari stängde Iran det franska forskningsinstitutet i Iran i vad det iranska utrikesministeriet beskrev som ett ”första steg” och sa att de ”på allvar skulle driva fallet och vidta de åtgärder som krävs”.
Följ Microsoft Security