Trace Id is missing
Перейти до основного
Security Insider

Іран відповідальний за атаки на Charlie Hebdo

Поділитися
Планета великим планом

Сьогодні Центр аналізу цифрових загроз корпорації Майкрософт (DTAC) повʼязує нещодавню операцію впливу, спрямовану проти французького сатиричного журналу Charlie Hebdo, з іранською державною структурою. Корпорації Майкрософт називає цю структуру NEPTUNIUM, а Міністерство юстиції США –  Emennet Pasargad.

На початку січня раніше невідоме онлайн-угруповання, яке називає себе Holy Souls ("Святі душі") і яке ми тепер можемо ідентифікувати як NEPTUNIUM, заявило , що одержало персональні дані більш ніж 200 000 клієнтів Charlie Hebdo після "отримання доступу до бази даних". Як доказ угруповання Holy Souls опублікувало зразок даних, який містив електронну таблицю з повними іменами, номерами телефону, поштовими й електронними адресами людей, які підписалися на видання або придбали в нього якісь товари. Ця інформація, отримана іранською структурою, може поставити передплатників журналу під загрозу онлайн-атаки або фізичного нападу з боку екстремістських організацій.

На нашу думку, ця атака є відповіддю іранського уряду на конкурс карикатур, проведений Charlie Hebdo. За місяць до того, як угруповання Holy Souls здійснило атаку, журнал оголосив , що проводитиме міжнародний конкурс карикатур, які "висміюють" верховного лідера Ірану Алі Хаменеї. Номер із карикатурами, які перемогли, мав вийти на початку січня та був приурочений до восьмої річниці атаки на офіси журналу, яку здійснили двоє нападників, заохочені організацією "Аль-Каїда на Аравійському півострові" (АКАП).

Угруповання Holy Souls оголосило про продаж кеша даних за 20 BTC (що на той час дорівнювало приблизно 340 000 дол. США). Оприлюднення повного кеша даних – якщо припустити, що хакери дійсно мають дані, про володіння якими заявляють – означало б, по суті, масовий доксинг читачів видання, яке вже зазнало погроз екстремістів (2020) і смертельних терористичних атак (2015). Щоб переконатися в справжності начебто вкрадених клієнтських даних, французька газета Le Monde змогла перевірити "в багатьох жертв цього витоку" правдивість зразка документа, опублікованого Holy Souls.

Після того як угруповання Holy Souls опублікувало зразки даних на YouTube і багатьох хакерських форумах, витік набув широкого розголосу завдяки узгодженій операції в кількох соціальних мережах. Для цього використовувався певний набір тактик, методів і процедур впливу, які фахівці DTAC спостерігали раніше в іранських операціях зі зламу й витоку інформації.

Атака збіглася в часі з критикою карикатур із боку уряду Ірану. 4 січня міністр закордонних справ Ірану Хосейн Амір-Абдоллахіан написав у Твіттері: "Образливі та неввічливі дії французького видання […] проти релігійної та політично-духовної влади […] не залишиться без відповіді". Того самого дня МЗС Ірану викликало французького посла в Ірані через "образу" з боку Charlie Hebdo. 5 січня Іран закрив Французький інститут досліджень в Ірані. МЗС Ірану назвало це "першим кроком" і заявило, що "серйозно займеться цією справою та вживе необхідних заходів".

Деякі ознаки атаки нагадують попередні атаки, здійснені іранськими державними структурами, зокрема зазначені далі.

  • Хактивіст бере на себе відповідальність за кібератаку
  • Твердження про пошкодження веб-сайту
  • Витік приватних даних в Інтернеті
  • Використання фальшивих маріонеткових профілів у соціальних мережах – облікових записів із вигаданими або викраденими ідентифікаційними даними, що приховують справжнього власника з метою обману, – які стверджують, що вони походять із країни, на яку спрямовано кібератаку, і що вони підтримують цю атаку, роблячи при цьому мовні помилки, очевидні для носіїв мови
  • Імітація авторитетних джерел
  • Звернення до ЗМІ

Сьогодні ми робимо висновки про авторство кібератак, ґрунтуючись на ширшому наборі розвідувальних даних, доступних команді DTAC корпорації Майкрософт. Проте схема, яку ми бачимо тут, є типовою для операцій, що фінансуються державою Іран. Про такі схеми також повідомляло ФБР у Сповіщенні для приватного сектора за жовтень 2022 року , зазначаючи, що їх використовують повʼязані з Іраном субʼєкти для операцій кібервпливу.

У кампанії, спрямованій проти Charlie Hebdo, використовувалися десятки франкомовних маріонеткових облікових записів для посилення її ефекту й поширення ворожих повідомлень. 4 січня облікові записи, багато з яких мають невелику кількість підписників і були створені нещодавно, почали публікувати у Твіттері критику карикатур на Хаменеї. Важливо зазначити, що до появи якихось суттєвих повідомлень про ймовірну кібератаку, ці облікові записи опублікували ідентичні знімки екрана зламаного веб-сайту з таким повідомленням французькою мовою: "Charlie Hebdo a été piraté" ("Charlie Hebdo було зламано").

Через кілька годин після того, як маріонеткові профілі почали публікувати повідомлення у Твіттері, до них приєдналися щонайменше два облікові записи в соціальних мережах, які видавали себе за французьких авторитетних діячів: один імітував керівника інформаційно-технологічної компанії, а другий – редактора Charlie Hebdo. Ці облікові записи – обидва створені в грудні 2022 року і мають невелику кількістю читачів – потім почали публікувати знімки екрана з даними клієнтів Charlie Hebdo, викраденими угрупованням Holy Souls. Відтоді ці облікові записи було заблоковано адміністрацією Твіттера.

Фальшивий обліковий запис редактора журналу Charlie Hebdo у Твіттері, який опублікував знімки екрана з вкраденими клієнтськими даними
Обліковий запис, який видає себе за редактора Charlie Hebdo, опублікував інформацію про витік даних

Використання таких маріонеткових облікових записів спостерігалося під час інших операцій, повʼязаних з Іраном, зокрема в атаці, про причетність до якої заявило угруповання Atlas Group, партнер групи Hackers of Savior, яку ФБР визначило як повʼязану з Іраном у 2022 році. Під час Чемпіонату світу з футболу 2022 року угруповання Atlas Group заявило , що "проникло в інфраструктуру" [sic] та зламало ізраїльський спортивний веб-сайт. Івритомовні маріонеткові облікові записи та профіль, що видавав себе за спортивного репортера популярного ізраїльського новинного каналу, посилили атаку у Твіттері. В обліковому записі фальшивого репортера було опубліковано допис про те, що після поїздки до Катару він дійшов висновку, що ізраїльтянам "не слід їздити до арабських країн".

Разом зі знімками екрана маріонеткові облікові записи публікували глузливі повідомлення французькою мовою, зокрема такі: "На мій погляд, наступним обʼєктом карикатур Charlie мають стати французькі експерти з кібербезпеки". Ці ж облікові записи намагалися просувати новини про ймовірний злам, відповідаючи на публікації та дописи журналістів у Твіттері, зокрема йорданського видання al-Dustour, алжирського Echorouk і французького репортера газети Le Figaro Жоржа Мальбруно. Інші маріонеткові облікові записи стверджували, що Charlie Hebdo працює від імені французького уряду, який прагне відвернути увагу громадськості від страйків робітників.

За даними ФБР, одна з цілей іранських операцій впливу полягає в тому, щоб "підірвати довіру суспільства до безпеки мережі й даних жертви, а також поставити в незручне становище компанії та країни, що зазнали атаки". Справді, повідомлення під час атаки проти Charlie Hebdo нагадують публікації, що зʼявлялися в процесі інших пов’язаних з Іраном кампаній. Наприклад тих, відповідальність за які взяла на себе повʼязана з Іраном група Hackers of Savior, що у квітні 2022 року заявила про проникнення в кіберінфраструктуру основних ізраїльських баз даних і опублікувала застереження для ізраїльтян:"Не довіряйте своїм урядовим центрам".

Можна по-різному ставитися до редакційної політикижурналу Charlie Hebdo, проте оприлюднення персональних даних десятків тисяч його клієнтів становить серйозну загрозу. Це було підкреслено 10 січня в попередженні про "помсту" за публікацію від командувача Корпусу вартових Ісламської революції Хоссейна Саламі, що згадав приклад письменника Салмана Рушді, на якого напали з ножем у 2022 році. Як додав Саламі, "Рушді не повернеться".

Висновки про причетність, які ми сьогодні робимо, ґрунтуються на Системі стандартів Центру DTAC для визначення причетності.

Корпорація Майкрософт укладає кошти у відстеження операцій впливу з боку державних структур і обмін інформацією про них, щоб клієнти й демократичні країни в усьому світі могли захиститися від атак, подібних до тої, що була спрямована проти Charlie Hebdo. Ми продовжуватимемо оприлюднювати такі розвідувальні дані, коли виявимо подібні операції з боку урядів і злочинних груп у всьому світі.

Матриця визначення причетності до операцій впливу 1

Матриця операцій із кібервпливу

Пов’язані статті

Захист України: Перші уроки кібервійни

Останні результати аналізу кіберзагроз під час російсько-української війни, а також низка висновків за перші чотири місяці вторгнення свідчать про потребу в безперервних додаткових інвестиціях у технології, обробку даних і партнерські проекти для підтримки урядів, приватних компаній, громадських організацій та університетів.
Дізнайтеся більше

Стійкість до кіберзагроз

Спеціалісти із Захисного комплексу Microsoft провели опитування понад 500 фахівців із безпеки, щоб зрозуміти нові тенденції в галузі безпеки й визначити основні проблеми, які турбують керівників відділів ІТ-безпеки.
Дізнайтеся більше

Аналітичні висновки на основі трильйонів щоденних сигналів систем безпеки

Експерти з безпеки Microsoft описують сучасний ландшафт загроз і наводять аналітичні відомості про нові загрози й ті, які не втрачають популярності.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft