Et nyligt angreb, hvor en trusselgruppe, der kalder sig "Hellige Sjæle", fik adgang til en database tilhørende det satiriske franske magasin Charlie Hebdo og truede med at doxe mere end 200,000 af dets abonnenter, var arbejdet af den iranske statsaktør Neptunium, sagde Microsoft den 3. februar.
Angrebet ser ud til at have været et svar fra den iranske regering på en tegneseriekonkurrence, som Charlie Hebdo annoncerede i december, hvor magasinet inviterede læsere fra hele verden til at indsende karikaturer, der "håner" Irans øverste leder Ali Khamenei. Resultaterne af konkurrencen skulle offentliggøres den 7. januar, otteårsdagen for en dødbringende terrorangreb i 2015 på Charlie Hebdo - som gengældelse for offentliggørelsen af tegneserier af profeten Mohammed - der efterlod 12 af dets medarbejdere døde.
Doxing kunne have sat abonnenter i fare for fysisk målretning
Microsoft sagde, at det var bestemt Neptunium var ansvarlig for angrebet baseret på artefakter og intelligens, som forskere fra dets Digital Threat Analysis Center (DTAC) havde indsamlet. Dataene viste, at Neptunium timede sit angreb til at falde sammen med den iranske regerings formelle kritik af tegningerne og dens trusler om at gengælde Charlie Hebdo for dem i begyndelsen af januar, sagde Microsoft.
Efter angrebet Neptunium annonceret det havde tilgået personlige oplysninger tilhørende omkring 230,000 Charlie Hebdo-abonnenter, herunder deres fulde navne, telefonnumre, postadresser, e-mailadresser og økonomiske oplysninger. Trusselsaktøren udgav et lille udsnit af dataene som bevis på adgang og tilbød den fulde tranche til enhver, der var villig til at købe den for 20 Bitcoin - eller omkring $340,000 på det tidspunkt, sagde Microsoft.
"Denne information, indhentet af den iranske skuespiller, kan sætte magasinets abonnenter i fare for online eller fysisk målretning af ekstremistiske organisationer," vurderede virksomheden - en meget reel bekymring, da Charlie Hebdo-fans har været målrettet mere end én gang uden for hændelsen i 2015.
Mange af de handlinger, som Neptunium foretog ved at udføre angrebet og følge det, var i overensstemmelse med taktikker, teknikker og procedurer (TTP'er), som andre iranske statsaktører har brugt, når de udfører indflydelsesoperationer, sagde Microsoft. Dette omfattede brugen af en hacktivistisk identitet (Holy Souls) til at hævde æren for angrebet, lækage af private data og brugen af falske - eller "sockpuppet" - personas på sociale medier for at forstærke nyheder om angrebet på Charlie Hebdo.
For eksempel, efter angrebet, begyndte to konti på sociale medier (den ene efterlignede en højtstående fransk tech-chef og den anden en redaktør hos Charlie Hebdo) at sende skærmbilleder af de lækkede oplysninger, sagde Microsoft. Virksomheden sagde, at dets forskere observerede andre falske sociale mediekonti, der tweetede nyheder om angrebet til medieorganisationer, mens andre anklagede Charlie Hebdo for at arbejde på vegne af den franske regering.
Iranske indflydelsesoperationer: En velkendt trussel
Neptunium, som det amerikanske justitsministerium har fulgt som "Emennet Pasargad,” er en trusselsaktør forbundet med flere cyberaktiverede indflydelsesoperationer i de senere år. Det er en af mange tilsyneladende statsstøttede trusselsaktører, der arbejder fra Iran, der har stærkt målrettet amerikanske organisationer i de senere år.
Neptuniums kampagner omfatter en, hvor trusselsaktøren forsøgte at påvirke resultatet af det amerikanske valg i 2020 ved blandt andet at stjæle vælgerinformation, intimidere vælgere via e-mail og distribuere en video om ikke-eksisterende sårbarheder i afstemningssystemer. Som en del af kampagnen maskerede Neptunium-skuespillere sig som medlemmer af den højreorienterede Proud Boys-gruppe, viste FBI's undersøgelse af gruppen. Ud over dets Iran regeringsstøttede indflydelsesoperationer er Neptunium også tilknyttet med mere traditionelle cyberangreb går tilbage til 2018 mod nyhedsorganisationer, finansielle virksomheder, offentlige netværk, telekommunikationsvirksomheder og olie- og petrokemiske enheder.
FBI sagde, at Emennet Pasargad faktisk er et Iran-baseret cybersikkerhedsfirma, der arbejder på vegne af regeringen der. I november 2021, en amerikansk storjury i New York tiltalte to af sine ansatte på en række anklager, herunder computerindtrængen, bedrageri og vælgertrusler. Den amerikanske regering har tilbudt 10 millioner dollars som belønning for information, der fører til tilfangetagelse og domfældelse af de to personer.
Neptuniums TTP'er: Rekognoscering og websøgninger
FBI har beskrevet gruppens MO som inkluderende rekognoscering på første trin af potentielle mål via websøgninger og derefter bruge resultaterne til at scanne for sårbar software, som målene kunne bruge.
"I nogle tilfælde kan målet have været at udnytte et stort antal netværk/websteder i en bestemt sektor i modsætning til et specifikt organisationsmål," har FBI bemærket. "I andre situationer ville Emennet også forsøge at identificere hosting/delte hostingtjenester."
FBI's analyse af gruppens angreb viser, at den har specifik interesse i websider, der kører PHP-kode og eksternt tilgængelige MySQL-databaser. Også af stor interesse for gruppen er WordPress plug-ins såsom revslider og layerslider, og websteder, der kører på Drupal, Apache Tomcat, Ckeditor eller Fckeditor, sagde FBI.
Når du forsøger at bryde ind i et målnetværk, verificerer Neptunium først, om organisationen muligvis bruger standardadgangskoder til specifikke applikationer, og den forsøger at identificere admin- eller loginsider.
"Det bør antages, at Emennet kan forsøge almindelige klartekst-adgangskoder til alle login-websteder, de identificerer," sagde FBI.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says