Ein kürzlicher Angriff, bei dem eine Bedrohungsgruppe, die sich „Holy Souls“ nennt, auf eine Datenbank des satirischen französischen Magazins Charlie Hebdo zugegriffen und damit gedroht hat, mehr als 200,000 seiner Abonnenten zu doxen, war das Werk des iranischen Staatsakteurs Neptunium, sagte Microsoft am 3. Februar.
Der Angriff scheint eine Reaktion der iranischen Regierung auf einen Karikaturwettbewerb gewesen zu sein, den Charlie Hebdo im Dezember angekündigt hatte und bei dem das Magazin Leser aus der ganzen Welt aufforderte, Karikaturen einzureichen, die den obersten Führer des Iran, Ali Khamenei, „verspotteten“. Die Ergebnisse des Wettbewerbs sollten am 7. Januar veröffentlicht werden, dem achten Jahrestag von a tödlicher Terroranschlag 2015 auf Charlie Hebdo – als Vergeltung für die Veröffentlichung von Karikaturen des Propheten Mohammed –, bei denen 12 ihrer Mitarbeiter ums Leben kamen.
Doxing hätte Abonnenten dem Risiko physischer Angriffe aussetzen können
Microsoft sagte, es sei bestimmt Neptunium war für den Angriff verantwortlich basierend auf Artefakten und Informationen, die Forscher des Digital Threat Analysis Center (DTAC) gesammelt hatten. Die Daten zeigten, dass Neptunium seinen Angriff so zeitlich abstimmte, dass er mit der formellen Kritik der iranischen Regierung an den Karikaturen und seinen Drohungen, sich für sie Anfang Januar gegen Charlie Hebdo zu rächen, zusammenfiel, sagte Microsoft.
Nach dem Angriff Neptunium angekündigt Es hatte auf persönliche Informationen von etwa 230,000 Charlie-Hebdo-Abonnenten zugegriffen, einschließlich ihrer vollständigen Namen, Telefonnummern, Postanschriften, E-Mail-Adressen und Finanzinformationen. Der Bedrohungsakteur veröffentlichte eine kleine Stichprobe der Daten als Zugangsnachweis und bot die vollständige Tranche jedem an, der bereit war, sie für 20 Bitcoin zu kaufen – oder damals etwa 340,000 US-Dollar, sagte Microsoft.
„Diese Informationen, die der iranische Schauspieler erhalten hat, könnten die Abonnenten des Magazins der Gefahr aussetzen, online oder physisch von extremistischen Organisationen angegriffen zu werden“, urteilte das Unternehmen – eine sehr reale Sorge, wenn man bedenkt, dass es Charlie-Hebdo-Fans waren mehr als einmal gezielt außerhalb des Vorfalls von 2015.
Viele der Maßnahmen, die Neptunium bei der Ausführung des Angriffs und danach ergriffen hat, stimmten mit Taktiken, Techniken und Verfahren (TTPs) überein, die andere iranische Staatsakteure bei der Durchführung von Einflussoperationen angewendet haben, sagte Microsoft. Dazu gehörte die Verwendung einer hacktivistischen Identität (Holy Souls), um die Anerkennung für den Angriff zu beanspruchen, das Durchsickern privater Daten und die Verwendung gefälschter – oder „Sockenpuppen“ – Social-Media-Personas, um die Nachrichten über den Angriff auf Charlie Hebdo zu verstärken.
Beispielsweise begannen nach dem Angriff zwei Social-Media-Konten (eines, das sich als hochrangiger französischer Technologiemanager ausgab, und das andere als Redakteur bei Charlie Hebdo), Screenshots der durchgesickerten Informationen zu veröffentlichen, sagte Microsoft. Das Unternehmen sagte, seine Forscher hätten andere gefälschte Social-Media-Konten beobachtet, die Nachrichten über den Angriff an Medienorganisationen twitterten, während andere Charlie Hebdo beschuldigten, im Auftrag der französischen Regierung zu arbeiten.
Iranische Einflussoperationen: Eine vertraute Bedrohung
Neptunium, das das US-Justizministerium als „Emennet Pasargad“, ist ein Bedrohungsakteur, der in den letzten Jahren mit mehreren Cyber-gestützten Einflussoperationen in Verbindung gebracht wurde. Es ist einer von vielen scheinbar staatlich unterstützten Bedrohungsakteuren, die vom Iran aus arbeiten in den letzten Jahren stark auf US-Organisationen abzielte.
Zu den Kampagnen von Neptunium gehört eine, bei der der Bedrohungsakteur versuchte, das Ergebnis der US-Wahlen 2020 zu beeinflussen, indem er unter anderem Wählerinformationen stahl, Wähler per E-Mail einschüchterte und ein Video über nicht vorhandene Schwachstellen in Wahlsystemen verbreitete. Als Teil der Kampagne gaben sich Neptunium-Akteure als Mitglieder der rechtsgerichteten Proud Boys-Gruppe aus, wie die FBI-Untersuchung der Gruppe ergab. Zusätzlich zu seinen von der iranischen Regierung unterstützten Einflussoperationen ist Neptunium auch mit ihm verbunden mit traditionelleren Cyberangriffen aus dem Jahr 2018 gegen Nachrichtenorganisationen, Finanzunternehmen, Regierungsnetzwerke, Telekommunikationsunternehmen sowie Öl- und petrochemische Unternehmen.
Das FBI sagte, dass Emennet Pasargad tatsächlich ein im Iran ansässiges Cybersicherheitsunternehmen ist, das im Auftrag der dortigen Regierung arbeitet. Im November 2021 eine US-Grand Jury in New York zwei seiner Mitarbeiter angeklagt wegen einer Vielzahl von Anklagepunkten, darunter Computereinbruch, Betrug und Einschüchterung von Wählern. Die US-Regierung hat 10 Millionen Dollar als Belohnung für Informationen ausgesetzt, die zur Festnahme und Verurteilung der beiden Personen führen.
Neptuniums TTPs: Aufklärung und Websuche
Das FBI hat das MO der Gruppe so beschrieben, dass es die erste Phase der Aufklärung potenzieller Ziele über Websuchen und die anschließende Verwendung der Ergebnisse zum Scannen nach anfälliger Software, die die Ziele verwenden könnten, umfasst.
„In einigen Fällen war das Ziel vielleicht, eine große Anzahl von Netzwerken/Websites in einem bestimmten Sektor auszunutzen, im Gegensatz zu einem bestimmten Organisationsziel“, hat das FBI festgestellt. „In anderen Situationen würde Emennet auch versuchen, Hosting-/Shared-Hosting-Dienste zu identifizieren.“
Die Analyse des FBI zu den Angriffen der Gruppe zeigt, dass es ein besonderes Interesse an Webseiten mit PHP-Code und extern zugänglichen MySQL-Datenbanken hat. Ebenfalls von großem Interesse für die Gruppe sind WordPress-Plug-Ins wie Revslider und Layerslider sowie Websites, die auf Drupal, Apache Tomcat, Ckeditor oder Fckeditor laufen, sagte das FBI.
Beim Versuch, in ein Zielnetzwerk einzubrechen, überprüft Neptunium zunächst, ob die Organisation möglicherweise Standardkennwörter für bestimmte Anwendungen verwendet, und versucht, Administrator- oder Anmeldeseiten zu identifizieren.
„Es sollte davon ausgegangen werden, dass Emennet versucht, gemeinsame Klartext-Passwörter für alle von ihnen identifizierten Anmeldeseiten zu finden“, sagte das FBI.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says