Un ataque reciente en el que un grupo de amenazas que se hace llamar "Holy Souls" accedió a una base de datos perteneciente a la revista satírica francesa Charlie Hebdo y amenazó con engañar a más de 200,000 de sus suscriptores fue obra del actor estatal iraní Neptunium, dijo Microsoft el 3 de febrero.
El ataque parece haber sido una respuesta del gobierno iraní a un concurso de caricaturas que Charlie Hebdo anunció en diciembre, en el que la revista invitaba a lectores de todo el mundo a enviar caricaturas que “ridiculizaban” al líder supremo de Irán, Ali Khamenei. Los resultados del concurso se publicarían el 7 de enero, el octavo aniversario de un Ataque terrorista mortal de 2015 en Charlie Hebdo — en represalia por la publicación de caricaturas del profeta Mahoma — que dejó 12 de sus empleados muertos.
Doxing podría haber puesto a los suscriptores en riesgo de ataques físicos
Microsoft dijo que determinó Neptunio fue el responsable del ataque. basado en artefactos e inteligencia que los investigadores de su Centro de Análisis de Amenazas Digitales (DTAC) habían recopilado. Los datos mostraron que Neptunium programó su ataque para que coincidiera con la crítica formal del gobierno iraní a las caricaturas y sus amenazas de tomar represalias contra Charlie Hebdo a principios de enero, dijo Microsoft.
Tras el ataque, Neptunio anunciado había accedido a información personal perteneciente a unos 230,000 suscriptores de Charlie Hebdo, incluidos sus nombres completos, números de teléfono, direcciones postales, direcciones de correo electrónico e información financiera. El actor de amenazas publicó una pequeña muestra de los datos como prueba de acceso y ofreció el tramo completo a cualquiera que estuviera dispuesto a comprarlo por 20 Bitcoin, o alrededor de $ 340,000 en ese momento, dijo Microsoft.
“Esta información, obtenida por el actor iraní, podría poner a los suscriptores de la revista en riesgo de ser atacados en línea o físicamente por organizaciones extremistas”, evaluó la compañía, una preocupación muy real dado que los fanáticos de Charlie Hebdo han estado dirigido más de una vez fuera del incidente de 2015.
Muchas de las acciones que tomó Neptunium para ejecutar el ataque y seguirlo fueron consistentes con las tácticas, técnicas y procedimientos (TTP) que otros actores estatales iraníes han empleado al llevar a cabo operaciones de influencia, dijo Microsoft. Esto incluyó el uso de una identidad hacktivista (Holy Souls) para reclamar el crédito por el ataque, la filtración de datos privados y el uso de personas falsas, o “títeres falsos”, en las redes sociales para amplificar las noticias del ataque a Charlie Hebdo.
Por ejemplo, después del ataque, dos cuentas de redes sociales (una que se hacía pasar por un alto ejecutivo de tecnología francés y la otra por un editor de Charlie Hebdo) comenzaron a publicar capturas de pantalla de la información filtrada, dijo Microsoft. La compañía dijo que sus investigadores observaron otras cuentas de redes sociales falsas que tuiteaban noticias del ataque a organizaciones de medios, mientras que otros acusaron a Charlie Hebdo de trabajar en nombre del gobierno francés.
Operaciones de influencia iraní: una amenaza familiar
Neptunio, que el Departamento de Justicia de EE. UU. ha estado rastreando como “Emennet Pasargad”, es un actor de amenazas asociado con múltiples operaciones de influencia habilitadas cibernéticamente en los últimos años. Es uno de los muchos actores de amenazas aparentemente respaldados por el estado que trabajan en Irán y que han organizaciones estadounidenses fuertemente atacadas en los últimos años.
Las campañas de Neptunium incluyen una en la que el actor de amenazas intentó influir en el resultado de las elecciones generales de EE. UU. 2020, entre otras cosas, robando información de los votantes, intimidando a los votantes por correo electrónico y distribuyendo un video sobre vulnerabilidades inexistentes en los sistemas de votación. Como parte de la campaña, los actores de Neptunio se hicieron pasar por miembros del grupo derechista Proud Boys, según mostró la investigación del FBI sobre el grupo. Además de sus operaciones de influencia respaldadas por el gobierno de Irán, Neptunium también está asociado con ciberataques más tradicionales que data de 2018 contra organizaciones de noticias, compañías financieras, redes gubernamentales, empresas de telecomunicaciones y entidades petroleras y petroquímicas.
El FBI dijo que Emennet Pasargad es en realidad una empresa de seguridad cibernética con sede en Irán que trabaja en nombre del gobierno allí. En noviembre de 2021, un gran jurado estadounidense en Nueva York acusó a dos de sus empleados por una variedad de cargos, que incluyen intrusión informática, fraude e intimidación de votantes. El gobierno de Estados Unidos ha ofrecido $10 millones como recompensa por información que conduzca a la captura y condena de los dos individuos.
TTP de Neptunium: reconocimiento y búsquedas web
El FBI ha descrito que el modus operandi del grupo incluye un reconocimiento en la primera etapa de objetivos potenciales a través de búsquedas en la web, y luego usa los resultados para buscar software vulnerable que los objetivos podrían estar usando.
“En algunos casos, el objetivo puede haber sido explotar una gran cantidad de redes/sitios web en un sector en particular en lugar de un objetivo de organización específico”, señaló el FBI. "En otras situaciones, Emennet también intentaría identificar los servicios de alojamiento/alojamiento compartido".
El análisis del FBI de los ataques del grupo muestra que tiene un interés específico en las páginas web que ejecutan código PHP y bases de datos MySQL accesibles desde el exterior. También son de gran interés para el grupo Complementos de WordPress como revslider y Layerslider, y sitios web que se ejecutan en Drupal, Apache Tomcat, Ckeditor o Fckeditor, dijo el FBI.
Cuando intenta ingresar a una red de destino, Neptunium primero verifica si la organización podría estar usando contraseñas predeterminadas para aplicaciones específicas e intenta identificar las páginas de administración o de inicio de sesión.
“Se debe suponer que Emennet puede intentar contraseñas comunes de texto sin formato para cualquier sitio de inicio de sesión que identifiquen”, dijo el FBI.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says