Äskettäinen hyökkäys, jossa itseään "Pyhiksi sieluiksi" kutsuva uhkaryhmä pääsi käsiksi satiirisen ranskalaisen Charlie Hebdo -lehden tietokantaan ja uhkasi tuhota yli 200,000 3 sen tilaajaa, oli Iranin valtion toimija Neptuniumin työ, Microsoft sanoi XNUMX.
Hyökkäys näyttää olleen Iranin hallituksen vastaus sarjakuvakilpailuun, jonka Charlie Hebdo julkaisi joulukuussa ja jossa lehti kutsui lukijoita ympäri maailmaa lähettämään Iranin korkeinta johtajaa Ali Khameneita "pilkkaavia" pilakuvia. Kilpailun tulokset oli määrä julkaista 7. tammikuuta, kahdeksantena vuosipäivänä a Vuoden 2015 tappava terrori-isku Charlie Hebdoon - kostoksi profeetta Muhammedin pilapiirrosten julkaisemisesta, jonka seurauksena 12 sen työntekijää kuoli.
Doxing olisi voinut asettaa tilaajat fyysisen kohdistamisen vaaraan
Microsoft sanoi päättävänsä Neptunium oli vastuussa hyökkäyksestä perustuu artefakteihin ja tiedustelutietoihin, joita sen Digital Threat Analysis Centerin (DTAC) tutkijat olivat keränneet. Tiedot osoittivat, että Neptunium ajoi hyökkäyksensä samaan aikaan kuin Iranin hallituksen muodollinen kritiikki sarjakuvia kohtaan ja sen uhkaukset kostaa Charlie Hebdoa vastaan tammikuun alussa, Microsoft sanoi.
Hyökkäyksen jälkeen Neptunium ilmoitti se oli päässyt käsiksi noin 230,000 20 Charlie Hebdon tilaajaan kuuluviin henkilötietoihin, mukaan lukien heidän koko nimensä, puhelinnumeronsa, postiosoitteensa, sähköpostiosoitteensa ja taloudelliset tiedot. Uhkatoimi julkaisi pienen näytteen tiedoista todisteena pääsystä ja tarjosi täyden erän kaikille, jotka olivat halukkaita ostamaan sen 340,000 Bitcoinilla - eli noin XNUMX XNUMX dollarilla tuolloin, Microsoft sanoi.
"Nämä iranilaisen näyttelijän hankkimat tiedot voivat vaarantaa lehden tilaajat äärijärjestöjen online- tai fyysisen kohdistamisen", yhtiö arvioi. Tämä on erittäin todellinen huolenaihe, koska Charlie Hebdon fanit ovat olleet kohdistettu useammin kuin kerran vuoden 2015 tapahtuman ulkopuolella.
Monet Neptuniumin toimista hyökkäyksen toteuttamisessa ja sen jälkeen olivat sopusoinnussa niiden taktiikkojen, tekniikoiden ja menettelytapojen (TTP) kanssa, joita muut Iranin valtion toimijat ovat käyttäneet vaikuttaessaan, Microsoft sanoi. Tähän sisältyi hacktivistisen identiteetin (Holy Souls) käyttö hyökkäyksestä ansioissaan, yksityisten tietojen vuotaminen ja väärennettyjen – tai ”sokkapupettien” – sosiaalisen median henkilöiden käyttö vahvistamaan uutisia Charlie Hebdoa vastaan tehdystä hyökkäyksestä.
Esimerkiksi hyökkäyksen jälkeen kaksi sosiaalisen median tiliä (toinen esiintyi johtavana ranskalaisena teknologiajohtajana ja toinen Charlie Hebdon toimittajana) alkoi julkaista kuvakaappauksia vuotaneista tiedoista, Microsoft sanoi. Yhtiön mukaan sen tutkijat havaitsivat muiden väärennettyjen sosiaalisen median tilien twiittaavan uutisia hyökkäyksestä mediaorganisaatioille, kun taas toiset syyttivät Charlie Hebdoa työskentelystä Ranskan hallituksen puolesta.
Iranin vaikutusvaltaoperaatiot: tuttu uhka
Neptunium, jota Yhdysvaltain oikeusministeriö on seurannut nimellä "Emennet Pasargad”, on uhkatekijä, joka on liitetty useisiin kyberpohjaisiin vaikuttamistoimintoihin viime vuosina. Se on yksi monista ilmeisesti valtion tukemista uhkatoimijoista, jotka työskentelevät Iranissa viime vuosina voimakkaasti kohdistettuja yhdysvaltalaisia organisaatioita.
Neptuniumin kampanjoihin kuuluu muun muassa sellainen, jossa uhkatoimija yritti vaikuttaa Yhdysvaltain vuoden 2020 parlamenttivaalien lopputulokseen muun muassa varastamalla äänestäjien tietoja, uhkailemalla äänestäjiä sähköpostitse ja jakamalla videota äänestysjärjestelmien olemattomista haavoittuvuuksista. FBI:n ryhmää koskeva tutkimus osoitti, että osana kampanjaa Neptunium-näyttelijät naamioituivat oikeistolaisen Proud Boys -ryhmän jäseniksi. Iranin hallituksen tukeman vaikutusvallan lisäksi Neptunium on mukana perinteisemmillä kyberhyökkäyksillä vuodelta 2018 uutisorganisaatioita, rahoitusyhtiöitä vastaan, valtion verkostot, televiestintäyritykset sekä öljy- ja petrokemian yksiköt.
FBI sanoi, että Emennet Pasargad on itse asiassa iranilainen kyberturvallisuusyhtiö, joka työskentelee siellä olevan hallituksen puolesta. Marraskuussa 2021 Yhdysvaltain tuomaristo New Yorkissa nosti syytteen kahdelle työntekijälleen useissa eri syytteissä, mukaan lukien tietokonetunkeutuminen, petokset ja äänestäjien uhkailu. Yhdysvaltain hallitus on tarjonnut 10 miljoonaa dollaria palkkioksi tiedoista, jotka johtavat kahden henkilön vangitsemiseen ja tuomitsemiseen.
Neptuniumin TTP:t: tiedustelu ja verkkohaut
FBI on kuvaillut ryhmän MO-toimintaa sisältäneen ensimmäisen vaiheen mahdollisten kohteiden tiedustamisen verkkohakujen avulla ja käyttämällä tuloksia haavoittuvien ohjelmistojen etsimiseen, jota kohteet voisivat käyttää.
"Joissakin tapauksissa tavoitteena on saattanut olla hyödyntää suurta määrää verkkoja/verkkosivustoja tietyllä alalla, toisin kuin tietyn organisaation kohteena", FBI on huomauttanut. "Muissa tilanteissa Emennet yrittää myös tunnistaa hosting-/jaetut hosting-palvelut."
FBI:n analyysi ryhmän hyökkäyksistä osoittaa, että se on erityisen kiinnostunut PHP-koodia käyttävistä verkkosivuista ja ulkopuolelta saatavilla olevista MySQL-tietokannoista. Myös ryhmää kiinnostavat WordPress-laajennukset kuten revslider ja layerslider sekä sivustot, jotka toimivat Drupalilla, Apache Tomcatilla, Ckeditorilla tai Fckeditorilla, FBI sanoi.
Kun Neptunium yrittää murtautua kohdeverkkoon, se tarkistaa ensin, käyttääkö organisaatio oletussalasanoita tietyille sovelluksille, ja yrittää tunnistaa järjestelmänvalvoja- tai kirjautumissivut.
"Pitäisi olettaa, että Emennet voi yrittää käyttää yleisiä salasanoja kaikille tunnistamilleen kirjautumissivustoille", FBI sanoi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says