Une attaque récente au cours de laquelle un groupe menaçant se faisant appeler "Holy Souls" a accédé à une base de données appartenant au magazine satirique français Charlie Hebdo et a menacé de doxer plus de 200,000 3 de ses abonnés était l'œuvre de l'acteur d'État iranien Neptunium, a déclaré Microsoft le XNUMX février.
L'attaque semble avoir été une réponse du gouvernement iranien à un concours de dessins animés que Charlie Hebdo a annoncé en décembre, où le magazine invitait les lecteurs du monde entier à soumettre des caricatures « ridiculisant » le guide suprême iranien Ali Khamenei. Les résultats du concours devaient être publiés le 7 janvier, le huitième anniversaire d'un Attaque terroriste meurtrière de 2015 contre Charlie Hebdo – en représailles à la publication de caricatures du prophète Mahomet – qui a fait 12 morts parmi ses employés.
Doxing aurait pu mettre les abonnés en danger de ciblage physique
Microsoft a déclaré avoir déterminé Neptunium était responsable de l'attaque basé sur des artefacts et des renseignements que les chercheurs de son centre d'analyse des menaces numériques (DTAC) avaient collectés. Les données ont montré que Neptunium avait programmé son attaque pour coïncider avec la critique officielle des caricatures par le gouvernement iranien et ses menaces de représailles contre Charlie Hebdo pour eux début janvier, a déclaré Microsoft.
Suite à l'attentat, Neptunium annoncé il avait accédé aux informations personnelles appartenant à quelque 230,000 20 abonnés de Charlie Hebdo, y compris leurs noms complets, numéros de téléphone, adresses postales, adresses e-mail et informations financières. L'acteur de la menace a publié un petit échantillon des données comme preuve d'accès et a offert la tranche complète à quiconque souhaitait l'acheter pour 340,000 Bitcoins, soit environ XNUMX XNUMX dollars à l'époque, a déclaré Microsoft.
"Cette information, obtenue par l'acteur iranien, pourrait exposer les abonnés du magazine à un ciblage en ligne ou physique par des organisations extrémistes", a estimé la société - une préoccupation très réelle étant donné que les fans de Charlie Hebdo ont été ciblé plus d'une fois en dehors de l'incident de 2015.
De nombreuses actions entreprises par Neptunium pour exécuter l'attaque et la suivre étaient conformes aux tactiques, techniques et procédures (TTP) que d'autres acteurs étatiques iraniens ont employées lors de la réalisation d'opérations d'influence, a déclaré Microsoft. Cela comprenait l'utilisation d'une identité hacktiviste (Holy Souls) pour revendiquer le mérite de l'attaque, la fuite de données privées et l'utilisation de faux - ou "sockpuppet" - personnages de médias sociaux pour amplifier les nouvelles de l'attaque contre Charlie Hebdo.
Par exemple, à la suite de l'attaque, deux comptes de médias sociaux (l'un se faisant passer pour un cadre supérieur de la technologie française et l'autre un rédacteur en chef de Charlie Hebdo) ont commencé à publier des captures d'écran des informations divulguées, a déclaré Microsoft. La société a déclaré que ses chercheurs avaient observé d'autres faux comptes de médias sociaux tweetant des nouvelles de l'attaque aux médias, tandis que d'autres accusaient Charlie Hebdo de travailler pour le compte du gouvernement français.
Opérations d'influence iraniennes : une menace familière
Neptunium, que le ministère américain de la Justice a suivi comme "Emennet Pasargad”, est un acteur menaçant associé à de multiples opérations d'influence cybernétique ces dernières années. C'est l'un des nombreux acteurs de la menace apparemment soutenus par l'État travaillant depuis l'Iran qui ont organisations américaines fortement ciblées ces dernières années.
Parmi les campagnes de Neptunium, il y en a une où l'acteur menaçant a tenté d'influencer le résultat des élections générales américaines de 2020, entre autres, en volant des informations sur les électeurs, en intimidant les électeurs par e-mail et en distribuant une vidéo sur des vulnérabilités inexistantes dans les systèmes de vote. Dans le cadre de la campagne, les acteurs de Neptunium se sont fait passer pour des membres du groupe de droite Proud Boys, a révélé l'enquête du FBI sur le groupe. En plus de ses opérations d'influence soutenues par le gouvernement iranien, Neptunium est également associé avec des cyberattaques plus traditionnelles datant de 2018 contre les agences de presse, les sociétés financières, réseaux gouvernementaux, des entreprises de télécommunications et des entités pétrolières et pétrochimiques.
Le FBI a déclaré qu'Emennet Pasargad est en fait une société de cybersécurité basée en Iran travaillant pour le compte du gouvernement là-bas. En novembre 2021, un grand jury américain à New York a mis en examen deux de ses employés sur une variété d'accusations, y compris l'intrusion informatique, la fraude et l'intimidation des électeurs. Le gouvernement américain a offert 10 millions de dollars en récompense pour les informations menant à la capture et à la condamnation des deux individus.
TTP de Neptunium : reconnaissance et recherches sur le Web
Le FBI a décrit le MO du groupe comme incluant une première étape de reconnaissance sur des cibles potentielles via des recherches sur le Web, puis utilisant les résultats pour rechercher des logiciels vulnérables que les cibles pourraient utiliser.
"Dans certains cas, l'objectif peut avoir été d'exploiter un grand nombre de réseaux / sites Web dans un secteur particulier par opposition à une cible d'organisation spécifique", a noté le FBI. "Dans d'autres situations, Emennet tenterait également d'identifier les services d'hébergement / d'hébergement partagé."
L'analyse par le FBI des attaques du groupe montre qu'il porte un intérêt particulier aux pages Web exécutant du code PHP et aux bases de données MySQL accessibles de l'extérieur. Sont également d'un grand intérêt pour le groupe Plugins WordPress tels que revslider et layerlider, et des sites Web qui fonctionnent sur Drupal, Apache Tomcat, Ckeditor ou Fckeditor, a déclaré le FBI.
Lorsqu'il tente de s'introduire dans un réseau cible, Neptunium vérifie d'abord si l'organisation utilise peut-être des mots de passe par défaut pour des applications spécifiques, et il essaie d'identifier les pages d'administration ou de connexion.
"Il faut supposer qu'Emennet peut essayer des mots de passe communs en clair pour tous les sites de connexion qu'ils identifient", a déclaré le FBI.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says