Un recente attacco in cui un gruppo di minaccia che si autodefinisce "Holy Souls" ha avuto accesso a un database appartenente alla rivista satirica francese Charlie Hebdo e ha minacciato di doxare più di 200,000 dei suoi abbonati è stato opera dell'attore statale iraniano Neptunium, ha dichiarato Microsoft il 3 febbraio.
L'attacco sembra essere stata una risposta del governo iraniano a un concorso di vignette che Charlie Hebdo ha annunciato a dicembre, in cui la rivista ha invitato i lettori di tutto il mondo a presentare caricature che "ridicolizzano" il leader supremo iraniano Ali Khamenei. I risultati del concorso dovevano essere pubblicati il 7 gennaio, l'ottavo anniversario di a micidiale attacco terroristico del 2015 a Charlie Hebdo - in rappresaglia per la pubblicazione di vignette del Profeta Maometto - che ha provocato la morte di 12 membri del suo staff.
Il doxing avrebbe potuto mettere gli abbonati a rischio di targeting fisico
Microsoft ha detto che è determinato Neptunium era responsabile dell'attacco sulla base di artefatti e informazioni raccolte dai ricercatori del suo Digital Threat Analysis Center (DTAC). I dati hanno mostrato che Neptunium ha programmato il suo attacco in modo che coincidesse con le critiche formali del governo iraniano alle vignette e le sue minacce di ritorsioni contro Charlie Hebdo per loro all'inizio di gennaio, ha detto Microsoft.
Dopo l'attacco, Nettunio annunciato aveva avuto accesso alle informazioni personali appartenenti a circa 230,000 abbonati a Charlie Hebdo, inclusi i loro nomi completi, numeri di telefono, indirizzi postali, indirizzi e-mail e informazioni finanziarie. L'autore della minaccia ha rilasciato un piccolo campione dei dati come prova di accesso e ha offerto l'intera tranche a chiunque fosse disposto ad acquistarlo per 20 Bitcoin, ovvero circa $ 340,000 all'epoca, ha affermato Microsoft.
"Queste informazioni, ottenute dall'attore iraniano, potrebbero mettere gli abbonati della rivista a rischio di attacchi online o fisici da parte di organizzazioni estremiste", ha valutato la società - una preoccupazione molto reale dato che i fan di Charlie Hebdo sono stati preso di mira più di una volta al di fuori dell'incidente del 2015.
Molte delle azioni intraprese da Neptunium nell'eseguire l'attacco e in seguito ad esso erano coerenti con le tattiche, le tecniche e le procedure (TTP) che altri attori statali iraniani hanno impiegato durante lo svolgimento di operazioni di influenza, ha affermato Microsoft. Ciò includeva l'uso di un'identità di hacktivist (Holy Souls) per rivendicare il merito dell'attacco, la fuga di dati privati e l'uso di falsi - o "sockpuppet" - personaggi dei social media per amplificare le notizie dell'attacco a Charlie Hebdo.
Ad esempio, in seguito all'attacco, due account di social media (uno che impersonava un alto dirigente tecnico francese e l'altro un editore di Charlie Hebdo) hanno iniziato a pubblicare screenshot delle informazioni trapelate, ha affermato Microsoft. La società ha affermato che i suoi ricercatori hanno osservato altri falsi account di social media che twittano la notizia dell'attacco alle organizzazioni dei media, mentre altri hanno accusato Charlie Hebdo di lavorare per conto del governo francese.
Operazioni di influenza iraniana: una minaccia familiare
Nettunio, che il Dipartimento di Giustizia degli Stati Uniti ha monitorato come "Emnet Pasargad”, è un attore di minacce associato a molteplici operazioni di influenza abilitate dal cyber negli ultimi anni. È uno dei tanti attori della minaccia apparentemente sostenuti dallo stato che lavorano fuori dall'Iran che lo hanno fatto organizzazioni statunitensi pesantemente prese di mira negli ultimi anni.
Le campagne di Neptunium includono una in cui l'autore della minaccia ha tentato di influenzare l'esito delle elezioni generali statunitensi del 2020, tra le altre cose, rubando informazioni sugli elettori, intimidendo gli elettori via e-mail e distribuendo un video su vulnerabilità inesistenti nei sistemi di voto. Come parte della campagna, gli attori di Neptunium si sono mascherati da membri del gruppo di destra Proud Boys, ha mostrato l'indagine dell'FBI sul gruppo. Oltre alle sue operazioni di influenza sostenute dal governo iraniano, Neptunium è anche associato con attacchi informatici più tradizionali risalente al 2018 contro testate giornalistiche, società finanziarie, reti governative, società di telecomunicazioni ed entità petrolifere e petrolchimiche.
L'FBI ha affermato che Emennet Pasargad è in realtà una società di sicurezza informatica con sede in Iran che lavora per conto del governo locale. Nel novembre 2021, un gran giurì statunitense a New York ha incriminato due dei suoi dipendenti su una serie di accuse, tra cui intrusione informatica, frode e intimidazione degli elettori. Il governo degli Stati Uniti ha offerto 10 milioni di dollari come ricompensa per le informazioni che hanno portato alla cattura e alla condanna dei due individui.
TTP di Neptunium: ricognizione e ricerche sul web
L'FBI ha descritto il MO del gruppo come comprendente la prima fase di ricognizione su potenziali bersagli tramite ricerche sul Web, e quindi l'utilizzo dei risultati per cercare software vulnerabile che gli obiettivi potrebbero utilizzare.
"In alcuni casi, l'obiettivo potrebbe essere stato quello di sfruttare un gran numero di reti/siti Web in un particolare settore rispetto a un obiettivo specifico dell'organizzazione", ha osservato l'FBI. "In altre situazioni, Emennet tenterebbe anche di identificare i servizi di hosting/hosting condiviso".
L'analisi dell'FBI sugli attacchi del gruppo mostra che ha un interesse specifico per le pagine Web che eseguono codice PHP e database MySQL accessibili dall'esterno. Anche di grande interesse per il gruppo sono Plug-in di WordPress come revslider e layerslider e siti web che girano su Drupal, Apache Tomcat, Ckeditor o Fckeditor, ha affermato l'FBI.
Quando tenta di entrare in una rete di destinazione, Neptunium verifica innanzitutto se l'organizzazione potrebbe utilizzare password predefinite per applicazioni specifiche e tenta di identificare le pagine di amministrazione o di accesso.
"Si dovrebbe presumere che Emennet possa tentare password comuni in chiaro per qualsiasi sito di accesso che identifica", ha affermato l'FBI.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says