Een recente aanval waarbij een dreigingsgroep die zichzelf "Holy Souls" noemde, toegang kreeg tot een database van het satirische Franse tijdschrift Charlie Hebdo en meer dan 200,000 van zijn abonnees dreigde te doxeren, was het werk van de Iraanse staatsactor Neptunium, zei Microsoft op 3 februari.
De aanval lijkt een reactie van de Iraanse regering te zijn geweest op een cartoonwedstrijd die Charlie Hebdo in december aankondigde, waarbij het tijdschrift lezers van over de hele wereld uitnodigde om karikaturen in te dienen waarin de Iraanse Opperste Leider Ali Khamenei "belachelijk" werd gemaakt. De resultaten van de wedstrijd zouden worden gepubliceerd op 7 januari, de achtste verjaardag van een dodelijke aanslag op Charlie Hebdo in 2015 - als vergelding voor het publiceren van cartoons van de profeet Mohammed - waarbij 12 van zijn stafleden om het leven kwamen.
Doxing had abonnees het risico van fysieke targeting kunnen opleveren
Microsoft zei dat het vastbesloten was Neptunium was verantwoordelijk voor de aanval gebaseerd op artefacten en informatie die onderzoekers van het Digital Threat Analysis Center (DTAC) hadden verzameld. Uit de gegevens bleek dat Neptunium zijn aanval had getimed om samen te vallen met de formele kritiek van de Iraanse regering op de cartoons en haar dreigementen om begin januari wraak te nemen op Charlie Hebdo, aldus Microsoft.
Na de aanval, Neptunium aangekondigd het had toegang gekregen tot persoonlijke informatie van zo'n 230,000 Charlie Hebdo-abonnees, inclusief hun volledige namen, telefoonnummers, postadressen, e-mailadressen en financiële informatie. De dreigingsactor gaf een klein deel van de gegevens vrij als bewijs van toegang en bood de volledige tranche aan iedereen die bereid was om het te kopen voor 20 Bitcoin – of ongeveer $ 340,000 op dat moment, zei Microsoft.
"Deze informatie, verkregen door de Iraanse acteur, zou de abonnees van het tijdschrift het risico kunnen geven online of fysiek doelwit te zijn van extremistische organisaties", oordeelde het bedrijf - een zeer reële zorg gezien het feit dat Charlie Hebdo-fans meer dan eens gericht buiten het incident van 2015.
Veel van de acties die Neptunium ondernam bij het uitvoeren van de aanval en daarna, waren consistent met tactieken, technieken en procedures (TTP's) die andere Iraanse staatsactoren hebben toegepast bij het uitvoeren van beïnvloedingsoperaties, zei Microsoft. Dit omvatte het gebruik van een hacktivistische identiteit (Holy Souls) bij het claimen van de eer voor de aanval, het lekken van privégegevens en het gebruik van nep- of "sockpuppet" - persona's op sociale media om nieuws over de aanval op Charlie Hebdo te versterken.
Na de aanval begonnen bijvoorbeeld twee sociale media-accounts (een die zich voordeed als een senior Franse tech-manager en de andere als een redacteur bij Charlie Hebdo) screenshots van de gelekte informatie te posten, zei Microsoft. Het bedrijf zei dat zijn onderzoekers andere nep-accounts op sociale media observeerden die nieuws over de aanval naar mediaorganisaties tweeten, terwijl anderen Charlie Hebdo ervan beschuldigden namens de Franse regering te werken.
Operaties met Iraanse invloed: een bekende dreiging
Neptunium, dat het Amerikaanse ministerie van Justitie volgt als "Emennet Pasargad”, is een bedreigingsactor die de afgelopen jaren betrokken is geweest bij meerdere cyberondersteunde beïnvloedingsoperaties. Het is een van de vele schijnbaar door de staat gesteunde dreigingsactoren die vanuit Iran werken zwaar geviseerde Amerikaanse organisaties in de afgelopen jaren.
De campagnes van Neptunium omvatten een campagne waarbij de dreigingsacteur probeerde de uitkomst van de algemene verkiezingen van 2020 in de VS te beïnvloeden door onder meer kiezersinformatie te stelen, kiezers te intimideren via e-mail en een video te verspreiden over niet-bestaande kwetsbaarheden in stemsystemen. Als onderdeel van de campagne deden Neptunium-acteurs zich voor als leden van de rechtse Proud Boys-groep, zo bleek uit het onderzoek van de FBI naar de groep. Naast de door de Iraanse regering gesteunde beïnvloedingsoperaties, is Neptunium ook betrokken met meer traditionele cyberaanvallen daterend uit 2018 tegen nieuwsorganisaties, financiële bedrijven, overheidsnetwerken, telecommunicatiebedrijven en olie- en petrochemische entiteiten.
De FBI zei dat Emennet Pasargad eigenlijk een in Iran gevestigd cyberbeveiligingsbedrijf is dat namens de regering daar werkt. In november 2021 een Amerikaanse grand jury in New York klaagde twee van zijn medewerkers aan op verschillende aanklachten, waaronder computerinbraak, fraude en intimidatie van kiezers. De Amerikaanse regering heeft 10 miljoen dollar uitgeloofd als beloning voor informatie die leidt tot de arrestatie en veroordeling van de twee personen.
TTP's van Neptunium: verkenning en zoekopdrachten op internet
De FBI heeft beschreven dat de werkwijze van de groep een verkenning in de eerste fase van potentiële doelen via zoekopdrachten op het web omvat en vervolgens de resultaten gebruikt om te scannen op kwetsbare software die de doelen zouden kunnen gebruiken.
"In sommige gevallen kan het doel zijn geweest om een groot aantal netwerken/websites in een bepaalde sector te exploiteren, in tegenstelling tot een specifiek organisatiedoel", merkte de FBI op. "In andere situaties zou Emennet ook proberen hosting / shared hosting-services te identificeren."
Uit de analyse van de aanvallen van de FBI door de FBI blijkt dat het specifieke interesse heeft in webpagina's met PHP-code en extern toegankelijke MySQL-databases. Ook van groot belang voor de groep zijn WordPress-plug-ins zoals revslider en layerslider, en websites die draaien op Drupal, Apache Tomcat, Ckeditor of Fckeditor, aldus de FBI.
Wanneer Neptunium probeert in te breken op een doelnetwerk, verifieert het eerst of de organisatie mogelijk standaardwachtwoorden gebruikt voor specifieke applicaties en probeert het beheerders- of inlogpagina's te identificeren.
"Aangenomen moet worden dat Emennet gewone wachtwoorden in platte tekst kan proberen voor alle inlogsites die ze identificeren", aldus de FBI.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says