Um ataque recente em que um grupo de ameaças que se autodenomina "Holy Souls" acessou um banco de dados pertencente à revista satírica francesa Charlie Hebdo e ameaçou doxar mais de 200,000 de seus assinantes foi obra do ator estatal iraniano Neptunium, disse a Microsoft em 3 de fevereiro.
O ataque parece ter sido uma resposta do governo iraniano a um concurso de cartuns anunciado pelo Charlie Hebdo em dezembro, no qual a revista convidava leitores de todo o mundo a enviar caricaturas “ridicularizando” o líder supremo do Irã, Ali Khamenei. Os resultados do concurso seriam publicados em 7 de janeiro, o oitavo aniversário de uma ataque terrorista mortal de 2015 no Charlie Hebdo – em retaliação pela publicação de caricaturas do profeta Maomé – que deixou 12 de seus funcionários mortos.
Doxing pode ter colocado assinantes em risco de segmentação física
A Microsoft disse que determinou Neptunium foi o responsável pelo ataque com base em artefatos e inteligência que os pesquisadores de seu Centro de Análise de Ameaças Digitais (DTAC) coletaram. Os dados mostraram que Neptunium cronometrou seu ataque para coincidir com a crítica formal do governo iraniano aos cartoons e suas ameaças de retaliação contra o Charlie Hebdo por eles no início de janeiro, disse a Microsoft.
Após o ataque, Neptúnio anunciado ele acessou informações pessoais pertencentes a cerca de 230,000 assinantes do Charlie Hebdo, incluindo seus nomes completos, números de telefone, endereços postais, endereços de e-mail e informações financeiras. O agente da ameaça divulgou uma pequena amostra dos dados como prova de acesso e ofereceu a parcela completa a qualquer pessoa disposta a comprá-la por 20 Bitcoins – ou cerca de US$ 340,000 na época, disse a Microsoft.
“Essas informações, obtidas pelo ator iraniano, podem colocar os assinantes da revista em risco de serem atacados online ou fisicamente por organizações extremistas”, avaliou a empresa – uma preocupação muito real, visto que os fãs do Charlie Hebdo têm visado mais de uma vez fora do incidente de 2015.
Muitas das ações que Neptunium realizou ao executar o ataque e depois dele foram consistentes com táticas, técnicas e procedimentos (TTPs) que outros agentes estatais iranianos empregaram ao realizar operações de influência, disse a Microsoft. Isso incluiu o uso de uma identidade hacktivista (Holy Souls) para reivindicar o crédito pelo ataque, o vazamento de dados privados e o uso de personalidades falsas – ou “sockpuppet” – nas mídias sociais para ampliar as notícias do ataque ao Charlie Hebdo.
Por exemplo, após o ataque, duas contas de mídia social (uma se passando por um executivo sênior de tecnologia francês e a outra um editor do Charlie Hebdo) começaram a postar capturas de tela das informações vazadas, disse a Microsoft. A empresa disse que seus pesquisadores observaram outras contas falsas de mídia social twittando notícias do ataque para organizações de mídia, enquanto outros acusavam o Charlie Hebdo de trabalhar em nome do governo francês.
Operações de influência iraniana: uma ameaça familiar
Neptunium, que o Departamento de Justiça dos EUA tem rastreado como “Emennet Pasárgad”, é um agente de ameaças associado a várias operações de influência cibernética nos últimos anos. É um dos muitos atores de ameaças aparentemente apoiados pelo Estado trabalhando no Irã que têm organizações norte-americanas altamente visadas nos últimos anos.
As campanhas da Neptunium incluem uma em que o agente da ameaça tentou influenciar o resultado das eleições gerais dos EUA em 2020, entre outras coisas, roubando informações dos eleitores, intimidando os eleitores por e-mail e distribuindo um vídeo sobre vulnerabilidades inexistentes nos sistemas de votação. Como parte da campanha, os atores do Neptunium se disfarçaram como membros do grupo de direita Proud Boys, mostrou a investigação do FBI sobre o grupo. Além de suas operações de influência apoiadas pelo governo do Irã, a Neptunium também está associada com ataques cibernéticos mais tradicionais que remonta a 2018 contra organizações de notícias, empresas financeiras, redes governamentais, empresas de telecomunicações e entidades petrolíferas e petroquímicas.
O FBI disse que Emennet Pasargad é na verdade uma empresa de segurança cibernética com sede no Irã que trabalha em nome do governo local. Em novembro de 2021, um grande júri dos EUA em Nova York indiciou dois de seus funcionários sob uma variedade de acusações, incluindo invasão de computador, fraude e intimidação de eleitores. O governo dos Estados Unidos ofereceu US$ 10 milhões como recompensa por informações que levem à captura e condenação dos dois indivíduos.
TTPs de Neptunium: reconhecimento e pesquisas na web
O FBI descreveu o MO do grupo como incluindo reconhecimento de primeiro estágio em alvos potenciais por meio de buscas na Web e, em seguida, usando os resultados para escanear software vulnerável que os alvos possam estar usando.
“Em alguns casos, o objetivo pode ter sido explorar um grande número de redes/sites em um determinado setor, em oposição a uma organização específica”, observou o FBI. “Em outras situações, a Emennet também tentaria identificar serviços de hospedagem/hospedagem compartilhada.”
A análise do FBI sobre os ataques do grupo mostra que ele tem interesse específico em páginas da Web que executam código PHP e bancos de dados MySQL acessíveis externamente. Também de grande interesse para o grupo são Plugins do WordPress como revslider e layerslider, e sites executados em Drupal, Apache Tomcat, Ckeditor ou Fckeditor, disse o FBI.
Ao tentar invadir uma rede de destino, o Neptunium primeiro verifica se a organização pode estar usando senhas padrão para aplicativos específicos e tenta identificar as páginas de administração ou login.
“Deve-se presumir que o Emennet pode tentar senhas de texto simples comuns para qualquer site de login que eles identificarem”, disse o FBI.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says