Un atac recent în care un grup de amenințări care se numește „Holy Souls” a accesat o bază de date aparținând revistei satirice franceze Charlie Hebdo și a amenințat că va absorbi peste 200,000 dintre abonații săi a fost opera actorului de stat iranian Neptunium, a declarat Microsoft pe 3 februarie.
Atacul pare să fi fost un răspuns al guvernului iranian la un concurs de desene animate pe care Charlie Hebdo l-a anunțat în decembrie, unde revista a invitat cititorii din întreaga lume să trimită caricaturi care îl „ridiculează” pe liderul suprem al Iranului Ali Khamenei. Rezultatele concursului urmau să fie publicate pe 7 ianuarie, împlinirea a opta aniversare a a atac terorist mortal din 2015 asupra lui Charlie Hebdo — ca răzbunare pentru publicarea caricaturii profetului Mahomed — care au murit 12 dintre angajații săi.
Doxing ar fi putut pune abonații în pericol de a fi vizați fizic
Microsoft a spus că a decis Neptunium a fost responsabil pentru atac bazat pe artefacte și inteligență pe care cercetătorii de la Centrul său de analiză digitală a amenințărilor (DTAC) le-au colectat. Datele au arătat că Neptunium și-a cronometrat atacul pentru a coincide cu critica oficială a guvernului iranian la adresa desenelor animate și cu amenințările sale de a se răzbuna împotriva lui Charlie Hebdo la începutul lunii ianuarie, a spus Microsoft.
În urma atacului, a anunțat Neptunium a accesat informații personale aparținând a aproximativ 230,000 de abonați Charlie Hebdo, inclusiv numele lor complete, numere de telefon, adrese poștale, adrese de e-mail și informații financiare. Actorul amenințării a lansat un mic eșantion de date ca dovadă a accesului și a oferit transa completă oricărei persoane dornice să o cumpere pentru 20 de Bitcoin - sau aproximativ 340,000 de dolari la acea vreme, a spus Microsoft.
„Această informație, obținută de actorul iranian, ar putea expune abonații revistei în pericol de țintire online sau fizică de către organizații extremiste”, a evaluat compania – o îngrijorare foarte reală, având în vedere că fanii Charlie Hebdo au fost vizat de mai multe ori în afara incidentului din 2015.
Multe dintre acțiunile pe care Neptunium le-a întreprins în executarea atacului și în urma acestuia au fost în concordanță cu tacticile, tehnicile și procedurile (TTP) pe care alți actori statali iranieni le-au folosit atunci când desfășoară operațiuni de influență, a spus Microsoft. Aceasta a inclus utilizarea unei identități hacktiviste (Holy Souls) în revendicarea creditului pentru atac, scurgerea de date private și utilizarea unor persoane false – sau „sockpuppet” – de pe rețelele sociale pentru a amplifica știrile despre atacul asupra Charlie Hebdo.
De exemplu, în urma atacului, două conturi de rețele sociale (unul prefăcându-se pe un director de tehnologie francez și celălalt un editor la Charlie Hebdo) au început să posteze capturi de ecran ale informațiilor scurse, a spus Microsoft. Compania a spus că cercetătorii săi au observat alte conturi false de rețele sociale care trimiteau pe Twitter știri despre atac către organizații media, în timp ce alții l-au acuzat pe Charlie Hebdo că lucrează în numele guvernului francez.
Operațiunile de influență iraniene: o amenințare familiară
Neptunium, pe care Departamentul de Justiție al SUA îl urmărește drept „Emennet Pasargad,” este un actor de amenințare asociat cu mai multe operațiuni de influență activate cibernetic în ultimii ani. Este unul dintre mulți actori de amenințări aparent susținuți de stat care lucrează din Iran au vizat puternic organizațiile americane în ultimii ani.
Campaniile lui Neptunium includ una în care actorul amenințării a încercat să influențeze rezultatul alegerilor generale din SUA din 2020, printre altele, furând informații despre alegători, intimidând alegătorii prin e-mail și distribuind un videoclip despre vulnerabilități inexistente în sistemele de vot. Ca parte a campaniei, actorii Neptunium s-au mascarat ca membri ai grupului de dreapta Proud Boys, a arătat investigația FBI asupra grupului. Pe lângă operațiunile sale de influență susținute de guvernul Iranului, Neptunium este, de asemenea, asociat cu atacuri cibernetice mai tradiționale datând din 2018 împotriva organizațiilor de știri, companiilor financiare, rețele guvernamentale, firme de telecomunicații și entități petroliere și petrochimice.
FBI a spus că Emennet Pasargad este de fapt o companie de securitate cibernetică din Iran care lucrează în numele guvernului de acolo. În noiembrie 2021, un mare juriu american la New York a inculpat doi dintre angajații săi cu o varietate de acuzații, inclusiv intruziunea computerelor, fraudă și intimidarea alegătorilor. Guvernul SUA a oferit 10 milioane de dolari drept recompensă pentru informațiile care au condus la capturarea și condamnarea celor două persoane.
TTP-urile lui Neptunium: recunoaștere și căutări web
FBI a descris MO al grupului ca incluzând recunoașterea în primă etapă a țintelor potențiale prin căutări pe web și apoi folosind rezultatele pentru a scana software-ul vulnerabil pe care țintele ar putea să-l folosească.
„În unele cazuri, este posibil ca obiectivul să fi fost exploatarea unui număr mare de rețele/site-uri web dintr-un anumit sector, spre deosebire de o anumită țintă a organizației”, a remarcat FBI. „În alte situații, Emennet ar încerca, de asemenea, să identifice servicii de găzduire/găzduire partajată.”
Analiza FBI asupra atacurilor grupului arată că are un interes specific pentru paginile web care rulează cod PHP și bazele de date MySQL accesibile din exterior. De asemenea, de mare interes pentru grup sunt Pluginuri WordPress precum revslider și layerslider și site-uri web care rulează pe Drupal, Apache Tomcat, Ckeditor sau Fckeditor, a spus FBI.
Când încearcă să pătrundă într-o rețea țintă, Neptunium verifică mai întâi dacă organizația ar putea folosi parole implicite pentru anumite aplicații și încearcă să identifice paginile de administrator sau de conectare.
„Ar trebui să se presupună că Emennet poate încerca parole obișnuite în text simplu pentru orice site-uri de conectare pe care le identifică”, a spus FBI.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says