Недавняя атака, когда группа угроз, называющая себя «Святые души», получила доступ к базе данных, принадлежащей сатирическому французскому журналу Charlie Hebdo, и угрожала доксировать более 200,000 3 его подписчиков, была делом рук иранского государственного актера Neptunium, заявила Microsoft XNUMX февраля.
Нападение, по-видимому, было ответом иранского правительства на конкурс карикатур, объявленный журналом Charlie Hebdo в декабре, когда журнал пригласил читателей со всего мира присылать карикатуры, «высмеивающие» верховного лидера Ирана Али Хаменеи. Результаты конкурса должны были быть опубликованы 7 января, в восьмую годовщину Смертоносный теракт в редакции Charlie Hebdo в 2015 г. — в отместку за публикацию карикатур на пророка Мухаммеда, в результате которой погибли 12 его сотрудников.
Doxing мог подвергнуть подписчиков риску физического таргетинга
Microsoft заявила, что определила Нептуний был ответственен за атаку на основе артефактов и сведений, собранных исследователями из Центра анализа цифровых угроз (DTAC). Данные показали, что Neptunium приурочила свою атаку к официальной критике карикатур со стороны иранского правительства и его угрозам отомстить Charlie Hebdo за них в начале января, сообщила Microsoft.
После нападения Нептуний анонсирован он получил доступ к личной информации, принадлежащей примерно 230,000 20 подписчиков Charlie Hebdo, включая их полные имена, номера телефонов, почтовые адреса, адреса электронной почты и финансовую информацию. Злоумышленник опубликовал небольшой образец данных в качестве доказательства доступа и предложил полный транш любому желающему купить его за 340,000 биткойнов — или около XNUMX XNUMX долларов в то время, сообщает Microsoft.
«Эта информация, полученная иранским актером, может подвергнуть подписчиков журнала риску онлайн или физического нападения со стороны экстремистских организаций», — оценила компания. нацелен более одного раза помимо инцидента 2015 года.
По словам Microsoft, многие из действий, предпринятых Neptunium при проведении атаки и после нее, соответствовали тактике, методам и процедурам (TTP), которые другие иранские государственные субъекты использовали при проведении операций влияния. Это включало использование личности хактивиста (Holy Souls) при утверждении своей заслуги в атаке, утечку личных данных и использование поддельных — или «sockpuppet» — персонажей в социальных сетях для распространения новостей о нападении на Charlie Hebdo.
Например, после атаки две учетные записи в социальных сетях (одна выдавала себя за высокопоставленного руководителя французского технического отдела, а другая — за редактора Charlie Hebdo) начали публиковать скриншоты просочившейся информации, сообщает Microsoft. Компания заявила, что ее исследователи наблюдали за другими фальшивыми учетными записями в социальных сетях, которые отправляли в Твиттер новости о нападении на организации СМИ, в то время как другие обвиняли Charlie Hebdo в работе от имени французского правительства.
Иранские операции влияния: знакомая угроза
Нептуний, который Министерство юстиции США отслеживает как «Эменнет Пасаргад», — это субъект угрозы, связанный с многочисленными операциями по оказанию влияния с помощью кибернетики в последние годы. Это один из многих явно поддерживаемых государством субъектов угрозы, работающих в Иране, которые активно преследуемые американские организации в последние годы.
Кампании Neptunium включают в себя одну, в которой злоумышленник пытался повлиять на исход всеобщих выборов в США в 2020 году, в том числе путем кражи информации об избирателях, запугивания избирателей по электронной почте и распространения видео о несуществующих уязвимостях в системах голосования. Как показало расследование ФБР, в рамках кампании актеры Neptunium маскировались под членов правой группы Proud Boys. В дополнение к поддерживаемым правительством Ирана операциям по оказанию влияния, Neptunium также связан с более традиционными кибератаками начиная с 2018 года против новостных организаций, финансовых компаний, правительственные сети, телекоммуникационные фирмы, нефтяные и нефтехимические предприятия.
ФБР заявило, что Emennet Pasargad на самом деле является базирующейся в Иране компанией по кибербезопасности, работающей от имени местного правительства. В ноябре 2021 года большое жюри США в Нью-Йорке предъявил обвинение двум своим сотрудникам по целому ряду обвинений, в том числе во вторжении в компьютер, мошенничестве и запугивании избирателей. Правительство США предложило 10 миллионов долларов в качестве вознаграждения за информацию, ведущую к поимке и осуждению двух человек.
TTP Neptunium: разведка и поиск в Интернете
ФБР описало миссию группы как включающую разведку потенциальных целей на первом этапе с помощью веб-поиска, а затем использование результатов для сканирования уязвимого программного обеспечения, которое могли использовать цели.
«В некоторых случаях целью могло быть использование большого количества сетей/веб-сайтов в определенном секторе, а не для конкретной цели организации», — отметили в ФБР. «В других ситуациях Emennet также попытается идентифицировать услуги хостинга / общего хостинга».
Проведенный ФБР анализ атак этой группы показывает, что оно проявляет особый интерес к веб-страницам, использующим код PHP, и базам данных MySQL, доступным извне. Также большой интерес для группы представляют Плагины WordPress такие как revslider и layerlider, а также веб-сайты, работающие на Drupal, Apache Tomcat, Ckeditor или Fckeditor, сообщило ФБР.
При попытке проникнуть в целевую сеть Neptunium сначала проверяет, может ли организация использовать пароли по умолчанию для определенных приложений, и пытается идентифицировать страницы администратора или входа.
«Следует предположить, что Emennet может пытаться использовать обычные пароли в открытом виде для любых сайтов входа в систему, которые они идентифицируют», — заявили в ФБР.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says