การโจมตีเมื่อเร็วๆ นี้ที่กลุ่มภัยคุกคามที่เรียกตัวเองว่า "Holy Souls" เข้าถึงฐานข้อมูลของนิตยสารเสียดสี Charlie Hebdo ของฝรั่งเศส และขู่ว่าจะลบล้างสมาชิกมากกว่า 200,000 คน เป็นฝีมือของ Neptunium เจ้าหน้าที่รัฐของอิหร่าน ไมโครซอฟต์กล่าวเมื่อวันที่ 3 ก.พ.
การโจมตีดูเหมือนจะเป็นการตอบสนองของรัฐบาลอิหร่านต่อการประกวดการ์ตูนที่ชาร์ลี เอ็บโดประกาศเมื่อเดือนธันวาคม ซึ่งนิตยสารดังกล่าวได้เชิญผู้อ่านจากทั่วโลกส่งภาพล้อเลียน "เยาะเย้ย" อาลี คาเมเนอี ผู้นำสูงสุดของอิหร่าน ผลการประกวดจะเผยแพร่ในวันที่ 7 มกราคม วันครบรอบแปดปีของ เหตุก่อการร้ายโจมตีชาร์ลี เอ็บโดในปี 2015 เพื่อตอบโต้การเผยแพร่การ์ตูนของศาสดาโมฮัมเหม็ด ซึ่งทำให้เจ้าหน้าที่เสียชีวิต 12 คน
Doxing อาจทำให้ผู้ติดตามเสี่ยงต่อการถูกกำหนดเป้าหมายทางกายภาพ
Microsoft กล่าวว่าได้พิจารณาแล้ว เนปทูเนียมรับผิดชอบการโจมตี จากสิ่งประดิษฐ์และข้อมูลข่าวกรองที่นักวิจัยจากศูนย์วิเคราะห์ภัยคุกคามดิจิทัล (DTAC) ได้รวบรวมไว้ ข้อมูลแสดงให้เห็นว่า Neptunium ตั้งเวลาการโจมตีให้ตรงกับที่รัฐบาลอิหร่านวิจารณ์การ์ตูนเรื่องนี้อย่างเป็นทางการ และขู่ว่าจะตอบโต้ Charlie Hebdo ในช่วงต้นเดือนมกราคม Microsoft กล่าว
ภายหลังการจู่โจม เนปทูเนียมประกาศ เข้าถึงข้อมูลส่วนบุคคลของสมาชิก Charlie Hebdo กว่า 230,000 ราย ซึ่งรวมถึงชื่อนามสกุล หมายเลขโทรศัพท์ ที่อยู่ทางไปรษณีย์ ที่อยู่อีเมล และข้อมูลทางการเงิน ผู้คุกคามได้ปล่อยตัวอย่างข้อมูลขนาดเล็กเป็นหลักฐานการเข้าถึงและเสนอชุดเต็มให้กับใครก็ตามที่เต็มใจซื้อในราคา 20 Bitcoin หรือประมาณ 340,000 ดอลลาร์ในขณะนั้น Microsoft กล่าว
“ข้อมูลนี้ซึ่งได้รับจากนักแสดงชาวอิหร่าน อาจทำให้สมาชิกของนิตยสารเสี่ยงต่อการถูกกำหนดเป้าหมายทางออนไลน์หรือทางกายภาพโดยองค์กรหัวรุนแรง” บริษัทประเมิน ซึ่งเป็นข้อกังวลอย่างแท้จริงเนื่องจากแฟนๆ ของ Charlie Hebdo กำหนดเป้าหมายมากกว่าหนึ่งครั้ง นอกเหนือจากเหตุการณ์ในปี 2015
การกระทำหลายอย่างที่ Neptunium ดำเนินการโจมตีและปฏิบัติตามนั้นสอดคล้องกับยุทธวิธี เทคนิค และขั้นตอน (TTPs) ที่ผู้มีบทบาทของรัฐอิหร่านรายอื่นใช้เมื่อดำเนินการเพื่อมีอิทธิพล Microsoft กล่าว ซึ่งรวมถึงการใช้อัตลักษณ์แฮ็คติวิสต์ (Holy Souls) ในการอ้างสิทธิ์ในการโจมตี การรั่วไหลของข้อมูลส่วนตัว และการใช้ตัวตนปลอมหรือ “หุ่นเชิด” ในโซเชียลมีเดียเพื่อเผยแพร่ข่าวการโจมตี Charlie Hebdo
ตัวอย่างเช่น หลังจากการโจมตี บัญชีสื่อสังคมออนไลน์ XNUMX บัญชี (บัญชีหนึ่งแอบอ้างเป็นผู้บริหารด้านเทคนิคระดับสูงของฝรั่งเศส และอีกบัญชีหนึ่งเป็นบรรณาธิการของ Charlie Hebdo) เริ่มโพสต์ภาพหน้าจอของข้อมูลที่รั่วไหล Microsoft กล่าว บริษัทกล่าวว่านักวิจัยของบริษัทสังเกตเห็นบัญชีโซเชียลมีเดียปลอมอื่นๆ ที่ทวีตข่าวการโจมตีไปยังองค์กรสื่อ ขณะที่คนอื่นๆ กล่าวหาว่าชาร์ลี เอ็บโดทำงานในนามของรัฐบาลฝรั่งเศส
ปฏิบัติการอิทธิพลของอิหร่าน: ภัยคุกคามที่คุ้นเคย
ดาวเนปทูเนียมซึ่งกระทรวงยุติธรรมสหรัฐฯ ติดตามว่า “เอมเน็ท ปาซาร์กาด” เป็นตัวแสดงภัยคุกคามที่เกี่ยวข้องกับปฏิบัติการสร้างอิทธิพลทางไซเบอร์หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา มันเป็นหนึ่งในผู้คุกคามที่รัฐหนุนหลังจำนวนมากที่ทำงานนอกอิหร่านที่มี กำหนดเป้าหมายองค์กรสหรัฐอย่างหนักในช่วงไม่กี่ปีที่ผ่านมา.
แคมเปญของ Neptunium รวมถึงแคมเปญที่ผู้คุกคามพยายามโน้มน้าวผลการเลือกตั้งทั่วไปของสหรัฐฯ ในปี 2020 ด้วยการขโมยข้อมูลผู้มีสิทธิเลือกตั้ง ข่มขู่ผู้มีสิทธิเลือกตั้งทางอีเมล และเผยแพร่วิดีโอเกี่ยวกับช่องโหว่ที่ไม่มีอยู่ในระบบการลงคะแนน ในส่วนหนึ่งของแคมเปญนี้ นักแสดงจาก Neptunium ปลอมตัวเป็นสมาชิกของกลุ่ม Proud Boys ฝ่ายขวา จากการสืบสวนของ FBI เกี่ยวกับกลุ่มดังกล่าว นอกจากปฏิบัติการสร้างอิทธิพลที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านแล้ว Neptunium ยังมีส่วนเกี่ยวข้องอีกด้วย ด้วยการโจมตีทางไซเบอร์แบบดั้งเดิม ย้อนหลังไปถึงปี 2018 ต่อองค์กรข่าว บริษัทการเงิน เครือข่ายของรัฐบาลบริษัทโทรคมนาคม และบริษัทน้ำมันและปิโตรเคมี
FBI กล่าวว่า Emennet Pasargad เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ในอิหร่านที่ทำงานในนามของรัฐบาลที่นั่น ในเดือนพฤศจิกายน 2021 คณะลูกขุนใหญ่ของสหรัฐในนิวยอร์ก ฟ้องพนักงานสองคน ในข้อหาต่างๆ รวมถึงการบุกรุกทางคอมพิวเตอร์ การฉ้อโกง และการข่มขู่ผู้มีสิทธิเลือกตั้ง รัฐบาลสหรัฐฯ เสนอเงิน 10 ล้านดอลลาร์เป็นรางวัลสำหรับข้อมูลที่นำไปสู่การจับกุมและตัดสินลงโทษบุคคลทั้งสอง
TTP ของ Neptunium: การลาดตระเวนและการค้นเว็บ
เอฟบีไอได้อธิบาย MO ของกลุ่มว่ารวมถึงการลาดตระเวนระยะแรกในเป้าหมายที่เป็นไปได้ผ่านการค้นเว็บ จากนั้นใช้ผลลัพธ์เพื่อสแกนหาซอฟต์แวร์ที่มีช่องโหว่ซึ่งเป้าหมายอาจใช้งานได้
“ในบางกรณี วัตถุประสงค์อาจคือการใช้ประโยชน์จากเครือข่าย/เว็บไซต์จำนวนมากในภาคส่วนใดส่วนหนึ่ง แทนที่จะเป็นเป้าหมายเฉพาะขององค์กร” FBI ระบุ “ในสถานการณ์อื่นๆ Emennet จะพยายามระบุบริการโฮสติ้ง/แชร์โฮสติ้งด้วย”
การวิเคราะห์การโจมตีของกลุ่ม FBI แสดงให้เห็นว่าพวกเขามีความสนใจเฉพาะในหน้าเว็บที่ใช้โค้ด PHP และฐานข้อมูล MySQL ที่เข้าถึงได้จากภายนอก ยังเป็นที่สนใจของกลุ่มอยู่ ปลั๊กอิน WordPress เช่น revslider และ Layerslider และเว็บไซต์ที่ทำงานบน Drupal, Apache Tomcat, Ckeditor หรือ Fckeditor เอฟบีไอกล่าว
เมื่อพยายามเจาะเข้าสู่เครือข่ายเป้าหมาย Neptunium จะตรวจสอบก่อนว่าองค์กรอาจใช้รหัสผ่านเริ่มต้นสำหรับแอปพลิเคชันเฉพาะหรือไม่ และจะพยายามระบุหน้าผู้ดูแลระบบหรือหน้าเข้าสู่ระบบ
“ควรสันนิษฐานว่า Emennet อาจพยายามใช้รหัสผ่านแบบธรรมดาสำหรับเว็บไซต์เข้าสู่ระบบใด ๆ ที่พวกเขาระบุ” FBI กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says