Нещодавня атака, під час якої група загроз, яка називає себе «Holy Souls», отримала доступ до бази даних сатиричного французького журналу Charlie Hebdo та погрожувала доксом понад 200,000 3 його підписників, була роботою іранської державної компанії Neptunium, заявила Microsoft XNUMX лютого.
Напад, схоже, був відповіддю іранського уряду на конкурс карикатур, який Charlie Hebdo оголосив у грудні, де журнал запрошував читачів з усього світу надіслати карикатури, які «висміюють» верховного лідера Ірану Алі Хаменеї. Результати конкурсу мали бути оприлюднені 7 січня, у восьму річницю о смертоносний теракт 2015 року на Charlie Hebdo — у відплату за публікацію карикатур на пророка Мухаммеда, через що загинули 12 її співробітників.
Doxing міг поставити передплатників під загрозу фізичного націлювання
Microsoft заявила, що це рішуче Відповідальним за напад був Нептуній на основі артефактів і розвідувальних даних, які зібрали дослідники з Центру аналізу цифрових загроз (DTAC). Дані показали, що Neptunium приурочила свою атаку до офіційної критики іранським урядом карикатур і його погроз помститися Charlie Hebdo за них на початку січня, заявила Microsoft.
Після нападу, Нептуній оголосив він отримав доступ до особистої інформації приблизно 230,000 20 передплатників Charlie Hebdo, включаючи їхні повні імена, номери телефонів, поштові адреси, адреси електронної пошти та фінансову інформацію. Зловмисник опублікував невеликий зразок даних як доказ доступу та запропонував повний транш будь-кому, хто бажав купити його за 340,000 біткойнів — або приблизно XNUMX XNUMX доларів на той час, повідомила Microsoft.
«Ця інформація, отримана іранським актором, може поставити передплатників журналу під загрозу он-лайн або фізичного нападу з боку екстремістських організацій», – оцінила компанія, що викликає серйозне занепокоєння, враховуючи, що шанувальники Charlie Hebdo були націлені більше одного разу за межами інциденту 2015 року.
За словами Microsoft, багато дій, які Neptunium вживав під час атаки та після неї, узгоджувалися з тактикою, методами та процедурами (TTP), які використовували інші іранські державні суб’єкти під час здійснення операцій впливу. Це включало використання ідентифікації хактивіста (Holy Souls) для присвоєння відповідальності за атаку, витік особистих даних і використання фальшивих — або «маріонеткових» — персонажів у соціальних мережах для поширення новин про атаку на Charlie Hebdo.
Наприклад, після атаки два облікові записи в соціальних мережах (один, який видавав себе за високопоставленого французького технічного керівника, а інший — за редактора Charlie Hebdo) почали публікувати скріншоти витоку інформації, повідомила Microsoft. Компанія заявила, що її дослідники спостерігали, як інші фейкові облікові записи в соціальних мережах писали новини про напад на медіаорганізації, а інші звинувачували Charlie Hebdo у роботі від імені французького уряду.
Операції впливу Ірану: знайома загроза
Нептуній, який Міністерство юстиції США відслідковує як «Еменет Пасаргад”, є загрозою, пов’язаною з кількома операціями впливу за допомогою кібернетичних засобів за останні роки. Це один із багатьох, очевидно, підтримуваних державою загрозливих акторів, які працюють з Ірану американські організації в останні роки.
Кампанії Neptunium включають одну, у якій загрозливий актор намагався вплинути на результат загальних виборів у США 2020 року, серед іншого, викрадаючи інформацію про виборців, залякуючи виборців електронною поштою та розповсюджуючи відео про неіснуючі вразливості в системах голосування. Розслідування ФБР показало, що в рамках кампанії актори Neptunium видавали себе за членів правого угруповання «Горді хлопці». На додаток до операцій впливу, які підтримує уряд Ірану, Neptunium також пов’язаний з більш традиційними кібератаками починаючи з 2018 року проти інформаційних організацій, фінансових компаній, урядові мережі, телекомунікаційні компанії, нафтові та нафтохімічні підприємства.
ФБР заявило, що Emennet Pasargad насправді є іранською компанією з кібербезпеки, яка працює від імені тамтешнього уряду. У листопаді 2021 року велике журі США в Нью-Йорку висунули звинувачення двом його працівникам за різними звинуваченнями, включаючи вторгнення в комп’ютер, шахрайство та залякування виборців. Уряд США запропонував 10 мільйонів доларів як винагороду за інформацію, яка призведе до спіймання та засудження двох осіб.
TTP Neptunium: розвідка та веб-пошук
ФБР описало МО групи як першу етапну розвідку потенційних цілей за допомогою веб-пошуку, а потім використання результатів для пошуку вразливого програмного забезпечення, яке могли використовувати цілі.
«У деяких випадках метою могло бути використання великої кількості мереж/веб-сайтів у певному секторі, а не цілі конкретної організації», — зазначає ФБР. «В інших ситуаціях Emennet також намагатиметься ідентифікувати послуги хостингу/загального хостингу».
Аналіз атак групи, проведений ФБР, показує, що вона має особливий інтерес до веб-сторінок, на яких працює PHP-код, і зовнішніх баз даних MySQL. Також великий інтерес для групи представляють Плагіни WordPress як-от revslider і layerslider, а також веб-сайти, які працюють на Drupal, Apache Tomcat, Ckeditor або Fckeditor, повідомляє ФБР.
Під час спроби проникнення в цільову мережу Neptunium спочатку перевіряє, чи може організація використовувати паролі за замовчуванням для певних програм, і намагається ідентифікувати сторінки адміністратора або входу.
«Слід припустити, що Emennet може спробувати ввести загальні паролі відкритого тексту для будь-яких сайтів входу, які вони ідентифікують», — заявили у ФБР.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says