احصل على نتائج تحليلات مباشرة من الخبراء في بودكاست التحليل الذكي للمخاطر من Microsoft. الاستماع الآن.

إيران مسؤولة عن هجمات شارلي إيبدو

واليوم، ينسب مركز تحليل المخاطر الرقمية التابع لشركة Microsoft عملية التأثير الأخيرة التي استهدفت المجلة الفرنسية الساخرة شارلي إبدو إلى جهة فاعلة حكومية تابعة لإيران. تطلق Microsoft على هذا المستخدم اسم NEPTUNIUM، والذي تم التعرف عليه أيضًا من قبل الولايات المتحدة. وزارة العدل كـ Emennet Pasargad.

في أوائل يناير، زعمت مجموعة على الإنترنت لم يُسمع بها من قبل تطلق على نفسها اسم "الأرواح المقدسة"، والتي يمكننا الآن تعريفها باسم "NEPTUNIUM"، أنها حصلت على معلومات شخصية لأكثر من 200 ألف من عملاء "شارلي إيبدو" بعد "الحصول على إمكانية الوصول إلى قاعدة البيانات." كدليل، أصدرت Holy Souls عينة من البيانات، والتي تضمنت جدول بيانات يوضح بالتفصيل الأسماء الكاملة وأرقام الهواتف وعناوين المنزل والبريد الإلكتروني للحسابات التي اشتركت في المنشور أو اشترت البضائع منه. هذه المعلومات، التي حصل عليها المستخدم الإيراني، يمكن أن تعرض مشتركي المجلة لخطر الاستهداف الإلكتروني أو الجسدي من قبل المنظمات المتطرفة.

نعتقد أن هذا الهجوم هو رد من الحكومة الإيرانية على مسابقة الرسوم الكاريكاتورية التي أجرتها صحيفة شارلي إيبدو. قبل شهر واحد من قيام منظمة Holy Souls بهجومها، أعلنت المجلة أنها ستعقد مسابقة دولية للرسوم الكاريكاتورية التي تسخر من المرشد الأعلى الإيراني علي خامنئي. وكان من المقرر نشر العدد الذي يضم الرسوم الكاريكاتورية الفائزة في أوائل يناير، ليتزامن مع الذكرى الثامنة للهجوم الذي شنه مهاجمان يستلهمان تنظيم القاعدة في شبه الجزيرة العربية على مكاتب المجلة.

أعلنت شركة Holy Souls عن ذاكرة التخزين المؤقت للبيانات المعروضة للبيع مقابل 20 بيتكوين (ما يعادل حوالي USD$340000 في ذلك الوقت). إن إطلاق ذاكرة التخزين المؤقت الكاملة للبيانات المسروقة - على افتراض أن المتسللين لديهم بالفعل البيانات التي يزعمون أنهم يمتلكونها - سيشكل في الأساس عملية تشهير جماعي لقراء منشور تعرض بالفعل لتهديدات متطرفة (2020) و هجمات إرهابية مميتة ( 2015). خوفًا من رفض بيانات العملاء المزعومة المسروقة باعتبارها ملفقة، تمكنت صحيفة Le Monde الفرنسية من التحقق "مع العديد من ضحايا هذا التسريب" من صحة عينة الوثيقة التي نشرتها Holy Souls.

بعد أن نشرت منظمة Holy Souls بيانات العينة على موقع YouTube ومنتديات متعددة للمتسللين، تم تضخيم التسريب من خلال عملية منسقة عبر العديد من منصات الوسائط الاجتماعية. استفادت جهود التضخيم هذه من مجموعة معينة من تكتيكات التأثير والتقنيات والإجراءات (TTPs) التي شهدتها DTAC من قبل في عمليات التأثير الإيرانية للاختراق والتسريب.

وتزامن الهجوم مع انتقادات للحكومة الإيرانية للرسوم الكاريكاتورية. في 4 يناير، غرد: وزير الخارجية الإيراني حسين أمير عبد اللهيان قائلاً: "إن العمل المهين وغير المهذب الذي قامت به الصحيفة الفرنسية [...] ضد السلطة الدينية والسياسية والروحية [...] لن يمر دون رد." وفي اليوم نفسه، استدعت وزارة الخارجية الإيرانية السفير الفرنسي في إيران بسبب “إهانة” شارلي إيبدو.“ في 5 يناير، أغلقت إيران المعهد الفرنسي للأبحاث في إيران فيما وصفته وزارة الخارجية الإيرانية بـ "الخطوة الأولى"، وقالت إنها "ستتابع القضية بجدية وتتخذ الإجراءات المطلوبة."

هناك العديد من عناصر الهجوم التي تشبه الهجمات السابقة التي شنتها جهات فاعلة في الدولة القومية الإيرانية، بما في ذلك:

شخصية ناشطة في مجال القرصنة تدعي مسؤوليتها عن الهجوم الإلكتروني
مطالبات بتشويه موقع الويب الناجح
تسرب البيانات الخاصة عبر الإنترنت
استخدام شخصيات "دمية جورب" غير حقيقية على وسائل التواصل الاجتماعي - حسابات وسائل التواصل الاجتماعي التي تستخدم هويات وهمية أو مسروقة للتعتيم على المالك الحقيقي للحساب بغرض الخداع - الادعاء بأنهم من البلد الذي استهدفه الاختراق للترويج للهجوم الإلكتروني باستخدام لغة بها أخطاء واضحة إلى الناطقين بها
انتحال مصادر موثوقة
الاتصال بالمؤسسات الإعلامية الإخبارية

في حين أن الانتساب الذي نقوم به اليوم يعتمد على مجموعة أكبر من المعلومات الاستخباراتية المتاحة لفريق DTAC التابع لشركة Microsoft، فإن النمط الذي نراه هنا هو نموذجي للعمليات التي ترعاها الدولة الإيرانية. وقد تم تحديد هذه الأنماط أيضًا الصادر عن مكتب التحقيقات الفيدرالي في أكتوبر 2022 من خلال إشعار الصناعة الخاصة (PIN) على أنها تستخدم من قبل الجهات الفاعلة المرتبطة بإيران لإدارة عمليات التأثير عبر الإنترنت.

استخدمت الحملة التي استهدفت مجلة شارلي إيبدو العشرات من الحسابات العميلة باللغة الفرنسية لتضخيم الحملة وتوزيع الرسائل العدائية. في 4 يناير، بدأت الحسابات، التي تم إنشاؤها مؤخرًا، والعديد منها منخفض المتابعين وعدد المتابعين، في نشر انتقادات لرسوم خامنئي الكاريكاتورية على twitter. بشكل حاسم، قبل أن يكون هناك أي تقرير جوهري عن الهجوم الإلكتروني المزعوم، نشرت هذه الحسابات لقطات شاشة متطابقة لموقع ويب مشوه يتضمن رسالة باللغة الفرنسية: " Charlie Hebdo a été Piraté" ("تم اختراق شارلي إيبدو").

وبعد ساعات قليلة من بدء دمى الجورب في التغريد، انضم إليهم حسابان على الأقل على وسائل التواصل الاجتماعي ينتحلان صفة شخصيات ذات سلطة فرنسية ــ أحدهما يقلد مسؤولاً تنفيذياً في مجال التكنولوجيا والآخر محرراً في مجلة شارلي إيبدو. بدأت هذه الحسابات، التي تم إنشاؤها في ديسمبر 2022 ولديها عدد قليل من المتابعين، في نشر لقطات شاشة لبيانات عملاء شارلي إيبدو المسربة من Holy Souls. ومنذ ذلك الحين تم تعليق الحسابات من قِبل Twitter.

وقد لوحظ استخدام مثل هذه الحسابات العميلة في عمليات أخرى مرتبطة بإيران، بما في ذلك الهجوم الذي أعلنت مجموعة أطلس المسؤولية عنه، وهي شريك Hackers of Savior، والتي نسبت من خلال FBI إلى إيران في عام 2022. خلال كأس العالم 2022، زعمت مجموعة أطلس أنها "توغلت في البنى التحتية" [sic] وشوهت موقعًا رياضيًا إسرائيليًا. وعلى موقع Twitter، أدت حسابات دمية الجوارب باللغة العبرية وانتحال شخصية مراسل رياضي من قناة إخبارية إسرائيلية شعبية إلى تضخيم الهجوم. ونشر حساب المراسل المزيف أنه بعد سفره إلى قطر، خلص إلى أنه لا ينبغي للإسرائيليين "السفر إلى الدول العربية".

إلى جانب لقطات الشاشة للبيانات المسربة، نشرت حسابات sockpuppet رسائل ساخرة باللغة الفرنسية بما في ذلك: "بالنسبة لي، الموضوع التالي لرسوم تشارلي الكاريكاتورية يجب أن يكون خبراء الأمن الإلكتروني الفرنسيين." وشوهدت هذه الحسابات نفسها أيضًا وهي تحاول تعزيز أخبار الاختراق المزعوم من خلال الرد عبر تغريدات على المنشورات والصحفيين، بما في ذلك صحيفة الدستورالأردنية اليومية، و الشروق الجزائرية، ومراسل صحيفة لوفيجارو جورج مالبرونو. وزعمت روايات أخرى أن تشارلي هيبفرادو كان يعمل نيابة عن الحكومة الفرنسية، وقالت إن الأخيرة كانت تسعى إلى صرف انتباه الجمهور عن الإضرابات العمالية.

ووفقاً لمكتب التحقيقات الفيدرالي، فإن أحد أهداف عمليات النفوذ الإيرانية هو "تقويض ثقة الجمهور في أمن شبكة الضحية وبياناته، فضلاً عن إحراج الشركات الضحية والدول المستهدفة." في الواقع، تشبه الرسائل الواردة في الهجوم الذي استهدف شارلي إيبدو رسائل الحملات الأخرى المرتبطة بإيران، مثل تلك التي أعلنها قراصنة المنقذ، وهي شخصية تابعة لإيران ادعت في أبريل 2022 أنها تتسلل إلى البنية الأساسية الإلكترونية لقواعد البيانات الإسرائيلية الرئيسية. ونشرت رسالة تحذر الإسرائيليين، “لا تثقوا بمراكزكم الحكومية."

أياً كان رأي المرء في الاختيارات التحريريةالتي تتخذها مجلة شارلي إبدو، فإن نشر معلومات شخصية عن عشرات الآلاف من عملائها يشكل تهديداً خطيراً. وقد تم التأكيد على ذلك في 10 يناير في تحذير من "الانتقام" ضد النشر من قائد الحرس الثوري الإسلامي الإيراني حسين سلامي، الذي أشار إلى مثال المؤلف سلمان رشدي، الذي تعرض للطعن في عام 2022. وأضاف سلامي: "رشدي لن يعود".

يعتمد الإسناد الذي نقوم به اليوم على إطار عمل DTAC للإسناد.

تستثمر Microsoft في تعقب المعلومات ومشاركتها حول عمليات التأثير الموجهة من قِبل الدولة القومية حتى يتمكن العملاء والديمقراطيات في جميع أنحاء العالم من حماية أنفسهم من الهجمات مثل تلك التي تعرضت لها مجلة شارلي إيبدو. سنستمر في نشر معلومات استخباراتية كهذه عندما نرى عمليات مماثلة من جانب الحكومات والجماعات الإجرامية حول العالم.

مصفوفة إسناد عمليات التأثير ¹

[1]

مقتبس من بامينت، جيمس، وفيكتوريا سميث. "انتساب عمليات تأثير المعلومات: تحديد المسؤولين عن السلوك الضار عبر الإنترنت." (2022). https://go.microsoft.com/fwlink/?linkid=2262249

عمليات الهجمات عبر الإنترنت المؤثرة الدولة القومية ممثلو المخاطر

المقالات ذات الصلة

الدفاع عن أوكرانيا: الدروس المبكرة من الحرب الإلكترونية

إن أحدث النتائج في جهودنا المستمرة في مجال التحليل الذكي للمخاطر في الحرب بين روسيا وأوكرانيا، وسلسلة من الاستنتاجات من الأشهر الأربعة الأولى تعزز الحاجة إلى استثمارات مستمرة وجديدة في التكنولوجيا والبيانات والشراكات لدعم الحكومات والشركات والمنظمات غير الحكومية والجامعات.

تعرّف على المزيد

مرونة التعامل مع الهجمات عبر الإنترنت

أجرى الأمان من Microsoft استطلاعاً شمل أكثر من 500 متخصص في مجال الأمان لفهم اتجاهات الأمان الناشئة وأهم المخاوف بين مسؤولي أمن المعلومات.