Trace Id is missing

Iran für Charlie Hebdo-Angriffe verantwortlich

Eine Nahaufnahme eines Planeten

Das Digital Threat Analysis Center (DTAC) von Microsoft schreibt eine kürzlich stattgefundene Operation zur Einflussnahme, deren Ziel das französische Satiremagazin Charlie Hebdo war, einem iranischen staatlichen Akteur zu. Microsoft nennt diesen Akteur NEPTUNIUM, der vom US-amerikanischen Justizministerium auch als  Emennet Pasargad identifiziert wurde.

Anfang Januar behauptete eine bis dahin unbekannte Online-Gruppe, die sich selbst "Holy Souls" nennt und die wir inzwischen als NEPTUNIUM identifizieren konnten, in den Besitz der persönlichen Daten von mehr als 200.000 Kunden von Charlie Hebdo gekommen zu sein, nachdem sie "Zugang zu einer Datenbank" erhalten hatte. Als Beweis veröffentlichte Holy Souls eine Stichprobe der Daten, zu der eine Tabelle mit den vollständigen Namen, Telefonnummern sowie Privat- und E-Mail-Adressen der Konten gehörte, die die Publikation abonniert oder Produkte von ihr gekauft hatten. Die von dem iranischen Akteur erlangten Informationen hätten die Abonnenten des Magazins der Gefahr von Online- oder physischen Angriffen durch extremistische Organisationen aussetzen können.

Wir glauben, dass dieser Angriff eine Reaktion der iranischen Regierung auf einen Cartoon-Wettbewerb von Charlie Hebdo war. Einen Monat vor dem Angriff kündigte das Magazin einen internationalen Karikaturenwettbewerb an , bei dem der oberste iranische Führer Ali Khamenei "lächerlich gemacht" werden sollte. Die Ausgabe mit den besten Karikaturen sollte Anfang Januar erscheinen, am achten Jahrestag eines Angriffs auf die Büros des Magazins durch zwei von Al-Qaida auf der Arabischen Halbinsel (AQAP) inspirierte Angreifer.

Holy Souls bot die Daten für 20 BTC zum Verkauf an (was damals etwa 340.000 US-Dollar entsprach). Die Veröffentlichung der gesamten gestohlenen Daten hätte – unter der Annahme, dass die Hacker tatsächlich über die Daten verfügten – im Wesentlichen ein massives Doxing der Leserschaft einer Publikation bedeutet, die bereits extremistischen Drohungen (2020) und tödlichen Terroranschlägen (2015) ausgesetzt war. Um festzustellen, ob es sich bei den angeblich gestohlenen Kundendaten nicht um eine Fälschung handelte,  überprüfte die französische Zeitung Le Monde "mit mehreren Opfern des Leaks" den Wahrheitsgehalt des von Holy Souls veröffentlichten Musterdokuments.

Nachdem Holy Souls die Beispieldaten auf YouTube und in mehreren Hacker-Foren veröffentlicht hatte, wurde die Nachricht über das Leck in einer konzertierten Aktion über mehrere Social-Media-Plattformen massiv verbreitet. Dabei kamen bestimmte Taktiken, Techniken und Verfahren zur Einflussnahme zum Einsatz, die das DTAC zuvor bei iranischen Hacking- und Leakingangriffen beobachtet hatte.

Der Angriff fiel mit der Kritik der iranischen Regierung an den Karikaturen zusammen. Am 4. Januar twitterte der iranische Außenminister Hossein Amir-Abdollahian: "Die beleidigende und respektlose Aktion der französischen Publikation [...] gegen die religiöse und politisch-geistige Autorität wird nicht ohne Antwort bleiben.“ Am selben Tag bestellte das iranische Außenministerium den französischen Botschafter im Iran wegen der "Beleidigung" durch Charlie Hebdo ein. Am 5. Januar schloss der Iran das französische Zentrum für wissenschaftliche Forschung im Iran, was das iranische Außenministerium als "ersten Schritt" bezeichnete und erklärte, es werde "die Angelegenheit ernsthaft verfolgen und die notwendigen Maßnahmen ergreifen".

Mehrere Elemente des Angriffs ähneln früheren Angriffen iranischer staatlicher Akteure, darunter:

  • Eine Hacktivistenfigur, die sich zu dem Cyberangriff bekennt
  • Behauptungen über die erfolgreiche Entstellung von Websites
  • Das Leaking persönlicher Daten im Internet
  • Die Verwendung gefälschter Social-Media-"Sockenpuppen" – Social-Media-Konten, die der Täuschung dienen und bei denen fiktive oder gestohlene Identitäten verwendet werden, um den tatsächlichen Inhaber des Kontos zu verschleiern –, die vorgeben, aus dem Land zu stammen, gegen das der Hackerangriff gerichtet ist, um den Cyberangriff zu unterstützen, und die eine Sprache verwenden, die für Muttersprachler offensichtlich fehlerhaft ist
  • Die Nachahmung seriöser Quellen
  • Die Kontaktaufnahme mit Nachrichtenagenturen

Während die heutige Zuordnung auf einer größeren Menge an Informationen basiert, die dem DTAC-Team von Microsoft zur Verfügung stehen, ist das hier beobachtete Muster typisch für staatlich unterstützte Operationen aus dem Iran. Diese Muster wurden auch in der Private Industry Notification (PIN) des FBI vom Oktober 2022 als von Akteuren mit Verbindungen zum Iran verwendet identifiziert, um cybergestützte Einflussnahmeoperationen durchzuführen.

Bei der gegen Charlie Hebdo gerichteten Kampagne wurden Dutzende französischsprachige Sockenpuppenkonten verwendet, um ihre Reichweite zu erhöhen und feindselige Botschaften zu verbreiten. Am 4. Januar begannen die Konten, von denen viele nur wenige Follower hatten und erst kürzlich eingerichtet worden waren, auf Twitter Kritik an den Khamenei-Karikaturen zu posten. Auffällig ist, dass diese Konten identische Screenshots einer verunstalteten Website mit der Meldung "Charlie Hebdo a été piraté (Charlie Hebdo wurde gehackt)"in französischer Sprache veröffentlichten, noch bevor es eine nennenswerte Berichterstattung über den angeblichen Cyberangriff gegeben hatte.

Wenige Stunden nachdem die Sockenpuppen zu twittern begannen, schlossen sich ihnen mindestens zwei Social-Media-Konten an, die sich als französische Autoritätspersonen ausgaben – eines gehörte angeblich einem Manager aus dem Technologiesektor, das andere einem Redakteur von Charlie Hebdo. Diese Konten – beide im Dezember 2022 erstellt und mit einer geringen Anzahl von Followern – begannen dann, Screenshots von Holy Souls der geleakten Charlie Hebdo-Kundendaten zu veröffentlichen. Die Konten sind inzwischen von Twitter gesperrt worden.

Auf dem gefälschten Twitter-Konto von Charlie Hebdo-Redakteur werden Screenshots von geleakten Kundendaten gepostet
Ein gefälschtes Konto, das vorgibt einem Charlie Hebdo-Redakteur zu gehören, das über die Leaks twittert

Die Verwendung solcher Sockenpuppenkonten wurde auch bei anderen Operationen beobachtet, die mit dem Iran in Zusammenhang gebracht wurden. Hierzu zählt etwa ein Angriff, zu dem sich die Atlas Group, ein  Partner von Hackers of Savior, bekannte und den das FBI 2022 dem Iran zuschrieb.  Während der Fußballweltmeisterschaft 2022 behauptete die Atlas Group, "in die Infrastrukturen eingedrungen" [sic] zu sein und eine israelische Sport-Website verunstaltet zu haben. Auf Twitter wurde der Angriff durch hebräischsprachige Sockenpuppenkonten und das gefälschte Konto eines Sportreporters eines beliebten israelischen Nachrichtensenders verbreitet. Der vorgebliche Reporter behauptete auf seinem Konto, dass er nach einer Reise nach Katar zu dem Schluss gekommen sei, dass Israelis "nicht in arabische Länder reisen sollten".

Neben Screenshots der durchgesickerten Daten posteten die Sockenpuppenkonten höhnische Nachrichten in französischer Sprache wie etwa: "Für mich sollten das nächste Thema für Charlies Cartoons französische Cybersicherheitsexperten sein". Dieselben Accounts versuchten auch, die Nachricht über den mutmaßlichen Hackerangriff zu verbreiten, indem sie in Twitternachrichten Publikationen und Journalisten antworteten. Dazu zählten die jordanische Tageszeitung al-Dustour, die algerische Zeitung Echorouk und der Le Figaro-Reporter Georges Malbrunot. In anderen Beiträgen von Sockenpuppenkonten wurde behauptet, Charlie Hebdo arbeite im Auftrag der französischen Regierung, die versuche, die öffentliche Aufmerksamkeit von den Streiks abzulenken .

Laut FBI besteht eines der Ziele der iranischen Einflussnahme darin, "das Vertrauen der Öffentlichkeit in die Sicherheit des Netzwerks und der Daten der Opfer zu untergraben und die betroffenen Unternehmen und anvisierten Länder in Verlegenheit zu bringen". Tatsächlich ähneln die Botschaften beim Angriff auf Charlie Hebdo denen anderer Kampagnen, die mit dem Iran in Verbindung gebracht werden. Dazu gehören auch jene, zu denen sich die Hackers of Savior bekannten, ein mit dem Iran in Verbindung stehender Akteur, der im April 2022 behauptete, die Cyberinfrastruktur großer israelischer Datenbanken infiltriert zu haben, und eine Warnung an Israelis veröffentlichte: "Trauen Sie Ihren Regierungszentren nicht."

Unabhängig davon, wie man zu den redaktionellen Entscheidungen von Charlie Hebdo steht, stellt die Veröffentlichung personenbezogener Daten von Zehntausenden seiner Kunden eine ernsthafte Bedrohung dar. Dies unterstrich der Kommandeur des Korps der Islamischen Revolutionsgarde im Iran, Hossein Salami, der am 10. Januar in einer Warnung von "Racheakten" gegen die Veröffentlichung sprach und auf das Beispiel des Autors Salman Rushdie verwies, der 2022 niedergestochen wurde. Und Salami fügte hinzu: „Rushdie wird nicht zurückkommen.“

Die von uns heute vorgenommene Benennung basiert auf dem  Zuordnungsframework des DTAC.

Microsoft investiert in die Verfolgung von staatlichen Einflussnahmeoperationen und die Bereitstellung von Informationen darüber, damit sich Kunden und Demokratien auf der ganzen Welt vor Angriffen wie dem auf Charlie Hebdo schützen können. Wir werden weiterhin Informationen dieser Art veröffentlichen, wenn wir ähnliche Aktivitäten von Regierungen und kriminellen Gruppen auf der ganzen Welt feststellen.

Matrix für die Zuordnung von Einflussnahmeoperationen 1

Diagrammmatrix über Desinformationskampagnen im Cyberspace

Verwandte Artikel

Verteidigung der Ukraine: Erste Lehren aus dem Cyberkrieg

Die jüngsten Ergebnisse unserer laufenden Threat-Intelligence-Bemühungen im Krieg zwischen Russland und der Ukraine sowie verschiedene Erkenntnisse aus den ersten vier Monaten machen einmal mehr deutlich, dass ständige und zusätzliche Investitionen in Technologie, Daten und Partnerschaften erforderlich sind, um Regierungen, Unternehmen, Nichtregierungsorganisationen und Universitäten zu unterstützen.

Cyberresilienz

Microsoft Security hat eine Umfrage unter mehr als 500 Sicherheitsverantwortlichen durchgeführt, um aufkommende Sicherheitstrends und die größten Herausforderungen für CISOs zu verstehen.

Erkenntnisse aus Billionen von täglichen Sicherheitssignalen

Sicherheitsexperten von Microsoft beleuchten die aktuelle Bedrohungslandschaft und informieren über aufkommende Trends und historische Langzeitbedrohungen.

Microsoft Security folgen