Das Digital Threat Analysis Center (DTAC) von Microsoft schreibt eine kürzlich stattgefundene Operation zur Einflussnahme, deren Ziel das französische Satiremagazin Charlie Hebdo war, einem iranischen staatlichen Akteur zu. Microsoft nennt diesen Akteur NEPTUNIUM, der vom US-amerikanischen Justizministerium auch als Emennet Pasargad identifiziert wurde.
Anfang Januar behauptete eine bis dahin unbekannte Online-Gruppe, die sich selbst "Holy Souls" nennt und die wir inzwischen als NEPTUNIUM identifizieren konnten, in den Besitz der persönlichen Daten von mehr als 200.000 Kunden von Charlie Hebdo gekommen zu sein, nachdem sie "Zugang zu einer Datenbank" erhalten hatte. Als Beweis veröffentlichte Holy Souls eine Stichprobe der Daten, zu der eine Tabelle mit den vollständigen Namen, Telefonnummern sowie Privat- und E-Mail-Adressen der Konten gehörte, die die Publikation abonniert oder Produkte von ihr gekauft hatten. Die von dem iranischen Akteur erlangten Informationen hätten die Abonnenten des Magazins der Gefahr von Online- oder physischen Angriffen durch extremistische Organisationen aussetzen können.
Wir glauben, dass dieser Angriff eine Reaktion der iranischen Regierung auf einen Cartoon-Wettbewerb von Charlie Hebdo war. Einen Monat vor dem Angriff kündigte das Magazin einen internationalen Karikaturenwettbewerb an , bei dem der oberste iranische Führer Ali Khamenei "lächerlich gemacht" werden sollte. Die Ausgabe mit den besten Karikaturen sollte Anfang Januar erscheinen, am achten Jahrestag eines Angriffs auf die Büros des Magazins durch zwei von Al-Qaida auf der Arabischen Halbinsel (AQAP) inspirierte Angreifer.
Holy Souls bot die Daten für 20 BTC zum Verkauf an (was damals etwa 340.000 US-Dollar entsprach). Die Veröffentlichung der gesamten gestohlenen Daten hätte – unter der Annahme, dass die Hacker tatsächlich über die Daten verfügten – im Wesentlichen ein massives Doxing der Leserschaft einer Publikation bedeutet, die bereits extremistischen Drohungen (2020) und tödlichen Terroranschlägen (2015) ausgesetzt war. Um festzustellen, ob es sich bei den angeblich gestohlenen Kundendaten nicht um eine Fälschung handelte, überprüfte die französische Zeitung Le Monde "mit mehreren Opfern des Leaks" den Wahrheitsgehalt des von Holy Souls veröffentlichten Musterdokuments.
Nachdem Holy Souls die Beispieldaten auf YouTube und in mehreren Hacker-Foren veröffentlicht hatte, wurde die Nachricht über das Leck in einer konzertierten Aktion über mehrere Social-Media-Plattformen massiv verbreitet. Dabei kamen bestimmte Taktiken, Techniken und Verfahren zur Einflussnahme zum Einsatz, die das DTAC zuvor bei iranischen Hacking- und Leakingangriffen beobachtet hatte.
Der Angriff fiel mit der Kritik der iranischen Regierung an den Karikaturen zusammen. Am 4. Januar twitterte der iranische Außenminister Hossein Amir-Abdollahian: "Die beleidigende und respektlose Aktion der französischen Publikation [...] gegen die religiöse und politisch-geistige Autorität wird nicht ohne Antwort bleiben.“ Am selben Tag bestellte das iranische Außenministerium den französischen Botschafter im Iran wegen der "Beleidigung" durch Charlie Hebdo ein. Am 5. Januar schloss der Iran das französische Zentrum für wissenschaftliche Forschung im Iran, was das iranische Außenministerium als "ersten Schritt" bezeichnete und erklärte, es werde "die Angelegenheit ernsthaft verfolgen und die notwendigen Maßnahmen ergreifen".
Microsoft Security folgen