Trace Id is missing

Irán, responsable de los atentados de Charlie Hebdo

Compartir
Primer plano de un planeta

Hoy en día, el centro de análisis de amenazas digitales de Microsoft (DTAC) atribuye una reciente operación de influencia contra la revista satírica francesa Charlie Hebdo a un actor iraní de estado nación. Microsoft denomina este actor como NEPTUNIUM, identificado también por los EE. UU. Departamento de Justicia como  Emennet Pasargad.

A principios de enero, un grupo online nunca antes visto que se autodenominaba “Holy Souls”, a quienes ahora podemos identificar como NEPTUNIUM, declararon que habían obtenido la información personal de más de 200 000 clientes de Charlie Hebdo tras “haber obtenido acceso a una base de datos”. Para probarlo, Holy Souls divulgó una muestra de los datos que incluía una hoja de cálculo en la que se detallaban los nombres completos, números de teléfono, domicilios y direcciones de correo electrónico de las cuentas que se habían suscrito o habían comprado productos de la publicación. Esta información, que obtuve el actor iraní, podría poner a los suscriptores de la revista en riesgo, tanto online como físico, de ser objetivos de organizaciones extremistas.

Creemos que este ataque se trata de una respuesta del gobierno iraní a un concurso de dibujo organizado por Charlie Hebdo. Un mes antes de que Holy Souls realizase el ataque, la revista anunció que iba a organizar una competición internacional de dibujos que “ridiculizasen” al líder supremo iraní Ali Khamenei. El número con los dibujos ganadores se iba a publicar a principios de enero, para coincidir con el octavo aniversario de un ataque por parte de dos agresores inspirados por Al Qaeda en la península arábiga (AQAP) en las oficinas de la revista.

Holy Souls anunció la venta del alijo de datos por 20 BTC (igual a aproximadamente 340 000 USD en ese momento). La divulgación del alijo completo de datos robados, suponiendo que los piratas tenían realmente los datos que declaraban tener, habría dado como resultado una masiva divulgación de datos personales (doxing) de los lectores de una publicación que ya había sido objetivo de amenazas extremistas (2020) y ataques terroristas con víctimas mortales (2015). Para que los datos de cliente presuntamente robados no se descartasen por considerarse falsificados, el periódico de referencia francés Le Monde pudo comprobar ”con varias víctimas de esta filtración” la veracidad del documento de muestra que Holy Souls publicó.

Después de que Holy Souls publicase los datos de muestra en YouTube y varios foros de piratas, la filtración se amplificó mediante una operación conjunta en varias plataformas de redes sociales. Esta labor de amplificación hizo uso de un conjunto específico de tácticas, técnicas y procedimientos de influencia (TTP) de los que DTAC ya ha sido testigo anteriormente en operaciones de influencia de pirateo y filtración iraníes.

El ataque coincidió con la crítica pública de los dibujos por parte del gobierno iraní. El 4 de enero, el Ministro de Exteriores iraní Hossein Amir-Abdollahian tweeteó: ”Las insultantes y descorteses acciones de la publicación francesa [...] frente a la autoridad religiosa y político-espiritual no [...] quedará sin respuesta.” Ese mismo día, el Ministro de Exteriores iraní convocó al embajador francés a Irán a raíz del “insulto” de Charlie Hebdo. El 5 de enero, Irán cerró el Instituto Francés de Investigación en Irán en lo que el Ministro de Exteriores iraní describió como un “primer paso”, y dijo que se haría “cargo seriamente del caso para tomar las medidas necesarias”.

Hay varios elementos del ataque similares a ataques anteriores por parte de actores de estado nación iraníes, entre los que se incluyen:

  • Un alter ego hacktivista atribuyéndose el crédito del ciberataque
  • Declaraciones sobre el defacement exitoso de un sitio web
  • Filtración de datos privados online
  • El uso de alter egos “marionetas” en redes sociales (cuentas que usan identidades ficticias o robadas para ocultar al propietario real de la cuenta a fin de engañar), que dicen ser del país objetivo del pirateo para promocionar el ciberataque mediante lenguaje con errores obvios para hablantes nativos
  • Suplantación de fuentes de autoridad
  • Contacto con organizaciones mediáticas de noticias

La atribución que hoy realizamos está basada en un conjunto más grande de inteligencia disponible para el equipo de DTAC de Microsoft, pero el patrón que se observa es típico de operaciones respaldadas por el estado iraní. En octubre de 2022 , en la notificación para la industria privada (PIN) , también se identificó el uso de estos patrones por parte de actores relacionados con Irán para ejecutar operaciones de influencia cibernéticas.

La campaña dirigida a Charlie Hebdo hizo uso de docenas de cuentas marioneta francesas para amplificar la campaña y distribuir mensajes antagónicos. El 4 de enero, las cuentas, muchas de las cuales tienen un recuento bajo de seguidores y seguidos y han sido creadas recientemente, comenzaron a publicar críticas de los dibujos de Khamenei en Twitter. Lo que es más importante, antes de que hubiese informes sustanciales sobre el ciberataque perpetrado, estas cuentas publicaron capturas de pantalla idénticas del defacement de un sitio web que incluía el mensaje en francés: ”Charlie Hebdo a été piraté” (“Charlie Hebdo ha sido pirateada”).

Unas horas después de que las marionetas comenzasen a tweetear, se les unieron al menos dos cuentas de redes sociales que suplantaban a figuras de autoridad francesas: una que imitaba a un ejecutivo del sector tecnológico y otra a un editor de Charlie Hebdo. Estas cuentas, ambas creadas en diciembre de 2022 y con pocos seguidores, empezaron entonces a publicar capturas de pantalla de los datos de cliente de Charlie Hebdo que Holy Souls había filtrado. Las cuentas han sido suspendidas en Twitter.

Cuenta de Twitter falsa de un editor de Charlie Hebdo publicando capturas de pantalla de datos de cliente filtrados
Una cuenta que suplanta a un editor de Charlie Hebdo tweeteando sobre las filtraciones

El uso de estas cuentas marioneta se ha observado en otras operaciones vinculadas a Irán, entre las que se incluye un ataque que se atribuyó Atlas Group, un asociado de Hackers of Savior, que el FBI atribuyó a Irán en 2022. Durante la Copa Mundial de Fútbol de 2022, Atlas Group declaró haber “penetrado en las infraestructuras” [sic] y haber cometido defacing en un sitio web de deportes israelí. En Twitter, cuentas marioneta en hebreo y la suplantación de un reportero deportivo de un canal de noticias israelí popular amplificaron el ataque. La cuenta falsa del reportero publicó que, tras haber viajado a Qatar, había llegado a la conclusión de que los israelíes “no deberían viajar a países árabes”.

Además de las capturas de pantalla de los datos filtrados, las cuentas marioneta publicaron mensajes provocadores en francés, como por ejemplo: “En mi opinión, el próximo tema de los dibujos de Charlie deberían ser los expertos en ciberseguridad franceses”. También se observó que estas cuentas intentaron promocionar las noticias del presunto pirateo respondiendo con tweets a publicaciones y periodistas, como el diario jordano al-Dustour, el argelino Echorouk  y el reportero de Le Figaro Georges Malbrunot. Otras cuentas marioneta declararon que Charlie Hebfrado trabajaba en nombre del gobierno francés y dijeron que este buscaba distraer la atención del público de las huelgas laborales.

Según el FBI, un objetivo de las operaciones de influencia iraníes es “socavar la confianza del público en la seguridad de la red y los datos de la víctima, además de avergonzar a las compañías víctimas a las naciones objetivo.” En efecto, el tipo de mensaje del ataque dirigido a Charlie Hebdo se parece al de otras campañas vinculadas a Irán, como las declaradas por Hackers of Savior, un alter ego afiliado a Irán que, en abril de 2022, declaró haberse infiltrado en la infraestructura cibernética de importantes bases de datos israelíes y publicaron un mensaje avisando a los israelíes: “No confiéis en vuestros centros gubernamentales.

Independientemente de las opiniones personales sobre las decisiones editoriales de Charlie Hebdo, la divulgación de información de identificación personal sobre decenas de miles de sus clientes constituye una grave amenaza. Esto se exacerbó el 10 de enero en un aviso de “venganza” contra la publicación por parte del comandante de los Cuerpos de la Guardia Revolucionaria Islámica, Hossein Salami, que recalcó el ejemplo del autor Salman Rushdie, al que apuñalaron en 2022. Salami añadió: “Rushdie no va a volver.”

La atribución que hoy realizamos está basada en el marco de atribución de DTAC.

Microsoft invierte en el seguimiento y uso compartido de información sobre operaciones de influencia a nivel estado nación para que los clientes y las democracias de todo el mundo se puedan proteger de ataques como el que ha sufrido Charlie Hebdo. Continuaremos divulgando inteligencia como esta cuando observemos operaciones similares por parte de grupos gubernamentales y criminales de todo el mundo.

Matriz de atribución de operaciones de influencia 1

Matriz gráfica de operaciones de influencia cibernética

Artículos relacionados

Defendiendo Ucrania: Primeras lecciones de la guerra cibernética

Los últimos resultados obtenidos en nuestras actividades en curso de inteligencia sobre amenazas en la guerra entre Rusia y Ucrania, y una serie de conclusiones de sus primeros cuatro meses refuerzan la necesidad de inversiones continuas y nuevas en tecnología, datos y asociaciones para apoyar a gobiernos, empresas, ONG y universidades.
Más información

Resiliencia cibernética

Seguridad de Microsoft realizó una encuesta a más de 500 profesionales de la seguridad para comprender las tendencias emergentes de seguridad y las preocupaciones principales de los directores de seguridad de la información y ciberseguridad.
Más información

Información de billones de señales de seguridad diarias

Los expertos en seguridad de Microsoft explican el panorama de las amenazas actual y ofrecen información sobre las tendencias emergentes y las amenazas que persisten en el tiempo.
Más información

Seguir a Seguridad de Microsoft