Trace Id is missing

Iran responsabile degli attentati a Charlie Hebdo

Condividi
Primo piano di un pianeta

Oggi, il Digital Threat Analysis Center (DTAC) di Microsoft attribuisce una recente operazione di influenza che ha colpito la rivista satirica francese Charlie Hebdo a un attore di stato-nazione iraniano. Microsoft identificata tale attore come NEPTUNIUM, che è anche stato identificato dal Dipartimento di giustizia degli Stati Uniti come  Emennet Pasargad.

I primi di gennaio, un gruppo online mai sentito prima identificatosi come "Holy Souls" e che noi ora identifichiamo come NEPTUNIUM, ha affermato di aver ottenuto informazioni personali di oltre 200.000 clienti di Charlie Hebdo dopo "aver ottenuto accesso a un database". A prova di questo, Holy Souls ha rilasciato un campione di dati, che includeva un foglio di calcolo contenente nomi, numeri di telefono e indirizzi di casa ed e-mail degli account registrati alla rivista o che hanno acquistato suo merchandising. Queste informazioni, ottenute dall'attore iraniano, avrebbero potuto mettere gli abbonati a rischio di attacchi online o fisici da parte di organizzazioni estremiste.

Riteniamo che questo attacco sia una risposta del governo iraniano a una gara di fumetto lanciata da Charlie Hebdo. Un mese prima che Holy Souls conducesse il suo attacco, la rivista ha annunciato che avrebbe condotto una gara internazionale di vignette per "ridicolizzare" il leader supremo iraniano Ali Khamenei. L'uscita contenente le vignette vincitrici sarebbe dovuta essere pubblicata i primi di gennaio, in concomitanza dell' ottavo anniversario di un attacco agli uffici della rivista da parte di due combattenti ispirati ad al-Qā'ida nella Penisola Arabica.

Holy Souls ha pubblicizzato la vendita della cache di dati per 20 BTC (equivalenti a circa 340.000 dollari USD allora). La divulgazione dell'intera cache di dati rubati, assodato che gli hacker possedessero effettivamente i dati che dichiaravano di possedere, avrebbe costituito essenzialmente la più grande pubblicazione di informazioni personali dei lettori di una pubblicazione già soggetta a minacce estremiste (2020) e attacchi terroristici mortali (2015). Per paura che i dati dei clienti apparentemente rubati venissero considerati inventati, il famoso quotidiano francese Le Monde è riuscito a verificare "insieme a molte delle vittime di tale fuga di notizie" l'autenticità del documento di esempio pubblicato da Holy Souls.

Dopo che Holy Souls ha pubblicato i dati di esempio su YouTube e su diversi forum di hacker, la fuga di dati è stata amplificata da un'operazione coordinata su diverse piattaforme di social media. Il lavoro di amplificazione ha utilizzato un particolare set di tattiche, tecniche e procedure (TTP) di influenza che il DTAC aveva già osservato nelle operazioni di influenza hack-and-leak dell'Iran.

L'attacco è coinciso con la critica delle vignette da parte del governo iraniano. Il 4 gennaio, il Ministro degli esteri iraniano Hossein Amir-Abdollahian ha scritto un tweet: "The insulting and discourteous action of the French publication […] against the religious and political-spiritual authority will not be […] left without a response" (L'azione offensiva e sgarbata della rivista francese [...] contro l'autorità spirituale e politica non sarà lasciata [...] senza riposta). Lo stesso giorno il Ministro degli Esteri iraniano ha convocato l'Ambasciatore francese in Iran in merito all'"insulto" di Charlie Hebdo. Il 5 gennaio, l'Iran ha chiuso l'Istituto di ricerca francese in Iran in quello che il Ministro degli Esteri descrive come il "primo passo" affermando che "avrebbe continuato a seguire il caso e preso le misure necessarie".

Esistono diversi elementi dell’attacco che ricordano attacchi precedenti condotti dagli attori di stato-nazione iraniani tra cui:

  • Un utente attivista che rivendica il cyberattacco
  • Attestazioni del danno riuscito a un sito Web
  • Fuga di dati privati online
  • L'uso di utenti tipo "fantocci" sui social media, account di social media che usano identità finte o rubate per offuscare il reale proprietario dell'account allo scopo di attività ingannevole, sembra avere origine dal Paese vittima dell'attacco hacker per promuovere il cyberattacco usando la lingua con errori ovvi per i madrelingua
  • Imitazione di fonti autorevoli
  • Contattare le organizzazioni di informazione

Se da una parte l'attribuzione che stiamo facendo oggi si basa su un set di intelligence più ampio in possesso del team DTAC di Microsoft, lo schema osservato in questo caso è tipico delle operazioni sponsorizzate dall'Iran. Questi schemi sono stati identificati anche dal Private Industry Notification (PIN) di ottobre 2022 dell'FBI come utilizzati da attori collegati all'Iran per condurre operazioni di influenza informatica.

La campagna contro Charlie Hebdo ha fatto uso di decine di account fittizi in lingua francese per amplificare la campagna e distribuire il messaggio antagonista. Il 4 gennaio, gli account molti dei quali con pochi follower e account seguiti e creati di recente, hanno iniziato a pubblicare critiche contro la vignetta su Khamenei su Twitter. In modo cruciale, prima che si parlasse del cyberattacco rivendicato, questi account avevano pubblicato screenshot identiche di un sito Web compromesso che includeva il messaggio in lingua francese: "Charlie Hebdo a été piraté" ("Charlie Hebdo è stato hackerato").

Qualche ora dopo che gli account fittizi avevano iniziato a twittare, si sono aggiunti altri due account di social media che imitavano autorità francesi, ovvero un funzionario tecnico e l'editore di Charlie Hebdo. Questi account, entrambi creati a dicembre 2022 e con pochi follower, hanno iniziato a pubblicare screenshot della fuga di dati dei clienti di Charlie Hebdo commessa da Holy Souls. Da quel momento, questi account sono stati sospesi da Twitter.

L'uso di account di utenti fantocci è stato osservato nelle operazioni collegate all'Iran, incluso un attacco rivendicato dall'Atlas Group, un partner di Hackers of Savior, che fu attribuito all'Iran dall'FBI nel 2022. Durante i Mondiali del 2022, l'Atlas Group affermò di essersi "infiltrato nelle infrastrutture" [sic] e compromesso un sito Web sportivo israeliano. Su Twitter, gli account di utenti fantocci in lingua ebraica e l'imitazione di un giornalista sportivo di un noto canale di notizie israeliano hanno amplificato l'attacco. L'account fittizio del giornalista pubblicò un post in cui affermava che, dopo essersi recato in Qatar, aveva concluso che gli israeliani non "dovevano viaggiare nei Paesi arabi".

Insieme alle screenshot dei dati trafugati, gli account di utenti fantoccio hanno pubblicato messaggi di scherno in francese, tra cui: "Per me, il prossimo soggetto delle vignette di Charlie dovrebbero essere gli esperti di cybersecurity francesi". Questi stessi account hanno provato ad alimentare la notizia di una presunta violazione rispondendo ai tweet di giornali e giornalisti, tra cui il quotidiano giordano al-Dustour, l'algerino Echorouk e del giornalista del Le Figaro Georges Malbrunot. Altri account di utenti fittizi hanno affermato che Charlie Hebdo stava lavorando per conto del governo francese e che quest'ultimo stava cercando di distogliere l'attenzione del pubblico dagli scioperi in corso.

Secondo l'FBI, uno degli obiettivi delle operazioni di influenza dell'Iran è quello di "indebolire la fiducia del pubblico nella sicurezza della rete e dei dati della vittima, oltre a quello di mettere in imbarazzo le aziende e i Paesi presi di mira". Infatti, il messaggio nell'attacco ai danni di Charlie Hebdo riprende quello di altre campagne collegate all'Iran, come quelli rivendicati da Hackers of Savior, un utente tipo affiliato all'Iran che, ad aprile 2022, ha affermato di essersi infiltrato nell'infrastruttura informatica dei principali database israeliani e di aver pubblicato un messaggio di avvertimento per gli israeliani "Non fidatevi dei centri governativi".

Qualsiasi cosa si possa pensare dellescelte editorialidi Charlie Hebdo, la divulgazione di informazioni personali su decine di migliaia dei suoi clienti costituisce una grave minaccia. Questo è stato sottolineato il 10 gennaio in un avvertimento di "vendetta" contro la rivista da parte del comandante del Corpo delle guardie della rivoluzione islamica Hossein Salami, che citava l'esempio dello scrittore Salman Rushdie, pugnalato nel 2022. Salami ha aggiunto,  “Rushdie non ritornerà”.

L’attribuzione che stiamo facendo oggi si basa sul framework di attribuzione del Digital Threat Analysis Center (DTAC).

Microsoft investe nel monitoraggio e nella condivisione di informazioni sulle operazioni di influenza di stato-nazione affinché clienti e democrazie in tutto il mondo possano proteggersi da attacchi come quello che è stato commesso nei confronti di Charlie Hebdo. Continueremo a divulgare informazioni di intelligence come questa ogni volta che osserveremo operazioni simili da parte di governi e gruppi criminali in tutto il mondo.

Matrice di attribuzione delle operazioni di influenza 1

Matrice del grafico delle operazioni di influenza informatica

Articoli correlati

Difesa dell'Ucraina: prime lezioni dalla guerra informatica

Gli ultimi dati sui nostri continui sforzi in materia di intelligence sulle minacce nella guerra tra Russia e Ucraina e una serie di conclusioni dai suoi primi quattro mesi rafforzano l’esigenza di indagini nuove e continue sulla tecnologia, sui dati e nelle partnership per supportare governi, aziende, organizzazioni no profit e università.
Scopri di più

Resilienza informatica

Microsoft Security ha condotto un sondaggio coinvolgendo più di 500 professionisti della sicurezza per comprendere le tendenze di sicurezza emergenti e le principali preoccupazioni tra i CISO.
Scopri di più

Dati analitici da miliardi di segnali di sicurezza giornalieri

Gli Esperti di sicurezza Microsoft illuminano il panorama delle minacce di oggi, fornendo dati analitici sulle tendenze emergenti e sulle minacce storicamente persistenti.
Scopri di più

Segui Microsoft