Trace Id is missing

Iran verantwoordelijk voor Charlie Hebdo-aanvallen

Deel
Een close-up van een planeet

Vandaag schrijft het Digital Threat Analysis Center (DTAC) van Microsoft een recente beïnvloedingsoperatie toe aan een Iraanse nation-state actor, gericht op het satirische Franse tijdschrift Charlie Hebdo. Microsoft noemt deze actor NEPTUNIUM, die ook geïdentificeerd is door het United States Department of Justice (het ministerie van Justitie van de Verenigde Staten) als  Emennet Pasargad.

Begin januari claimde een onlinegroep dat deze na 'verkregen toegang tot een database' beschikte over de persoonsgegevens van meer dan 200.000 Charlie Hebdo-klanten. Nog niet eerder had iemand gehoord van de onlinegroep die zichzelf 'Holy Souls' noemt, nu identificeren we deze groep als NEPTUNIUM. Als bewijs gaf Holy Souls een sample van de gegevensvrij; een spreadsheet met volledige namen, telefoonnummers, huis- en e-mailadressen van accounts die zijn geabonneerd op het tijdschrift of er merchandise van hebben gekocht. Met deze informatie, verkregen door de Iraanse actor, liepen de abonnees het risico dat ze online of fysiek het doelwit zouden worden van extremistische organisaties.

We geloven dat de aanval een reactie is van de Iraanse overheid op een cartoonwedstrijd die is georganiseerd door Charlie Hebdo. Een maand voordat Holy Souls de aanval uitvoerde, deed het tijdschrift de aankondiging dat het een internationale wedstrijd zou organiseren voor cartoons die Ali Khamenei, de hoogste leider van Iran, 'bespotten'. De editie met de winnende cartoons werd begin januari gepubliceerd, gepland om samen te vallen met de achtste gedenkdag van een aanval op de kantoren van het tijdschrift door twee aanvallers van Al Qa'ida op het Arabisch Schiereiland (AQAS).

Holy Souls zette de cache met gegevens te koop voor 20 BTC (op dat moment gelijk aan ongeveer USD 340.000). Het vrijgeven van de volledige cache met gestolen gegevens, ervan uitgaand dat de hackers daadwerkelijk de gegevens hebben, zou essentieel de massale doxing betekenen van de lezers van een tijdschrift dat toch al het onderwerp is geweest van extremistische bedreigingen (2020) en dodelijke terroristische aanvallen (2015). Uit vrees dat de vermeende gestolen klantgegevens zouden worden afgedaan als gekunsteld, was de belangrijke Franse krant Le Monde in staat om 'met meerdere slachtoffers van dit lek' de echtheid van het voorbeelddocument van Holy Souls teverifiëren

Nadat Holy Souls de voorbeeldgegevens had gepost op YouTube en meerdere hackersforums, werd het lek versterkt door een gecoördineerde operatie op meerdere socialemediaplatformen. Deze versterkingsinspanning maakte gebruik van een specifieke set beïnvloedingstactieken, -technieken en -procedures (TTP's) die DTAC eerder heeft waargenomen in Iraanse beïnvloedingsoperaties met hacken en lekken.

De aanval viel samen met kritiek op de cartoons vanuit de Iraanse overheid. Op 4 januari tweette Hossein Amir-Abdollahian, de minister van Buitenlandse Zaken van Iran: "De beledigende en onbeleefde actie van het Franse tijdschrift [...] tegen de religieuze en politiek-spirituele autoriteit [...] blijft niet onbeantwoord." Op dezelfde dag werd de Franse ambassadeur in Iran ontboden door de Iraanse minister van Buitenlandse Zaken vanwege Charlie Hebdo's 'belediging'. Op 5 januari sloot Iran het Franse onderzoeksinstituut in Iran. De Iraanse minister van Buitenlandse Zaken noemde dit een 'eerste stap': "We nemen de zaak hoog op en nemen de vereiste maatregelen."

Er zijn verschillende elementen van de aanval die lijken op vorige aanvallen die werden uitgevoerd door Iraanse nation-state actoren, inclusief:

  • De persona van een hacktivist eist de cyberaanval op
  • Claims van een succesvolle 'defacing' (bekladding) van een website
  • Het online lekken van privégegevens
  • Er wordt gebruikgemaakt van inauthentieke socialemediapersona's ('sokpoppen'). Sokpoppen zijn socialemedia-accounts die fictieve of gestolen identiteiten gebruiken om onduidelijk te maken wie de echte eigenaar is van het account, met als doel misleiding. Deze sokpoppen claimen dat ze uit het land komen waar de hack op was gericht, ter promotie van de cyberaanval. Ze gebruiken taal met fouten die overduidelijk zijn voor moedertaalsprekers
  • Imitatie van gezaghebbende bronnen
  • Contact opnemen met nieuwsmediaorganisaties

Hoewel de toeschrijving van vandaag is gebaseerd op een grotere set informatie die beschikbaar is voor het DTAC-team van Microsoft, is dit waargenomen patroon typisch voor operaties die worden gesteund door de Iraanse staat. Het gebruik van deze patronen door aan Iran gekoppelde actoren voor het uitvoeren van cyberbeïnvloedingsoperaties is ook geïdentificeerd door de Private Industry Notification (PIN) van de FBI in oktober 2022

De campagne die gericht is op Charlie Hebdo maakte gebruik van tientallen Franstalige sokpopaccounts om de campagne te versterken en vijandige berichten te verspreiden. Op 4 januari begonnen de Twitter-accounts (vaak met hoge aantallen volgers en volgend) kritiek op de cartoons met Khamenei te posten. Doorslaggevend: voordat er uitgebreid verslag werd gedaan van de vermeende cyberaanval, postten deze accounts identieke schermopnamen van een bekladde website met daarop het Franstalige bericht: "Charlie Hebdo a été piraté" ('Charlie Hebdo is gehackt').

Een paar uur nadat de sokpoppen waren begonnen met tweeten, werden ze bijgestaan door minstens twee imiterende socialemedia-accounts van Franse gezaghebbende figuren: een technisch leidinggevende en een redacteur van Charlie Hebdo. Deze accounts, allebei gemaakt in december 2022 en met een laag aantal volgers, begonnen vervolgens schermopnamen van de gelekte Charlie Hebdo-klantgegevens van Holy Souls te posten. De accounts zijn sindsdien opgeschort door Twitter.

Het gebruik van sokpopaccounts is waargenomen in andere aan Iran gekoppelde operaties. Een voorbeeld hiervan is een aanval die is opgeëist door Atlas Group, een partner van Hackers of Savior, die in januari 2022 door de FBI is toegeschreven aan Iran. Tijdens het wereldkampioenschap voetbal 2022 claimde Atlas Group dat ze 'in de infrastructuren hebben gepenetreerd' [sic] en een sportwebsite van Israël hebben beklad. Op Twitter werd de aanval versterkt door Hebreeuwstalige sokpopaccounts en de imitatie van een sportverslaggever van een populair Israëlisch nieuwskanaal. Het nepaccount van de verslaggever postte dat hij na de reis naar Qatar had geconcludeerd dat Israëli's 'niet naar Arabische landen zouden moeten reizen'.

Samen met schermopnamen van de gelekte gegevens postten de sokpopaccounts spottende berichten in het Frans, inclusief: "Als het aan mij lag, zijn de Franse cyberbeveiligingsexperts het volgende onderwerp van Charlie's cartoons." Dezelfde accounts hebben ook het nieuws over de vermeende hack vergroot door in tweets te reageren op tijdschriften en journalisten, inclusief het Jordaanse dagblad al-Dustour, Algerijes Echorouk en Le Figaro-verslaggever Georges Malbrunot. Andere sokpopaccounts claimden dat Charlie Hebdo werkte namens de Franse overheid die naar hun zeggen op zoek zou zijn naar afleiding van de publieke aandacht voor stakingen.

Volgens de FBIis één doel van de Iraanse beïnvloedingsoperaties 'het ondermijnen van publiek vertrouwen in de beveiliging van het netwerk en de gegevens van het slachtoffer, evenals het in verlegenheid brengen van doelgerichte bedrijven en landen.' De berichtgeving in de aanval op Charlie Hebdo lijkt inderdaad op andere aan Iran gekoppelde campagnes, bijvoorbeeld de campagnes die zijn opgeëist door 'Hackers of Savior', een aan Iran gekoppelde persona. Hackers of Savior claimde in april 2022 de infiltratie van de cyberinfrastructuur van grote Israëlische databases en publiceerde een waarschuwing voor Israëli's: "Vertrouw je overheid niet."

Wat je ook mag vinden van de redactionele keuzen van Charlie Hebdo, het vrijgeven van de persoonsgegevens van tienduizenden klanten vormt een ernstige bedreiging. Dit werd op 10 januari nog eens benadrukt in een waarschuwing van 'wraak' tegen het tijdschrift. Deze waarschuwing kwam van Hossein Salami, de commandant van de Iraanse Revolutionaire Garde. Hij wees op het voorbeeld van auteur Salman Rushdie, die in 2022 werd neergestoken. Salami: "Rushdie zal niet terugkomen."

Onze toeschrijving van vandaag is gebaseerd op het DTAC Framework for Attribution (het framework voor toeschrijving van het DTAC).

Microsoft investeert in het bijhouden en delen van informatie over beïnvloedingsoperaties van natiestaten, zodat klanten en democratieën van over de hele wereld zichzelf kunnen beschermen tegen aanvallen zoals die tegen Charlie Hebdo. We gaan door met het vrijgeven van dit soort informatie wanneer we wereldwijd soortgelijke operaties van overheden en criminele groepen waarnemen.

Matrix met toegeschreven beïnvloedingsoperaties 1

Grafiek, matrix met cyberbeïnvloedingsoperaties

Verwante artikelen

De verdediging van Oekraïne: Vroege lessen uit de cyberoorlog

De meest recente bevindingen in onze doorlopende inspanningen voor bedreigingsinformatie tijdens de oorlog tussen Rusland en Oekraïne en een reeks conclusies uit de eerste vier maanden, vergroten de behoefte aan aanhoudende en nieuwe investeringen in technologieën, gegevens en partnerschappen die overheden, bedrijven, NGO's en universiteiten ondersteunen.
Meer informatie

Cyber Resilience

Microsoft Beveiliging heeft een enquête uitgevoerd onder meer dan 500 beveiligingsprofessionals om opkomende beveiligingstrends en de belangrijkste kwesties van CISO's te begrijpen.
Meer informatie

Inzichten uit biljoenen dagelijkse beveiligingssignalen

Microsoft-beveiligingsexperts lichten het hedendaagse bedreigingslandschap toe, bieden inzichten in opkomende trends en in historisch voortdurende bedreigingen.
Meer informatie

Microsoft volgen