Trace Id is missing

Irán je zodpovedný za útoky na Charlie Hebdo

Zdieľať
Detailný záber na planétu

Centrum analýzy digitálnych hrozieb (DTAC) spoločnosti Microsoft dnes pripísalo nedávnu operáciu ovplyvňovania zameranú na francúzsky satirický časopis Charlie Hebdo iránskemu aktérovi na národnej úrovni. Spoločnosť Microsoft nazýva tohto aktéra NEPTUNIUM. Ministerstvo spravodlivosti USA ho identifikovalo ako  Emenneta Pasargada.

Začiatkom januára online skupina, o ktorej dovtedy nikto nepočul a ktorá si hovorí „Holy Sould“ (Sväté duše) a ktorú teraz môžeme identifikovať ako NEPTUNIUM, vyhlásila, že po tom, čo „prenikla do databázy“ časopisu Charlie Hebdo, získala osobné údaje viac ako 200 000 jeho zákazníkov. Ako dôkaz zverejnila skupina Holy Souls vzorku údajov, ktorá obsahovala tabuľkový hárok s podrobnými údajmi o celých menách, telefónnych číslach a domácich a e-mailových adresách kont, ktoré si predplatili časopis alebo si od neho kúpili nejaký tovar. Tieto údaje, ktoré iránsky aktér získal, by mohli vystaviť predplatiteľov časopisu riziku online alebo fyzického zacielenia zo strany extrémistických organizácií.

Domnievame sa, že tento útok je reakciou iránskej vlády na karikaturistickú súťaž vyhlásenú časopisom Charlie Hebdo. Mesiac pred útokom skupiny Holy Souls vyhlásil časopis medzinárodnú súťaž o karikatúry „zosmiešňujúce“ iránskeho najvyššieho vodcu Alího Chameneího. Vydanie s víťaznými karikatúrami malo byť publikované začiatkom januára. Malo to byť v čase ôsmeho výročia útoku dvoch útočníkov inšpirovaných organizáciou al-Káida na Arabskom polostrove na kancelárie tohto časopisu.

Skupina Holy Souls ponúkala na predaj vyrovnávaciu pamäť s údajmi za 20 bitcoinov (čo v tom čase predstavovalo približne 340 000 USD). Zverejnenie celej vyrovnávacej pamäte ukradnutých údajov (za predpokladu, že hakeri skutočne disponujú údajmi, o ktorých tvrdia, že ich majú) by v podstate znamenalo hromadný doxing zameraný na čitateľov časopisu, ktorý už bol predmetom extrémistických hrozieb (2020) a vraždených teroristických útokov (2015). S cieľom predísť tomu, aby sa údajne ukradnuté zákaznícke údaje nepovažovali za vymyslené, francúzsky denník Le Monde si overil u „viacerých obetí tohto úniku“ pravdivosť vzorového dokumentu, ktorý publikovala skupiny Holy Souls.

Po tom, čo skupina Holy Souls uverejnila vzorové údaje na YouTube a viacerých hakerských fórach, spustila sa spoločná operácia na viacerých platformách sociálnych médií, v rámci ktorej sa o tomto úniku vo veľkom hovorilo. Pri tejto snahe o výrazné informovanie o úniku bol využitý určitý súbor taktík, techník a postupov (TTP) na ovplyvňovanie, ktoré Centrum analýzy digitálnych hrozieb zaznamenalo už skôr pri iránskych operáciách ovplyvňovania, keď došlo k hakerskému útoku a následnému úniku údajov.

V tom istom čase, ako došlo k útoku, sa ozývala aj kritika karikatúr zo strany iránskej vlády. Iránsky minister zahraničných vecí Husajn Amir-Abdollahian 4. januára napísal na Twitteri: „Urážlivé a nezdvorilé konanie francúzskeho časopisu [...] voči náboženskej a politicko-duchovnej autorite nezostane [...] bez reakcie.“ V ten istý deň si pre „urážku“ zo strany časopisu Charlie Hebdo predvolalo iránske ministerstvo zahraničných vecí francúzskeho veľvyslanca v Iráne. Irán 5. januára zatvoril Francúzsky inštitút pre výskum v Iráne, čo iránske ministerstvo zahraničných vecí označilo za „prvý krok“ a uviedlo, že sa „bude prípadom vážne zaoberať a prijme potrebné opatrenia“.

Útok má niekoľko prvkov, ktoré sa podobajú na predchádzajúce útoky iránskych aktérov na národnej úrovni. Patria tu napríklad tieto prvky:

  • Persóna haktivistu, ktorá sa hlási ku kybernetickému útoku
  • Tvrdenia o úspešnom poškodení webovej lokality
  • Únik súkromných údajov online
  • Používanie neautentických persón, tzv. „ponožkových bábok“ v sociálnych médiách – kontá v sociálnych médiách, ktoré používajú fiktívne alebo ukradnuté identity s cieľom zamaskovať skutočného vlastníka konta na účely podvodu – ktoré tvrdia, že sú z krajiny, na ktorú bol hakerský útok zameraný, a propagujú kybernetický útok jazykom, v ktorom rodený hovoriaci vidí zjavné chyby
  • Zosobnenie autoritatívnych zdrojov
  • Kontaktovanie organizácií spravodajských médií

Hoci dnešná atribúcia vychádza z rozsiahlejšieho súboru spravodajských informácií, ktoré má tím DTAC spoločnosti Microsoft k dispozícii, vzorec, ktorý tu vidíme, je typický pre operácie sponzorované iránskym štátom. Tieto vzorce boli identifikované aj v oznámení súkromného sektora (PIN) FBI z októbra 2022 ako tie, ktoré používajú aktéri napojení na Irán na uskutočňovanie operácií ovplyvňovania prebiehajúce v kybernetickom priestore.

Kampaň zameraná na Charlie Hebdo využívala desiatky bábkových kont vo francúzskom jazyku na zosilnenie kampane a šírenie antagonistických správ. Kontá, z ktorých mnohé majú nízky počet sledovateľov a ktoré boli vytvorené nedávno, začali 4. januára na Twitteri uverejňovať kritiku karikatúr Chameneího. Dôležité je, že ešte pred tým, ako sa objavili nejaké podstatné správy o údajnom kybernetickom útoku, tieto kontá uverejnili identické snímky obrazovky poškodenej webovej lokality, ktoré obsahovali správu vo francúzštine: „Charlie Hebdo a été piraté“ (Charlie Hebdo napadlo hakeri).

Niekoľko hodín po tom, čo bábkové kontá začali tweetovať, pridali sa k nim najmenej dve kontá v sociálnych médiách, ktoré sa vydávali za francúzske autority. Jedno konto zosobňovalo riaditeľa technologického oddelenia a druhé redaktora časopisu Charlie Hebdo. Tieto kontá (obe vytvorené v decembri 2022 a s nízkym počtom sledovateľov) potom začali uverejňovať snímky obrazovky s uniknutými údajmi o zákazníkoch časopisu Charlie Hebdo, ktoré poskytla skupina Holy Souls. Spoločnosť Twitter tieto kontá medzitým zablokovala.

Falošné konto redaktora časopisu Charlie Hebdo na Twitteri uverejňuje snímky obrazovky s uniknutými zákazníckymi údajmi
Konto zosobňujúce redaktora časopisu Charlie Hebdo tweetuje o únikoch

Používanie takýchto bábkových kont bolo zaznamenané aj pri iných operáciách spojených s Iránom vrátane útoku, ku ktorému sa prihlásila skupina Atlas Group, partner skupiny Hackers of Savior (Hakeri Spasiteľa), a ktorý FBI v roku 2022 pripísala Iránu. Počas majstrovstiev sveta 2022 skupina Atlas Group tvrdila, že „prenikla do infraštruktúr“ a poškodila izraelskú športovú webovú lokalitu. Na Twitteri o útoku vo veľkom hovorili bábkové kontá v hebrejčine a konto, ktoré zosobňovalo športového reportéra z populárneho izraelského spravodajského kanála. Reportér vo falošnom konte uviedol, že po ceste do Kataru dospel k záveru, že Izraelčania by „nemali cestovať do arabských krajín“.

Spolu so snímkami obrazovky s uniknutými údajmi uverejnili bábkové kontá posmešné správy vo francúzštine vrátanej tejto: „Podľa mňa by ďalším objektom karikatúr časopisu Charlie Hebdo mali byť francúzski experti na kybernetickú bezpečnosť.“ Tie isté kontá sa zároveň pokúšali šíriť správu o údajnom hakerskom útoku tým, že reagovali na tweety časopisov a novinárov vrátane jordánskeho denníka al-Dustour, alžírskeho Echorouk a reportéra denníka Le Figaro Georgesa Malbrunota. Iné bábkové kontá tvrdili, že Charlie Hebdo pracuje v mene francúzskej vlády, ktorá sa týmto snaží odvrátiť pozornosť verejnosti od pracovných štrajkov.

Podľa FBI je jedným z cieľov iránskych operácií ovplyvňovania „podkopanie dôvery verejnosti v zabezpečenie siete a údajov obete, ako aj zahanbenie spoločností obetí a zacielených krajín“. Posolstvo útoku zameraného na Charlie Hebdo sa skutočne podobá iným kampaniam napojeným na Irán, napríklad tým, ku ktorým sa prihlásila skupina Hackers of Savior, persóna spojená s Iránom, ktorá v apríli 2022 vyhlásila, že prenikla do kybernetickej infraštruktúry hlavných izraelských databáz a publikovala správu varujúcu Izraelčanov: „Nedôverujte svojim vládnym centrám.

Nech už si oredakčných rozhodnutiach časopisu Charlie Hebdo myslíme čokoľvek, zverejnenie osobných údajov desiatok tisícov jeho zákazníkov predstavuje vážnu hrozbu. Vo varovaní pred „pomstou“ voči časopisu  to 10. januára zdôraznil aj veliteľ iránskej revolučnej gardy Hosejn Salámí, ktorý poukázal na príklad autora Salmana Rushdieho. Toho v roku 2022  pobodali. Salámí sa vyjadril, že „Rushdie sa už nevráti“.

Atribúcia, ktorú dnes robíme, vychádza z rámca DTAC pre atribúciu.

Spoločnosť Microsoft investuje do sledovania a zdieľania informácií o operáciách ovplyvňovania na národnej úrovni, aby sa zákazníci a demokracie na celom svete mohli chrániť pred útokmi, ako bol útok na Charlie Hebdo. Podobné analýzy budeme vydávať aj naďalej, keď budeme svedkami podobných operácií štátnych a zločineckých skupín na celom svete.

Matica atribúcie operácií ovplyvňovania 1

Graf matice kybernetických vplyvových operácií

Súvisiace články

Obrana Ukrajiny: Prvotné poznatky z kybernetickej vojny

Najnovšie zistenia nášho pokračujúceho úsilia analýzy hrozieb vo vojne medzi Ruskom a Ukrajinou a séria záverov z prvých štyroch mesiacov posilňujú potrebu pokračujúcich a nových investícií do technológií, údajov a partnerstiev na podporu vlád, spoločností, mimovládnych organizácií a univerzít.
Ďalšie informácie

Kybernetická odolnosť

Tím Zabezpečenia od spoločnosti Microsoft uskutočnil prieskum medzi viac ako 500 odborníkmi na zabezpečenie. Cieľom bolo pochopiť nové trendy v oblasti zabezpečenia a hlavné obavy manažérov zodpovedných za dohľad nad informačnou bezpečnosťou organizácií.
Ďalšie informácie

Prehľady z biliónov každodenných bezpečnostných signálov

Experti spoločnosti Microsoft na zabezpečenie objasňujú súčasné prostredie hrozieb a poskytujú prehľady nových, ako aj pretrvávajúcich, trendov.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft