今天,Microsoft 網路威脅分析中心(DTAC)將最近針對法國諷刺雜誌《查理週刊》的影響力作戰歸咎為伊朗民族國家行為者。Microsoft 稱其為 NEPTUNIUM,該行為者也被美國司法部識別出來,即 Emennet Pasargad。
在 Holy Souls 在 YouTube 和多個駭客論壇上發佈資料樣本后,通過在多個社交媒體平臺上的聯合行動,擴大了泄密事件的影響。這種放大投入量利用了 DTAC 之前在伊朗駭客和洩密影響作業中被見證的一套特定的影響力策略、技術和程式(TTP)。
伊朗應對《查理週刊》襲擊事件負責
這次襲擊有幾個元素與伊朗民族國家行為者先前進行的襲擊相似,包括:
- 一位駭客聲稱個人對該網路攻擊負責
- 聲稱網站篡改成功
- 洩露線上私人數據
- 使用不真實的社交媒體「傀儡」角色(使用虛構或被盜身分識別的社交媒體帳戶,混淆帳戶的真實擁有者,達到欺騙的目的),聲稱其來自駭客攻擊的目標國家/地區,使用母語人士都能看出明顯錯誤的語言來宣傳網路攻擊
- 冒充權威來源
- 聯繫新聞媒體組織
雖然我們今天所做的歸因是基於 Microsoft 的 DTAC 團隊可用的更大一組情報,但這裡看到的模式為伊朗國家所支持行動的典型模式。聯邦調查局的 2022 年 10 月 私營企業通知 (PIN) 也確定了這些模式,這些模式被與伊朗有聯繫的執行者用來開展網路影響力行動。
針對《查理週刊》的活動利用了數十個法語傀儡賬戶來擴大該活動並散發敵對傳訊。1月4日,這些賬戶開始在 Twitter 上張貼對哈梅內伊漫畫的批評,其中許多帳戶的粉絲和關注者數量都很低,並且是最近創建的。至關重要的是,在對所謂的網路攻擊進行任何實質性報導之前,這些賬戶 發佈了一個被篡改的網站的相同截圖, 其中包括法語資訊: “Charlie Hebdo a été piraté” (「《查理週刊》被駭客入侵」)。
在傀儡帳戶開始發推文幾個小時后,至少有兩個冒充法國權威人物的社交媒體帳戶加入了他們的行列——一個模仿科技高管,另一個模仿《查理週刊》的編輯。這些都是在 2022 年 12 月建立的帳戶,關注者的數量很少,然後開始發佈 Holy Souls 洩露《查理週刊》客戶資料的螢幕擷取畫面。此後,Twitter 已暫止 這些帳戶。
一個冒充《查理週刊》編輯的帳戶在推特上發佈了關於洩密事件的推文
除了洩露數據的螢幕擷取畫面外,傀儡帳戶還用法語發佈了 嘲諷資訊 ,包括:『對我來說,查理漫畫的下一個主題應該是法國網路安全專家。』 這些帳戶還試圖通過在推文中回應出版物和記者來增加涉嫌駭客攻擊的消息,包括《約旦日報》 al-Dustour、阿爾及利亞的 Echorouk 和《費加羅報》記者 Georges Malbrunot。 其他傀儡賬戶聲稱查理·赫夫拉多(Charlie Hebfrado)代表法國政府工作,並表示後者 正試圖轉移公眾 對停工的注意力。
根據聯邦調查局的說法,伊朗影響力行動的一個目標是「破壞公眾對受害者網路和資料安全的信心,並使受害者公司和目標國家/地區難堪」。事實上,針對《查理週刊》的攻擊中的資訊與其他與伊朗有關的活動相似,例如與伊朗有關聯的「救世主駭客」聲稱的資訊,該組織在 2022 年 4 月聲稱滲透了以色列主要資料庫的網路基礎結構,並發佈了一條消息警告以色列人,「不要寄望於你們的政府中心。」
我們今天進行的歸因是基於 DTAC 歸因架構。
Microsoft 投資於追蹤和共用有關民族國家影響力作戰的資訊,以便世界各地的客戶和民主國家/地區能夠保護自己免受像《查理週刊》一樣的襲擊。當我們看到世界各地的政府和犯罪集團採取類似行動時,我們將繼續發佈相似的情報。
影響力作戰歸因矩陣 1
- [1]
改編自 Pamment、James 和 Victoria Smith。「歸因資訊影響作業:識別那些對在線惡意行為負責的人。」 (2022) https://go.microsoft.com/fwlink/?linkid=2262249
關注 Microsoft 安全性