Eine iranische Gruppe, die von der US-Regierung sanktioniert wurde, wird für den Hack des französischen Satiremagazins Charlie Hebdo Anfang Januar 2023 verantwortlich gemacht.
Microsoft, das die Details des Vorfalls bekannt gab, verfolgt den Aktivitätscluster unter dem Namen NEPTUNIUM, einem im Iran ansässigen Unternehmen, das als Emennet Pasargad bekannt ist.
Im Januar 2022 brachte das U.S. Federal Bureau of Investigation (FBI) die staatlich unterstützte Cybereinheit mit einer ausgeklügelten Beeinflussungskampagne in Verbindung, mit der die Präsidentschaftswahlen 2020 beeinflusst werden sollten. Zwei iranische Staatsangehörige wurden wegen ihrer Rolle bei der Desinformations- und Bedrohungskampagne angeklagt.
Die Veröffentlichung von Microsoft erfolgte, nachdem eine „Hacktivisten“-Gruppe namens Holy Souls (jetzt als NEPTUNIUM identifiziert) behauptet hatte, im Besitz der persönlichen Daten von mehr als 200.000 Charlie Hebdo-Kunden zu sein, einschließlich ihrer vollständigen Namen, Telefonnummern, Wohn- und E-Mail-Adressen.
Es wird vermutet, dass der Einbruch, durch den sich NEPTUNIUM Zugang zu einer internen Datenbank verschafft hat, als Vergeltungsmaßnahme gegen Charlie Hebdo inszeniert wurde, weil das Blatt einen Karikaturenwettbewerb durchgeführt hatte, der den iranischen Obersten Führer Ali Khamenei „lächerlich“ machte.
Die Veröffentlichung der gestohlenen Daten, die für 20 Bitcoin angeboten wurden, könnte zu einer Massenenttarnung führen und die Leserschaft dem Risiko aussetzen, online oder physisch von extremistischen Organisationen angegriffen zu werden, warnte Redmond weiter.
„Nachdem Holy Souls die Beispieldaten auf YouTube und in mehreren Hackerforen gepostet hatte, wurde das Leck durch eine konzertierte Aktion auf mehreren Social-Media-Plattformen vergrößert“, so das Digital Threat Analysis Center (DTAC) des Windows-Herstellers.
„Bei dieser Verstärkungsaktion wurden bestimmte Taktiken, Techniken und Verfahren (TTPs) eingesetzt, die das DTAC bereits bei iranischen Hacking- und Leak-Operationen beobachtet hat.
Zu den Gemeinsamkeiten gehören die Verwendung von False-Flag-Personas, um ihre Hack-and-Leak-Operationen durchzuführen, nicht authentische Sockpuppet-Accounts und das Ausgeben autoritärer Quellen, was eine Empfehlung des FBI vom Oktober 2022 bestätigt.
Das Ziel ist es, so das FBI, „das Vertrauen der Öffentlichkeit in die Sicherheit des Netzwerks und der Daten des Opfers zu untergraben sowie die Unternehmen und Länder der Opfer in Verlegenheit zu bringen“.
„Diese Hack-and-Leak-Kampagnen beinhalten eine Kombination aus Hacking/Datendiebstahl und Informationsoperationen, die den Opfern finanzielle Verluste und Rufschädigung zufügen“, so die Behörde weiter.