Microsoft, 3 Şubat’ta yaptığı açıklamada, kendisine “Kutsal Ruhlar” adını veren bir tehdit grubunun Fransız mizah dergisi Charlie Hebdo’ya ait bir veri tabanına eriştiği ve 200.000’den fazla abonesini öldürmekle tehdit ettiği yakın tarihli bir saldırının İran devlet aktörü Neptunium’un işi olduğunu söyledi.
Saldırı, İran hükümetinin Charlie Hebdo’nun Aralık ayında duyurduğu ve derginin dünyanın dört bir yanından okuyucuları İran’ın Dini Lideri Ali Hamaney’i “alay eden” karikatürler sunmaya davet ettiği bir karikatür yarışmasına bir yanıt gibi görünüyor. Yarışmanın sonuçları, Hz. Muhammed’in karikatürlerini yayınlamasına misilleme olarak Charlie Hebdo’ya düzenlenen ve 12 çalışanının hayatını kaybettiği ölümcül terör saldırısının sekizinci yıldönümü olan 7 Ocak’ta yayınlanacaktı.
Doxing, Aboneleri Fiziksel Hedefleme Riskine Atmış Olabilir
Microsoft, Dijital Tehdit Analiz Merkezi’nden (DTAC) araştırmacıların topladığı eserler ve istihbarata dayanarak saldırıdan Neptunium’un sorumlu olduğunu belirlediğini söyledi. Microsoft, verilerin, Neptunium’un saldırısını İran hükümetinin karikatürlere yönelik resmi eleştirisi ve Charlie Hebdo’ya misilleme yapma tehditleriyle aynı zamana denk getirdiğini gösterdiğini söyledi.
Saldırının ardından Neptunium, tam adları, telefon numaraları, posta adresleri, e-posta adresleri ve finansal bilgileri dahil olmak üzere yaklaşık 230.000 Charlie Hebdo abonesine ait kişisel bilgilere eriştiğini duyurdu. Microsoft, tehdit aktörünün erişim kanıtı olarak verilerin küçük bir örneğini yayınladığını ve tam dilimi 20 Bitcoin’e veya o sırada yaklaşık 340.000 dolara satın almak isteyen herkese teklif ettiğini söyledi.
Şirket, “İranlı aktör tarafından elde edilen bu bilgi, derginin abonelerini aşırılık yanlısı örgütler tarafından çevrimiçi veya fiziksel hedef alma riskine sokabilir.” olay.
Microsoft, Neptunium’un saldırıyı gerçekleştirirken ve sonrasında gerçekleştirdiği eylemlerin çoğunun, diğer İran devlet aktörlerinin etki operasyonları gerçekleştirirken kullandıkları taktikler, teknikler ve prosedürlerle (TTP’ler) tutarlı olduğunu söyledi. Buna, saldırının sorumluluğunu üstlenmek için hacktivist kimliğin (Kutsal Ruhlar) kullanılması, özel verilerin sızdırılması ve Charlie Hebdo’ya yönelik saldırı haberlerini güçlendirmek için sahte – veya “çorap kuklası” – sosyal medya şahıslarının kullanılması dahildir.
Örneğin, saldırının ardından iki sosyal medya hesabı (biri üst düzey bir Fransız teknoloji yöneticisini, diğeri Charlie Hebdo’da bir editörü taklit ediyor) sızan bilgilerin ekran görüntülerini yayınlamaya başladı. Şirket, araştırmacılarının medya kuruluşlarına yönelik saldırı haberlerini tweetleyen diğer sahte sosyal medya hesaplarını gözlemlediğini söylerken, diğerleri Charlie Hebdo’yu Fransız hükümeti adına çalışmakla suçladı.
İran Nüfuz Operasyonları: Tanıdık Bir Tehdit
ABD Adalet Bakanlığı’nın “Emennet Pasargad” olarak takip ettiği Neptunium, son yıllarda çok sayıda siber etkin etki operasyonlarıyla ilişkili bir tehdit aktörüdür. İran dışında çalışan ve son yıllarda ABD örgütlerini ağır bir şekilde hedef alan, görünüşte devlet destekli birçok tehdit aktöründen biridir.
Neptunium’un kampanyaları, tehdit aktörünün diğer şeylerin yanı sıra seçmen bilgilerini çalarak, seçmenleri e-posta yoluyla sindirerek ve oylama sistemlerinde var olmayan güvenlik açıkları hakkında bir video dağıtarak ABD 2020 genel seçimlerinin sonucunu etkilemeye çalıştığı bir kampanyayı içeriyor. FBI’ın grupla ilgili soruşturmasına göre, kampanya kapsamında Neptunium oyuncuları sağcı Proud Boys grubunun üyeleri kılığına girdi. İran hükümeti destekli etki operasyonlarına ek olarak Neptunium, haber kuruluşlarına, finans şirketlerine, devlet ağlarına, telekomünikasyon firmalarına ve petrol ve petrokimya kuruluşlarına karşı 2018’e kadar uzanan daha geleneksel siber saldırılarla da ilişkilendiriliyor.
FBI, Emennet Pasargad’ın aslında oradaki hükümet adına çalışan İran merkezli bir siber güvenlik şirketi olduğunu söyledi. Kasım 2021’de New York’taki bir ABD büyük jürisi, iki çalışanını bilgisayar izinsiz girişi, dolandırıcılık ve seçmenleri sindirme de dahil olmak üzere çeşitli suçlamalarla suçladı. ABD hükümeti, iki kişinin yakalanmasına ve mahkum edilmesine yol açan bilgiler için ödül olarak 10 milyon dolar teklif etti.
Neptunium’un TTP’leri: Keşif ve Web Aramaları
FBI, grubun MO’sunu, Web aramaları yoluyla potansiyel hedefler üzerinde birinci aşama keşif ve ardından sonuçları, hedeflerin kullanıyor olabileceği savunmasız yazılımları taramak için kullanmak olarak tanımladı.
FBI, “Bazı durumlarda amaç, belirli bir organizasyon hedefinin aksine belirli bir sektördeki çok sayıda ağdan/web sitesinden yararlanmak olabilir” dedi. “Diğer durumlarda Emennet, barındırma/paylaşılan barındırma hizmetlerini de belirlemeye çalışır.”
FBI’ın grubun saldırılarına ilişkin analizi, PHP kodunu çalıştıran web sayfalarına ve dışarıdan erişilebilen MySQL veritabanlarına özel ilgi duyduğunu gösteriyor. FBI ayrıca, revslider ve Layerslider gibi WordPress eklentilerinin ve Drupal, Apache Tomcat, Ckeditor veya Fckeditor üzerinde çalışan web sitelerinin de grubun ilgisini çektiğini söyledi.
Bir hedef ağa girmeye çalışırken, Neptunium önce kuruluşun belirli uygulamalar için varsayılan parolaları kullanıp kullanmadığını doğrular ve yönetici veya oturum açma sayfalarını belirlemeye çalışır.
FBI, “Emennet’in tanımladıkları herhangi bir oturum açma sitesi için ortak düz metin parolaları deneyebileceği varsayılmalıdır” dedi.