I dati personali trapelati dei clienti di Charlie Hebdo li mettono a rischio dagli estremisti.
Microsoft ha detto venerdì che un gruppo di stato-nazione iraniano già sanzionato dal governo degli Stati Uniti era dietro un attacco del mese scorso che ha preso di mira la rivista satirica francese Charlie Hebdo e migliaia di suoi lettori.
L’attacco è venuto alla luce il 4 gennaio, quando un gruppo precedentemente sconosciuto che si faceva chiamare Holy Souls ha preso Internet per affermare di aver ottenuto un database di Charlie Hebdo che conteneva informazioni personali per 230.000 dei suoi clienti. Il post diceva che il database era disponibile per la vendita al prezzo di 20 BTC, o circa $ 340.000 all’epoca. Il gruppo ha anche rilasciato un campione dei dati che includeva i nomi completi, i numeri di telefono e gli indirizzi di casa ed e-mail delle persone che si erano abbonate o avevano acquistato merce dalla pubblicazione. I media francesi hanno confermato la veridicità dei dati trapelati.
Il rilascio del campione ha messo i clienti a rischio di targeting online o violenza fisica da parte di gruppi estremisti, che si sono vendicati contro Charlie Hebdo negli ultimi anni per il suo trattamento satirico di questioni relative alla religione musulmana e ai paesi islamici come l’Iran. La rappresaglia includeva la sparatoria del 2015 da parte di due terroristi musulmani francesi e fratelli negli uffici di Charlie Hebdo che uccisero 12 persone e ne ferirono altre 11. Per aumentare ulteriormente l’attenzione sui dati violati, una raffica di personaggi falsi – uno che afferma falsamente di essere un editore di Charlie Hebdo – si è rivolto ai social media per discutere e pubblicizzare la fuga di notizie.
Venerdì, Clint Watts, direttore generale del Digital Threat Analysis Center di Microsoft, ha scritto:
Crediamo che questo attacco sia una risposta del governo iraniano a un concorso di vignette condotto da Charlie Hebdo. Un mese prima che Holy Souls conducesse il suo attacco, la rivista annunciò che avrebbe tenuto un concorso internazionale per vignette che “ridicolizzavano” il leader supremo iraniano Ali Khamenei. Il numero con le vignette vincitrici doveva essere pubblicato all’inizio di gennaio, programmato per coincidere con l’ottavo anniversario di un attacco da parte di due assalitori ispirati ad al-Qaeda nella penisola arabica (AQAP) negli uffici della rivista.
Le tattiche, le tecniche e le procedure della campagna di influenza hanno portato i ricercatori Microsoft a concludere che era opera di Emennet Pasargad, un gruppo iraniano che è stato a lungo monitorato e preso di mira dal governo degli Stati Uniti. L’FBI ha dichiarato nel gennaio 2022 che Emennet Pasargad era dietro “una campagna multiforme per interferire nelle elezioni presidenziali statunitensi del 2020”.
I partecipanti all’operazione hanno ottenuto informazioni riservate sugli elettori statunitensi da almeno un sito web elettorale statale, hanno inviato e-mail minacciose progettate per intimidire gli elettori e hanno pubblicato un video che diffondeva disinformazione riguardante vulnerabilità di voto inesistenti. Il gruppo ha anche rivendicato l’affiliazione con il gruppo neofascista Proud Boys per intimidire ulteriormente gli elettori.
Lo scorso ottobre, l’FBI ha dichiarato che Emennet Pasargad ha preso di mira gruppi in Israele con “operazioni di informazione informatiche abilitate che includevano un’intrusione iniziale, un furto e una successiva perdita di dati, seguita dall’amplificazione attraverso i social media e i forum online e, in alcuni casi, dalla distribuzione di malware di crittografia distruttivo”.
Il Tesoro degli Stati Uniti nel 2021 ha imposto sanzioni a Emennet Pasargad e a sei cittadini iraniani che ne sono membri, citando i loro tentativi “di seminare discordia e minare la fiducia degli elettori nel processo elettorale degli Stati Uniti”.
Il post di venerdì ha detto che Microsoft aveva “alta fiducia” che il gruppo, che la società chiama Neptunium, fosse dietro la campagna di influenza di Charlie Hebdo. La valutazione si è basata su elementi quali:
- Un personaggio hacktivista che rivendica il merito dell’attacco informatico
- Affermazioni di un defacement di un sito web di successo
- Perdita di dati privati online
- L’uso di personaggi “sockpuppet” non autentici dei social media – account di social media che utilizzano identità fittizie o rubate per offuscare il vero proprietario dell’account a scopo di inganno – sostenendo di provenire dal paese che l’Hack ha preso di mira per promuovere l’attacco informatico utilizzando un linguaggio con errori evidenti alla madrelingua
- Impersonificazione di fonti autorevoli
- Contattare le organizzazioni media di notizie
Microsoft ha detto che la campagna di gennaio ha utilizzato account di social media sockpuppet in lingua francese, molti con un basso numero di follower, per amplificare la perdita e ” distribuire messaggi antagonisti”. Gli account hanno anche pubblicato critiche al concorso di cartoni animati rivolto a Khamenei.
“Fondamentalmente, prima che ci fosse stata una segnalazione sostanziale sul presunto attacco informatico, questi account hanno pubblicato screenshot identici di un sito web deturpato che includeva il messaggio in lingua francese: ‘Charlie Hebdo a été piraté’ (‘Charlie Hebdo è stato hackerato’)”, ha scritto Watts.
Poco dopo, almeno due account di social media – uno che pretendeva di appartenere a un dirigente tecnico e l’altro a un redattore di Charlie Hebdo – hanno pubblicato screenshot dei dati dei clienti trapelati.
La campagna che Microsoft ha documentato è l’ultimo promemoria del fatto che i social media sono spesso manipolati da gruppi di interesse speciale, alcuni con tasche profonde. Le persone farebbero bene a ricordare questa manipolazione e fare attenzione a verificare le affermazioni prima di diffonderle ulteriormente.