Група за сајбер безбедност: операциите насочени кон локациите на иранската влада беа внатрешно извршени во Иран

Истакната група за сајбер безбедност ги истражуваше операциите против владините веб-страници во Иран и заклучи дека поради структурата на иранскиот интернет и неговото одвојување од глобалниот интернет, операциите против владините веб-страници, вклучително и оние кои припаѓаат на државната радио и телевизија на 27 јануари 2022 година. Министерството за надворешни работи на 7 мај 2023 година и канцеларијата на претседателот на 29 мај 2023 година беа спроведени со инфилтрација и не можеше да бидат резултат на пенетрација надвор од Иран.

Во последниве години, групата за сајбер безбедност Treadstone71 објави неколку извештаи за иранската влада и нејзините сајбер-напади и еволуираше како авторитет во оваа област.

Извештајот Treadstone71 нагласува дека големите напади врз локациите на иранската влада најверојатно биле извршени со пенетрации од внатрешноста на Иран, особено од инсајдери кои имале пристап до овие системи.

Голем број од најважните веб-страници на иранската влада, како и онлајн системи на општина Техеран и националните радио и телевизиски мрежи, се подложени на масовни напади од јануари 2022 година.

Група "Гимсарнегуни („Востание до соборување“) ја презеде одговорноста за главните напади и откри обемни внатрешни владини документи на иранската влада на својот профил на Телеграм. Групата ги обезличи почетните страници на голем број веб-страници, објавувајќи пречкртани слики на врховниот водач Али Хамнеи и поставувајќи ги сликите на лидерите на иранската опозиција.

Во 2022 година, владините интернет структури и услуги на Албанија беа цел на масовен сајбер напад, што предизвика многу проблеми. Опсежната истрага на Мајкрософт и другите го впери прстот кон Техеран.

Според проценката на Treadstone71, „Иран има долга историја на вклучување во напади за сајбер безбедноста и според некои статистички податоци, е на петтото место меѓу нациите познати по тоа што ги таргетираат своите противници преку сајбер војна“.

Маркетинг

„Како безбедносна мерка на претпазливост“, забележува Treadstone71 во својот извештај, „Иран одлучи да ги префрли своите владини веб-страници од европски хостинг сервери на домашни хостинг компании, како дел од својот „Национален Интернет““, и како резултат на тоа, „Целата влада и држава -Контролираните веб-страници беа преместени од европските и американските сервери за хостирање на домашните хостови“, а „пристапот до избрани владини и државни веб-локации беше ограничен на „Националниот интернет“, што ги прави недостапни преку глобалниот интернет“.

Извештајот Treadstone71 подвлече: „Исто така, бевме сведоци на поинаков вид на напади, одвоени од оние што се инфилтрираат на владини веб-страници на ранливите ирански хостинг услуги; оние што ги направи Гјамсарнегуни („Востание до соборување“). Нападите извршени од оваа група беа меѓу најдлабоките инфилтрации против мрежите на иранската влада“.

Во извештајот се забележува:

Овие напади се истакнаа поради три клучни карактеристики:

1. Степенот на инфилтрација во најбезбедните владини мрежи, споредлив само со нападот на Stuxnet (кој користеше флеш драјв).

2. Обемот на ексфилтрирани документи.

3. Распространетиот пристап до сервери и компјутери.

Извештајот Treadstone71 нагласува дека државните радио и телевизиски мрежи, особено во недемократските земји како Иран, „се меѓу најизолираните и најзаштитените мрежи“. Понатаму се вели: „Внатрешната радиодифузна мрежа на Иран не е поврзана на Интернет и е сериозно загрозена; што значи дека е физички изолиран од интернет и може да се пристапи само одвнатре… Единствениот начин за странец да добие пристап до мрежата би бил преку физичка инфилтрација“.

Во јануари 2022 година, иранските медиуми истакнаа дека владините институции веруваат дека овој напад бил извршен од поединци кои имале внатрешни информации за иранските државни радио и ТВ системи.

Нападот на веб-страниците на општина Техеран на 2 јуни 2022 година вклучуваше упад во 5,000 камери вработени за контрола на сообраќајот и за препознавање лица. Според Treadstone71, хакерите „би знаеле дека камерите не се поврзани на Интернет и дека ќе треба да добијат физички пристап до камерите за да ги хакираат“.

Но, најзачудувачките наоди на Treadstone71 се поврзани со двата напади од висок профил и привлекување внимание од Ѓамсарнегуни во мај 2023.

За време на нападот на веб-страницата на иранското Министерство за надворешни работи, хакерите добија пристап до 50 терабајти податоци од архивите на Министерството. Проценката на Treadstone71 е дека ова бара „пробивање во највнатрешните слоеви на ова владино тело. Природата на протечените документи укажува дека таквите документи би биле недостапни од интернет, што дополнително ги поддржува сомневањата за инсајдерска вмешаност“.

Експертската проценка на Treadstone71 заклучи дека „преносот на податоци од 50 TB нема да биде возможен од далечина – и на филтрирана мрежа како што е онаа на Иран“, и додаде дека огромната големина на хакирањето открива и за тоа како е извршено.

„Нормалната брзина на преземање на Интернет кај Иран е 11.8 мегабити во секунда. За да преземете 50 терабајти податоци од Министерството за надворешни работи на Иран со оваа брзина, ќе бидат потребни повеќе од 392 дена или повеќе од една година непречено време за преземање, а интернетот во Иран често паѓа, е пригушен од владата и доживува редовни прекини предизвикани од владата, “, се наведува во извештајот.

„Врз основа на овие бројки, таков напад многу веројатно се случил од директен пристап до податоците“.

Во врска со нападот на веб-страницата на претседателската канцеларија, хакерите ги пробиле најбезбедните комуникациски системи на владата и добиле десетици илјади документи стари не повеќе од неколку месеци.

Според ирански експерт, оваа страница „користела посветена IP адреса која била непробојна“.

„Фактот што хакерите добија пристап до десетици илјади документи стари не повеќе од неколку месеци, исто така сугерира дека инсајдерите го извршиле нападот. Овие документи би биле складирани на компјутери со ограничен пристап до Интернет и би било тешко за аутсајдер да им пристапи“, изјави Тредстоун71.

Извештајот заврши со велејќи: „Иранската влада првично ја препиша вината на странските противници. Сепак, експертите за сајбер-безбедност и сè поголемите докази укажуваат на инсајдерска вклученост“.

Споделете ја оваа статија: