Grupul de securitate cibernetică: operațiunile care vizează site-urile guvernului iranian au fost executate intern în Iran

Un grup proeminent de securitate cibernetică a investigat operațiunile împotriva site-urilor web guvernamentale din Iran și a concluzionat că, datorită structurii internetului iranian și a separării acestuia de internetul global, operațiunile împotriva site-urilor web guvernamentale, inclusiv cele aparținând radio și televiziunii de stat, la 27 ianuarie 2022, Ministerul Afacerilor Externe din 7 mai 2023 și biroul președintelui din 29 mai 2023 au fost conduse prin infiltrare și nu ar fi putut fi rezultatul unei pătrunderi din afara Iranului.

În ultimii ani, grupul de securitate cibernetică Treadstone71 a publicat mai multe rapoarte despre guvernul iranian și atacurile sale cibernetice și a evoluat ca o autoritate în acest domeniu.

Raportul Treadstone71 subliniază că atacurile majore asupra site-urilor guvernului iranian au fost cel mai probabil efectuate de pătrunderi din interiorul Iranului, în special de persoane din interior care au avut acces la aceste sisteme.

Zeci dintre cele mai importante site-uri web ale guvernului iranian, precum și sistemele online ale municipiului Teheran și rețelele naționale de radio și televiziune au fost supuse unor atacuri masive din ianuarie 2022.

Grupul Gyamsarnegouni ("Revolta până la răsturnare") și-a asumat responsabilitatea pentru principalele atacuri și a dezvăluit ample documente guvernamentale interne ale guvernului iranian pe contul său Telegram. Grupul a alterat paginile de pornire ale mai multor site-uri web, postând imagini tăiate cu Liderul Suprem Ali Khamenei și plasând imagini cu liderii opoziției iraniene.

În 2022, structurile și serviciile de internet guvernamentale din Albania au fost vizate de un atac cibernetic masiv, care a cauzat multe probleme. O investigație extinsă a Microsoft și a altora a arătat cu degetul spre Teheran.

Potrivit evaluării lui Treadstone71, „Iranul are o istorie îndelungată de implicare în atacuri de securitate cibernetică și, conform unor statistici, se află pe locul cinci în rândul națiunilor cunoscute pentru că își țintesc adversarii prin război cibernetic”.

publicitate

„Ca măsură de siguranță”, notează Treadstone71 în raportul său, „Iranul a decis să-și mute site-urile guvernamentale de la serverele europene de găzduire la companiile de găzduire naționale, ca parte a „Internetului național”” și, ca urmare, „Toate guvernele și statele -site-urile web controlate au fost mutate de la serverele de găzduire europene și americane la gazde interne”, iar „accesul la anumite site-uri web controlate de guvern și de stat a fost limitat la „Internetul național”, făcându-le inaccesibile prin internetul global.”

Raportul Treadstone71 a subliniat, „am fost, de asemenea, martori la un alt tip de atac, separat de cele care se infiltrau pe site-urile web guvernamentale pe serviciile vulnerabile de găzduire iraniene; cele făcute de Gyamsarnegouni („Răscoală până la răsturnare”). Atacurile efectuate de acest grup au fost printre cele mai profunde infiltrații împotriva rețelelor guvernului iranian.”

Raportul notează:

Aceste atacuri s-au remarcat datorită a trei caracteristici cheie:

1. Gradul de infiltrare în cele mai sigure rețele guvernamentale, comparabil doar cu atacul Stuxnet (care a folosit o unitate flash).

2. Volumul documentelor exfiltrate.

3. Accesul pe scară largă la servere și computere.

Raportul Treadstone71 subliniază că rețelele de radio și televiziune de stat, în special în țările nedemocratice precum Iranul, „sunt printre cele mai izolate și mai protejate rețele”. Mai mult, se spune: „Rețeaua internă de difuzare a Iranului nu este conectată la internet și are o întrerupere severă de aer; ceea ce înseamnă că este izolat fizic de internet și poate fi accesat doar din interior... Singura modalitate prin care un străin de a obține acces la rețea ar fi prin infiltrarea fizică.”

În ianuarie 2022, presa iraniană a subliniat că instituțiile guvernamentale cred că acest atac a fost efectuat de persoane care dețineau informații privilegiate despre sistemele de radio și TV ale statului iranian.

Atacul asupra site-urilor web ale municipiului Teheran din 2 iunie 2022 a inclus spargerea a 5,000 de camere folosite pentru controlul traficului și recunoașterea feței. Potrivit Treadstone71, hackerii „ar fi știut că camerele nu sunt conectate la internet și că ar trebui să obțină acces fizic la camere pentru a le pirata”.

Dar cele mai uimitoare descoperiri ale lui Treadstone71 sunt legate de cele două atacuri de mare profil și care captează atenția Gyamsarnegouni mai 2023.

În timpul atacului asupra site-ului Ministerului de Externe iranian, hackerii au obținut acces la 50 de terabytes de date din arhivele Ministerului. Evaluarea lui Treadstone71 este că aceasta a necesitat „pătrundere în straturile cele mai interioare ale acestui organism guvernamental. Natura documentelor scurse indică faptul că astfel de documente ar fi inaccesibile de pe internet, susținând și mai mult suspiciunile de implicare din interior.”

Evaluarea expertului Treadstone71 a concluzionat că „transferul de date de 50 TB nu ar fi posibil de la distanță – și într-o rețea filtrată precum cea a Iranului” și a adăugat că dimensiunea mare a hack-ului este, de asemenea, revelatoare despre modul în care a fost efectuat.

„Viteza normală de descărcare pe internet a iranianului este de 11.8 megabiți pe secundă. Pentru a descărca 50 de teraocteți de date de la Ministerul Afacerilor Externe al Iranului cu această viteză, ar dura peste 392 de zile sau peste un an de timp de descărcare neîntreruptă, iar internetul Iranului scade frecvent, este suprimat de guvern și se confruntă cu întreruperi regulate induse de guvern. ” se arăta în raport.

„Pe baza acestor cifre, un astfel de atac a avut loc foarte probabil din accesul direct la date.”

În legătură cu atacul asupra site-ului biroului prezidențial, hackerii au încălcat cele mai sigure sisteme de comunicații ale guvernului și au obținut zeci de mii de documente care nu aveau mai mult de câteva luni.

Potrivit unui expert iranian, acest site „folosește o adresă IP dedicată care era impenetrabilă”.

„Faptul că hackerii au obținut acces la zeci de mii de documente vechi de nu mai mult de câteva luni sugerează, de asemenea, că insideri au condus atacul. Aceste documente ar fi fost stocate pe computere cu acces limitat la internet și ar fi fost dificil. pentru ca un străin să le acceseze”, a declarat Treadstone71.

Raportul se încheie spunând: „Guvernul iranian a atribuit inițial vina adversarilor străini. Cu toate acestea, experții în securitate cibernetică și dovezile tot mai mari sugerează implicarea din interior.”

Trimiteți acest articol: