Cyber ​​Security Group: Operacje wymierzone w witryny rządowe Iranu zostały przeprowadzone wewnętrznie w Iranie

Wybitna grupa zajmująca się cyberbezpieczeństwem zbadała operacje na rządowych stronach internetowych w Iranie i stwierdziła, że ​​ze względu na strukturę irańskiego Internetu i jego oddzielenie od globalnego Internetu, operacje na rządowych stronach internetowych, w tym należących do państwowego Radia i Telewizji, miały miejsce w dniu 27 stycznia 2022 r. w Ministerstwie Spraw Zagranicznych w dniu 7 maja 2023 r. i w urzędzie prezydenta w dniu 29 maja 2023 r. zostały przeprowadzone w sposób infiltracyjny i nie mogły być wynikiem penetracji spoza Iranu.

W ostatnich latach grupa ds. bezpieczeństwa cybernetycznego Treadstone71 opublikowała kilka raportów na temat irańskiego rządu i jego cyberataków, dzięki czemu stała się autorytetem w tej dziedzinie.

W raporcie Treadstone71 podkreślono, że główne ataki na strony irańskiego rządu były najprawdopodobniej przeprowadzane w drodze penetracji z wnętrza Iranu, w szczególności przez osoby mające dostęp do tych systemów.

Od stycznia 2022 r. wiele najważniejszych stron internetowych irańskiego rządu, a także systemy internetowe gminy Teheran oraz krajowe sieci radiowe i telewizyjne stały się przedmiotem masowych ataków.

Grupa "Gyamsarnegouni („Powstanie aż do obalenia”) wziął na siebie odpowiedzialność za główne ataki i ujawnił na swoim koncie w Telegramie obszerne wewnętrzne dokumenty rządowe rządu irańskiego. Grupa zniekształciła strony główne wielu stron internetowych, zamieszczając przekreślone wizerunki Najwyższego Przywódcy Alego Chameneiego i umieszczając zdjęcia przywódców irańskiej opozycji.

W 2022 r. rządowe struktury internetowe i usługi internetowe Albanii stały się celem masowego cyberataku, który spowodował wiele problemów. Szeroko zakrojone dochodzenie przeprowadzone przez Microsoft i inne podmioty wycelowało w Teheran.

Według oceny Treadstone71 „Iran ma długą historię angażowania się w ataki cybernetyczne i według niektórych statystyk zajmuje piąte miejsce wśród krajów znanych z atakowania swoich przeciwników poprzez wojnę cybernetyczną”.

reklama

„W ramach środków ostrożności” – zauważa Treadstone71 w swoim raporcie – „Iran zdecydował się przenieść swoje rządowe strony internetowe z europejskich serwerów hostingowych do krajowych firm hostingowych w ramach swojego „Krajowego Internetu””; w rezultacie „Wszystkie rządy i państwa kontrolowane strony internetowe zostały przeniesione z europejskich i amerykańskich serwerów hostingowych do hostów krajowych”, a „dostęp do wybranych stron internetowych kontrolowanych przez rząd i państwo został ograniczony do „krajowego Internetu”, czyniąc je niedostępnymi za pośrednictwem globalnego Internetu”.

W raporcie Treadstone71 podkreślono: „byliśmy także świadkami innego rodzaju ataku, innego niż ataki polegające na infiltracji rządowych stron internetowych na podatne irańskie usługi hostingowe; te wykonane przez Gyamsarnegouniego („Powstanie do obalenia”). Ataki przeprowadzone przez tę grupę należały do ​​najgłębszych infiltracji sieci irańskiego rządu”.

Raport zauważa:

Ataki te wyróżniały się trzema kluczowymi cechami:

1. Skala infiltracji do najbezpieczniejszych sieci rządowych porównywalna jedynie z atakiem Stuxnet (w którym wykorzystano pendrive).

2. Objętość eksfiltrowanych dokumentów.

3. Powszechny dostęp do serwerów i komputerów.

Raport Treadstone71 podkreśla, że ​​państwowe sieci radiowe i telewizyjne, szczególnie w niedemokratycznych krajach, takich jak Iran, „należą do najbardziej odizolowanych i najlepiej chronionych sieci”. Dalej czytamy: „Wewnętrzna sieć nadawcza Iranu nie jest podłączona do Internetu i ma poważne przerwy w dostępie do Internetu; co oznacza, że ​​jest ona fizycznie odizolowana od Internetu i można uzyskać do niej dostęp jedynie od wewnątrz… Jedynym sposobem, aby osoba z zewnątrz mogła uzyskać dostęp do sieci, jest fizyczna infiltracja”

W styczniu 2022 r. irańskie media wskazały, że instytucje rządowe uważają, że ataku dokonały osoby posiadające poufne informacje na temat irańskich państwowych systemów radiowych i telewizyjnych.

Atak na strony internetowe gminy Teheran, który miał miejsce 2 czerwca 2022 r., obejmował włamanie do 5,000 kamer wykorzystywanych do kontroli ruchu drogowego i rozpoznawania twarzy. Według Treadstone71 hakerzy „wiedzieli, że kamery nie są podłączone do Internetu i że aby je zhakować, musieliby uzyskać fizyczny dostęp do kamer”.

Jednak najbardziej zaskakujące ustalenia Treadstone71 są związane z dwoma głośnymi i przyciągającymi uwagę atakami przeprowadzonymi przez Gyamsarnegouniego maj 2023.

Podczas ataku na stronę internetową irańskiego Ministerstwa Spraw Zagranicznych hakerzy uzyskali dostęp do 50 terabajtów danych znajdujących się w archiwach tego ministerstwa. Według Treadstone71 wymagało to „przeniknięcia do najgłębszych warstw tego organu rządowego. Charakter dokumentów, które wyciekły, wskazuje, że takie dokumenty nie byłyby dostępne w Internecie, co jeszcze bardziej potwierdza podejrzenia o udział osób poufnych”.

Z oceny eksperckiej Treadstone71 wynika, że ​​„przesłanie 50 TB danych nie byłoby możliwe na odległość – i w filtrowanej sieci takiej jak irańska” – i dodał, że sam rozmiar włamania ujawnia również sposób, w jaki został on przeprowadzony.

„Normalna prędkość pobierania Internetu w języku irańskim wynosi 11.8 megabitów na sekundę. Pobranie 50 terabajtów danych z Ministerstwa Spraw Zagranicznych Iranu przy tej prędkości zajęłoby ponad 392 dni lub ponad rok nieprzerwanego pobierania, a irański Internet często ulega awariom, jest dławiony przez rząd i regularnie doświadcza przerw w dostawie prądu spowodowanych przez rząd, ” – napisano w raporcie.

„Bazując na tych liczbach, z dużym prawdopodobieństwem taki atak miał miejsce w wyniku bezpośredniego dostępu do danych”.

W związku z atakiem na stronę internetową Kancelarii Prezydenta hakerzy włamali się do najbezpieczniejszych systemów komunikacyjnych rządu i uzyskali dziesiątki tysięcy dokumentów nie starszych niż kilka miesięcy.

Według irańskiego eksperta witryna ta „korzystała z dedykowanego adresu IP, który był nieprzenikniony”.

„Fakt, że hakerzy uzyskali dostęp do dziesiątek tysięcy dokumentów nie starszych niż kilka miesięcy, sugeruje również, że atak przeprowadzili insiderzy. Dokumenty te byłyby przechowywane na komputerach z ograniczonym dostępem do Internetu i byłoby to trudne aby osoba z zewnątrz miała do nich dostęp” – stwierdził Treadstone71.

Raport kończył się następującym stwierdzeniem: „Rząd irański początkowo przypisywał winę zagranicznym przeciwnikom. Jednak eksperci ds. cyberbezpieczeństwa i coraz liczniejsze dowody sugerują zaangażowanie osób poufnych”.

Udostępnij ten artykuł: