Skupina za kibernetsko varnost: Operacije, usmerjene na spletna mesta iranske vlade, so bile izvedene interno v Iranu

Pomembna skupina za kibernetsko varnost je preiskala operacije proti vladnim spletnim mestom v Iranu in ugotovila, da so zaradi strukture iranskega interneta in njegove ločenosti od svetovnega interneta operacije proti vladnim spletnim mestom, vključno s tistimi, ki pripadajo državnemu radiu in televiziji 27. januarja 2022, Ministrstvo za zunanje zadeve 7. maja 2023 in urad predsednika 29. maja 2023 so bili izvedeni z infiltracijo in niso mogli biti rezultat prodora izven Irana.

V zadnjih letih je skupina Treadstone71 za kibernetsko varnost objavila več poročil o iranski vladi in njenih kibernetskih napadih ter se razvila kot avtoriteta na tem področju.

Poročilo Treadstone71 poudarja, da so bili večji napadi na iranske vladne strani najverjetneje izvedeni s prodori iz notranjosti Irana, zlasti s strani insajderjev, ki so imeli dostop do teh sistemov.

Na desetine najpomembnejših spletnih strani iranske vlade ter spletnih sistemov občine Teheran ter nacionalnih radijskih in televizijskih omrežij je bilo od januarja 2022 izpostavljenih množičnim napadom.

Skupina "Gyamsarnegouni ("Upor do strmoglavljenja") je prevzel odgovornost za glavne napade in na svojem računu Telegram razkril obsežne interne vladne dokumente iranske vlade. Skupina je uničila domače strani številnih spletnih mest, objavila prečrtane slike vrhovnega voditelja Alija Hameneja in postavila slike voditeljev iranske opozicije.

Leta 2022 so bile vladne internetne strukture in storitve Albanije tarča obsežnega kibernetskega napada, ki je povzročil številne težave. Obsežna preiskava Microsofta in drugih je s prstom pokazala na Teheran.

Po oceni Treadstone71 ima "Iran dolgoletno zgodovino vpletenosti v napade na kibernetsko varnost in je po nekaterih statističnih podatkih peti med državami, ki so znane po tem, da napadajo svoje nasprotnike prek kibernetskega bojevanja."

oglas

"Kot varnostni ukrep," Treadstone71 ugotavlja v svojem poročilu, "se je Iran odločil preusmeriti svoja vladna spletna mesta z evropskih gostiteljskih strežnikov na domača gostiteljska podjetja, kot del svojega 'nacionalnega interneta'," in posledično "vsa vlada in država -nadzorovana spletna mesta so bila premaknjena z evropskih in ameriških gostiteljskih strežnikov na domače gostitelje,« in »dostop do izbranih vladnih in državno nadzorovanih spletnih mest je bil omejen na 'nacionalni internet', zaradi česar so bila nedostopna prek globalnega interneta.«

Poročilo Treadstone71 je poudarilo: »Bili smo tudi priča drugačni vrsti napada, ločeni od tistih, ki so se infiltrirali na vladna spletna mesta na ranljivih iranskih storitvah gostovanja; tistih, ki jih je naredil Gyamsarnegouni ("Upor do strmoglavljenja"). Napadi, ki jih je izvedla ta skupina, so bili med najglobljimi infiltracijami proti mrežam iranske vlade.«

Poročilo ugotavlja:

Ti napadi so izstopali zaradi treh ključnih značilnosti:

1. Obseg infiltracije v najbolj varna vladna omrežja, primerljiv samo z napadom Stuxnet (ki je uporabljal bliskovni pogon).

2. Obseg eksfiltriranih dokumentov.

3. Razširjen dostop do strežnikov in računalnikov.

Poročilo Treadstone71 poudarja, da so državna radijska in televizijska omrežja, zlasti v nedemokratičnih državah, kot je Iran, »med najbolj izoliranimi in najbolj zaščitenimi omrežji«. Nadalje piše: »Iransko notranje oddajno omrežje ni povezano z internetom in je močno prekinjeno; kar pomeni, da je fizično izolirano od interneta in je do njega mogoče dostopati samo od znotraj ... Edini način, da zunanji uporabnik pridobi dostop do omrežja, bi bila fizična infiltracija.

Januarja 2022 so iranski mediji poudarili, da vladne institucije verjamejo, da so ta napad izvedli posamezniki, ki so imeli notranje informacije o iranskih državnih radijskih in televizijskih sistemih.

Napad na spletne strani občine Teheran 2. junija 2022 je vključeval vlom v 5,000 kamer, ki se uporabljajo za nadzor prometa in prepoznavanje obrazov. Treadstone71 trdi, da bi hekerji "vedli, da kamere niso povezane z internetom in da bi morali pridobiti fizični dostop do kamer, da bi jih vdrli."

Toda najbolj presenetljive ugotovitve Treadstone71 so povezane z dvema odmevnima napadoma, ki pritegneta pozornost Gyamsarnegouni maja 2023.

Med napadom na spletno stran iranskega zunanjega ministrstva so hekerji pridobili dostop do 50 terabajtov podatkov iz arhiva ministrstva. Ocena Treadstone71 je, da je to zahtevalo "prodor v najbolj notranje plasti tega vladnega organa. Narava razkritih dokumentov kaže, da bi bili taki dokumenti nedostopni z interneta, kar še dodatno podpira sume o notranji vpletenosti."

Strokovna ocena Treadstone71 je zaključila, da "prenos 50 TB podatkov ne bi bil mogoč na daljavo – in v filtriranem omrežju, kot je iransko", in dodal, da že sama velikost vdora razkriva tudi, kako je bil izveden.

»Običajna internetna hitrost prenosa v Iranu je 11.8 megabita na sekundo. Prenos 50 terabajtov podatkov z Ministrstva za zunanje zadeve Irana pri tej hitrosti bi potreboval več kot 392 dni ali več kot eno leto neprekinjenega časa prenosa, iranski internet pa pogosto pade, duši ga vlada in doživlja redne izpade električne energije, ki jih povzroči vlada, « je zapisano v poročilu.

"Glede na te številke je do takšnega napada zelo verjetno prišlo zaradi neposrednega dostopa do podatkov."

V zvezi z napadom na spletno stran predsedniškega urada so hekerji vdrli v najbolj varne komunikacijske sisteme vlade in pridobili več deset tisoč dokumentov, ki niso bili starejši od nekaj mesecev.

Po mnenju iranskega strokovnjaka je to spletno mesto "uporabljalo namenski naslov IP, ki je bil neprebojen."

"Dejstvo, da so hekerji pridobili dostop do več deset tisoč dokumentov, ki niso starejši od nekaj mesecev, prav tako nakazuje, da so napad izvedli insajderji. Ti dokumenti bi bili shranjeni na računalnikih z omejenim dostopom do interneta in bi bilo težko za dostop do njih zunanjim osebam,« je izjavil Treadstone71.

Poročilo se zaključi z besedami: »Iranska vlada je sprva krivdo pripisala tujim nasprotnikom. Vendar pa strokovnjaki za kibernetsko varnost in čedalje več dokazov kažejo na vpletenost notranjih oseb.«

Delite ta članek: