Kiberdrošības grupa: Irānas iekšienē tika veiktas operācijas, kuru mērķis bija Irānas valdības vietnes

Ievērojama kiberdrošības grupa ir izmeklējusi operācijas pret valdības vietnēm Irānā un secinājusi, ka Irānas interneta struktūras un tā atdalīšanas no globālā interneta dēļ operācijas pret valdības vietnēm, tostarp tām, kas pieder valsts radio un televīzijai, 27. gada 2022. janvārī, Ārlietu ministrija 7. gada 2023. maijā un prezidenta amats 29. gada 2023. maijā tika veikta infiltrācijas ceļā, un tie nevarēja būt iekļūšanas rezultāts no ārpuses Irānas.

Pēdējos gados Treadstone71 kiberdrošības grupa ir publicējusi vairākus ziņojumus par Irānas valdību un tās kiberuzbrukumiem un ir attīstījusies kā autoritāte šajā jomā.

Treadstone71 ziņojumā uzsvērts, ka lielus uzbrukumus Irānas valdības vietnēm, visticamāk, veica iekļūšana Irānas iekšienē, jo īpaši no iekšējās personas, kurām bija piekļuve šīm sistēmām.

Daudzas Irānas valdības svarīgākās tīmekļa vietnes, kā arī Teherānas pašvaldības tiešsaistes sistēmas un nacionālie radio un televīzijas tīkli ir pakļauti masveida uzbrukumiem kopš 2022. gada janvāra.

Grupa "Gyamsarnegouni ("Sacelšanās līdz gāšanai") ir uzņēmusies atbildību par galvenajiem uzbrukumiem un savā Telegram kontā atklājusi plašus Irānas valdības iekšējos valdības dokumentus. Grupa ir sabojājusi vairāku vietņu mājaslapas, ievietojot pārsvītrotus augstākā līdera Ali Hamenei attēlus un ievietojot Irānas opozīcijas līderu attēlus.

2022. gadā Albānijas valdības interneta struktūras un pakalpojumi tika pakļauti masveida kiberuzbrukumam, kas radīja daudzas problēmas. Plašā Microsoft un citu personu veiktā izmeklēšana norādīja uz Teherānu.

Saskaņā ar Treadstone71 novērtējumu, "Irānai ir sena vēsture saistībā ar kiberdrošības uzbrukumiem, un saskaņā ar dažiem statistikas datiem tā ieņem piekto vietu starp valstīm, kas pazīstamas ar to, ka kiberkara mērķis ir vērsts pret saviem pretiniekiem."

reklāma

"Drošības nolūkos," savā ziņojumā norāda Treadstone71, "Irāna nolēma pārcelt savas valdības tīmekļa vietnes no Eiropas mitināšanas serveriem uz vietējiem hostinga uzņēmumiem, kas ir daļa no valsts interneta", un tā rezultātā "visas valdības un valstis kontrolētās tīmekļa vietnes tika pārvietotas no Eiropas un Amerikas mitināšanas serveriem uz vietējiem resursdatoriem, un "piekļuve atsevišķām valdības un valsts kontrolētajām vietnēm tika ierobežota ar "nacionālo internetu", padarot tās nepieejamas, izmantojot globālo internetu."

Treadstone71 ziņojumā uzsvērts: “Mēs bijām arī liecinieki cita veida uzbrukumiem, kas bija atsevišķi no tiem, kas iefiltrējās valdības tīmekļa vietnēs par neaizsargātiem Irānas mitināšanas pakalpojumiem; tie, ko veidojis Gyamsarnegouni ("Sacelšanās līdz gāšanai"). Šīs grupas veiktie uzbrukumi bija vieni no dziļākajiem iefiltrēšanās gadījumiem pret Irānas valdības tīkliem.

Ziņojumā norādīts:

Šie uzbrukumi izcēlās ar trim galvenajām iezīmēm:

1. Iesūkšanās apmērs drošākajos valdības tīklos, kas ir salīdzināms tikai ar Stuxnet uzbrukumu (kurā tika izmantots zibatmiņas disks).

2. Izfiltrēto dokumentu apjoms.

3. Plaša piekļuve serveriem un datoriem.

Treadstone71 ziņojumā uzsvērts, ka valsts radio un televīzijas tīkli, īpaši tādās nedemokrātiskās valstīs kā Irāna, "ir vieni no izolētākajiem un visvairāk aizsargātajiem tīkliem". Tajā tālāk teikts: “Irānas iekšējais apraides tīkls nav savienots ar internetu un ir ļoti vājš; tas nozīmē, ka tas ir fiziski izolēts no interneta un tam var piekļūt tikai no iekšpuses... Vienīgais veids, kā nepiederoša persona piekļūt tīklam, būtu fiziska infiltrācija.

2022. gada janvārī Irānas ziņu mediji norādīja, ka valdības iestādes uzskata, ka šo uzbrukumu veikušas personas, kurām bija iekšēja informācija par Irānas valsts radio un TV sistēmām.

Uzbrukums Teherānas pašvaldības tīmekļa vietnēm 2. gada 2022. jūnijā ietvēra 5,000 kameru uzlaušanu, kas tika izmantotas satiksmes kontrolei un sejas atpazīšanai. Saskaņā ar Treadstone71 teikto, hakeri "būtu zinājuši, ka kameras nav savienotas ar internetu un ka viņiem būs jāiegūst fiziska piekļuve kamerām, lai tās uzlauztu".

Bet Treadstone71 pārsteidzošākie atklājumi ir saistīti ar diviem augsta līmeņa un uzmanību piesaistošajiem uzbrukumiem, ko veica Gyamsarnegouni maijs 2023.

Uzbrukuma laikā Irānas Ārlietu ministrijas vietnei hakeri ieguva piekļuvi 50 terabaitiem datu no ministrijas arhīviem. Treadstone71 novērtē, ka tas prasīja "iekļūšanu šīs valdības struktūras visdziļākajos slāņos. Nopludināto dokumentu būtība liecina, ka šādi dokumenti nebūtu pieejami no interneta, kas vēl vairāk apstiprina aizdomas par iekšējās personas iesaistīšanos".

Treadstone71 ekspertu novērtējumā secināts, ka "50 TB datu pārsūtīšana nebūtu iespējama attālināti — un filtrētā tīklā, piemēram, Irānas tīklā", un piebilda, ka uzlaušanas milzīgais apjoms atklāj arī to, kā tā tika veikta.

“Irāniešu parastais interneta lejupielādes ātrums ir 11.8 megabiti sekundē. 50 terabaitu datu lejupielāde no Irānas Ārlietu ministrijas šādā ātrumā prasītu vairāk nekā 392 dienas vai vairāk nekā gadu nepārtrauktu lejupielādes laiku, un Irānas internets bieži krītas, to ierobežo valdība un tiek regulāri valdības izraisīti elektroenerģijas padeves pārtraukumi, ” teikts ziņojumā.

"Pamatojoties uz šiem skaitļiem, šāds uzbrukums, ļoti iespējams, notika no tiešas piekļuves datiem."

Saistībā ar uzbrukumu prezidenta biroja vietnei hakeri uzlauza valdības drošākās sakaru sistēmas un ieguva desmitiem tūkstošu dokumentu, kas nebija vecāki par dažiem mēnešiem.

Saskaņā ar Irānas eksperta teikto, šī vietne "izmantoja īpašu IP adresi, kas bija necaurredzama".

"Arī fakts, ka hakeri ieguva piekļuvi desmitiem tūkstošu dokumentu, kas nav vecāki par dažiem mēnešiem, liecina, ka uzbrukumu veica iekšējās personas. Šie dokumenti būtu glabāti datoros ar ierobežotu piekļuvi internetam, un tas būtu bijis sarežģīti. lai tiem piekļūtu nepiederoša persona," norādīja Tredstouns71.

Ziņojuma noslēgumā teikts: “Irānas valdība sākotnēji vainoja ārvalstu pretiniekus. Tomēr kiberdrošības eksperti un arvien vairāk pierādījumu liecina par iekšējās personas iesaistīšanos.

Dalieties ar šo rakstu: