Kibernetinio saugumo grupė: operacijos, nukreiptos į Irano vyriausybės svetaines, buvo vykdomos Irano viduje

Garsi kibernetinio saugumo grupė ištyrė operacijas prieš vyriausybės svetaines Irane ir padarė išvadą, kad dėl Irano interneto struktūros ir jo atskyrimo nuo pasaulinio interneto 27 m. sausio 2022 d. operacijos prieš vyriausybės svetaines, įskaitant valstybiniam radijui ir televizijai Užsienio reikalų ministerija 7 m. gegužės 2023 d., o prezidento pareigos 29 m. gegužės 2023 d. buvo vykdomos infiltracijos būdu ir negalėjo būti prasiskverbimo iš už Irano ribų.

Pastaraisiais metais „Treadstone71“ kibernetinio saugumo grupė paskelbė keletą pranešimų apie Irano vyriausybę ir jos kibernetines atakas ir tapo šios srities autoritetu.

Treadstone71 ataskaitoje pabrėžiama, kad didelės atakos prieš Irano vyriausybės svetaines greičiausiai buvo įvykdytos iš Irano vidaus, ypač viešai neatskleistų asmenų, kurie turėjo prieigą prie šių sistemų.

Nuo 2022 m. sausio mėn. daugybė svarbiausių Irano vyriausybės svetainių, taip pat Teherano savivaldybės internetinės sistemos ir nacionaliniai radijo ir televizijos tinklai buvo surengtos didžiulių atakų.

Grupe "Gyamsarnegouni („Sukilimas iki nuvertimo“) prisiėmė atsakomybę už pagrindinius išpuolius ir savo Telegram paskyroje atskleidė didelius Irano vyriausybės vidaus vyriausybės dokumentus. Grupuotė sugadino daugelio svetainių pagrindinius puslapius, skelbdama perbrauktus aukščiausiojo lyderio Ali Khamenei vaizdus ir patalpindama Irano opozicijos lyderių nuotraukas.

2022 m. Albanijos vyriausybinės interneto struktūros ir paslaugos buvo nukreiptos į didžiulę kibernetinę ataką, kuri sukėlė daug problemų. Išsamus „Microsoft“ ir kitų atliktas tyrimas parodė pirštu į Teheraną.

„Treadstone71“ vertinimu, „Iranas turi ilgą kibernetinio saugumo atakų istoriją ir, remiantis kai kuriais statistiniais duomenimis, užima penktą vietą tarp tautų, žinomų kaip taikosi į savo priešus per kibernetinį karą“.

reklama

„Saugos sumetimais“, – savo ataskaitoje pažymi „Treadstone71“, „Iranas nusprendė perkelti savo vyriausybines svetaines iš Europos prieglobos serverių į vietines prieglobos įmones, kaip „nacionalinio interneto“ dalį“, ir dėl to „visos vyriausybės ir valstybės valdomos svetainės buvo perkeltos iš Europos ir Amerikos prieglobos serverių į vietinius pagrindinius kompiuterius“, o „prieiga prie pasirinktų vyriausybės ir valstybės kontroliuojamų svetainių buvo apribota „nacionaliniu internetu“, todėl jos tapo nepasiekiamos per pasaulinį internetą“.

„Treadstone71“ ataskaitoje pabrėžta: „Mes taip pat matėme kitokio pobūdžio išpuolį, atskirtą nuo tų, kurie įsiskverbė į vyriausybines svetaines apie pažeidžiamas Irano prieglobos paslaugas; tie, kuriuos sukūrė Gyamsarnegouni („Sukilimas iki nuvertimo“). Šios grupės išpuoliai buvo vieni iš giliausių įsiskverbimų prieš Irano vyriausybės tinklus.

Ataskaitoje pažymima:

Šios atakos išsiskyrė dėl trijų pagrindinių savybių:

1. Įsiskverbimo į saugiausius vyriausybinius tinklus mastas, panašus tik į Stuxnet ataką (kurioje buvo naudojamas „flash drive“).

2. Išfiltruotų dokumentų apimtis.

3. Plačiai paplitusi prieiga prie serverių ir kompiuterių.

Treadstone71 ataskaitoje pabrėžiama, kad valstybiniai radijo ir televizijos tinklai, ypač tokiose nedemokratinėse šalyse kaip Iranas, „yra vieni labiausiai izoliuotų ir labiausiai apsaugotų tinklų“. Jame taip pat sakoma: „Irano vidinis transliavimo tinklas nėra prijungtas prie interneto ir yra labai oro trūkumas; Tai reiškia, kad jis yra fiziškai izoliuotas nuo interneto ir gali būti pasiekiamas tik iš vidaus... Vienintelis būdas pašaliniams asmenims pasiekti tinklą būtų fizinis įsiskverbimas.

2022 m. sausį Irano žiniasklaida nurodė, kad vyriausybės institucijos mano, kad šią ataką įvykdė asmenys, turėję viešai neatskleistos informacijos apie Irano valstybines radijo ir televizijos sistemas.

2 m. birželio 2022 d. ataka prieš Teherano savivaldybės svetaines apėmė 5,000 71 kamerų, naudojamų eismo kontrolei ir veido atpažinimui. „TreadstoneXNUMX“ teigimu, įsilaužėliai „būtų žinoję, kad kameros neprijungtos prie interneto ir kad jie turės gauti fizinę prieigą prie kamerų, kad galėtų į jas įsilaužti“.

Tačiau labiausiai stebinantys „Treadstone71“ atradimai yra susiję su dviem didelio atgarsio ir dėmesį patraukiančiais išpuoliais. Gyamsarnegouni gegužė 2023.

Per ataką Irano užsienio reikalų ministerijos svetainėje įsilaužėliai gavo prieigą prie 50 terabaitų duomenų iš ministerijos archyvų. „Treadstone71“ vertinimu, tam reikėjo „įsiskverbti į pačius vidinius šios vyriausybinės institucijos sluoksnius. Nutekintų dokumentų pobūdis rodo, kad tokie dokumentai būtų nepasiekiami iš interneto, o tai dar labiau patvirtina įtarimus dėl viešai neatskleistos informacijos“.

„Treadstone71“ ekspertų vertinime padaryta išvada, kad „50 TB duomenų perkėlimas nuotoliniu būdu nebūtų įmanomas ir tokiame filtruotame tinkle kaip Iranas“, ir pridūrė, kad didžiulis įsilaužimo dydis taip pat atskleidžia, kaip jis buvo atliktas.

„Įprastas iraniečių interneto atsisiuntimo greitis yra 11.8 megabitai per sekundę. 50 terabaitų duomenų atsisiuntimas iš Irano užsienio reikalų ministerijos tokiu greičiu užtruktų daugiau nei 392 dienas arba daugiau nei metus nepertraukiamo atsisiuntimo laiko, o Irano internetas dažnai krenta, jį stabdo vyriausybė ir jis patiria reguliarius vyriausybės sukeltus elektros energijos tiekimo sutrikimus, “ – teigiama pranešime.

„Remiantis šiais skaičiais, labai tikėtina, kad tokia ataka įvyko dėl tiesioginės prieigos prie duomenų.

Kalbant apie ataką prezidentūros svetainėje, programišiai pažeidė saugiausias vyriausybės ryšių sistemas ir gavo dešimtis tūkstančių ne senesnių nei kelių mėnesių dokumentų.

Pasak Irano eksperto, ši svetainė „naudojo tam skirtą IP adresą, kuris buvo nepralaidus“.

„Tai, kad įsilaužėliai gavo prieigą prie dešimčių tūkstančių ne senesnių nei kelių mėnesių dokumentų, taip pat rodo, kad ataką surengė viešai neatskleista informacija. Šie dokumentai būtų buvę saugomi kompiuteriuose su ribota prieiga prie interneto ir būtų buvę sunku. kad pašalinis asmuo galėtų prie jų prieiti“, – teigė Treadstone71.

Ataskaitos pabaigoje sakoma: „Irano vyriausybė iš pradžių kaltino užsienio priešininkus. Tačiau kibernetinio saugumo ekspertai ir vis daugėjantys įrodymai rodo, kad tai yra viešai neatskleista informacija.

Pasidalinkite šiuo straipsniu: