Група за сајбер безбедност: Операције усмерене на сајтове иранске владе интерно су извршене у Ирану

Истакнута група за сајбер безбедност истражила је операције против владиних веб страница у Ирану и закључила да су због структуре иранског интернета и његове одвојености од глобалног интернета, операције против владиних веб локација, укључујући и оне које припадају државној радио-телевизији 27. јануара 2022. Министарство спољних послова 7. маја 2023. и кабинет председника 29. маја 2023. спроведени су инфилтрацијом и нису могли бити резултат продора изван Ирана.

Последњих година, група за сајбер безбедност Треадстоне71 објавила је неколико извештаја о иранској влади и њеним сајбер нападима и еволуирала је као ауторитет у овој области.

Извештај Треадстоне71 наглашава да су велики напади на сајтове иранске владе највероватније изведени продорима из унутрашњости Ирана, посебно инсајдера који су имали приступ овим системима.

Велики број најважнијих веб страница иранске владе, као и онлајн системи општине Техеран и националне радио и телевизијске мреже, били су подвргнути масовним нападима од јануара 2022.

Група "Гјамсарнегуни ("Устанак до свргавања") је преузео одговорност за главне нападе и открио обимне интерне владине документе иранске владе на свом Телеграм налогу. Група је нарушила почетне странице бројних веб страница, постављајући прецртане слике врховног вође Алија Хамнеија и постављајући слике иранских опозиционих лидера.

Године 2022. интернет структуре и услуге албанске владе биле су на мети масивног сајбер напада, који је изазвао многе проблеме. Опсежна истрага Мајкрософта и других упрла је прст у Техеран.

Према оцени Треадстоне71, „Иран има дугу историју ангажовања у нападима на сајбер безбедност, а према неким статистикама, заузима пето место међу нацијама познатим по томе што циљају своје противнике путем сајбер ратовања.“

реклама

„Као мера предострожности“, наводи Треадстоне71 у свом извештају, „Иран је одлучио да своје владине веб странице премести са европских хостинг сервера на домаће хостинг компаније, као део свог 'Националног интернета',“ и као резултат тога, „Сва влада и држава -контролисане веб локације су премештене са европских и америчких хостинг сервера на домаће хостове,” а „приступ одабраним веб локацијама које контролише држава и држава је био ограничен на 'Национални интернет', што их је учинило недоступним путем глобалног интернета.”

Извештај Треадстоне71 је подвукао, „такође смо били сведоци другачије врсте напада, одвојеног од оних који су се инфилтрирали на владине веб странице на рањивим иранским хостинг услугама; оне које је направио Гјамсарнегоуни („Устанак до свргавања“). Напади које је извела ова група били су међу најдубљим инфилтрацијама на мреже иранске владе.

Извештај бележи:

Ови напади су се издвојили због три кључне карактеристике:

1. Степен инфилтрације у најбезбедније владине мреже, упоредив само са Стукнет нападом (који је користио флеш диск).

2. Обим ексфилтрираних докумената.

3. Широк приступ серверима и рачунарима.

Извештај Треадстоне71 наглашава да су државне радио и телевизијске мреже, посебно у недемократским земљама попут Ирана, „међу најизолованијим и најзаштићенијим мрежама“. У њему се даље каже: „Иранска интерна мрежа за емитовање није повезана на интернет и веома је затворена; што значи да је физички изолован од интернета и да му се може приступити само изнутра... Једини начин да странац добије приступ мрежи био би путем физичке инфилтрације”

У јануару 2022, ирански медији су истакли да владине институције верују да су овај напад извршили појединци који су имали повлашћене информације о иранским државним радио и ТВ системима.

Напад на сајтове општине Техеран 2. јуна 2022. укључивао је провалу у 5,000 камера које су користиле за контролу саобраћаја и препознавање лица. Према Треадстонеу71, хакери би „били знали да камере нису повезане са интернетом и да ће морати да добију физички приступ камерама да би их хаковали.

Али најневероватнији налази Треадстоне71 односе се на два напада високог профила и привлаче пажњу од Гиамсарнегоуни у мају КСНУМКС.

Током напада на сајт иранског Министарства спољних послова, хакери су добили приступ до 50 терабајта података из архиве Министарства. Процена Треадстоне71 је да је то захтевало „продирање у најдубље слојеве овог владиног тела. Природа докумената који су процурели указује на то да би такви документи били недоступни са интернета, што додатно поткрепљује сумње о умешаности инсајдера“.

Стручна процена Треадстоне71 је закључила да „пренос података од 50 ТБ не би био могућ на даљину – и на филтрираној мрежи као што је иранска“, и додала да сама величина хаковања такође открива како је извршен.

„Нормална брзина преузимања интернета за Иран је 11.8 мегабита у секунди. За преузимање 50 терабајта података из Министарства спољних послова Ирана овом брзином било би потребно више од 392 дана или више од годину дана непрекидног преузимања, а ирански интернет често пада, влада га гуши и има редовне нестанке које изазива влада, “, наводи се у извештају.

„На основу ових бројева, такав напад се врло вероватно догодио из директног приступа подацима.

У вези са нападом на сајт председничке канцеларије, хакери су провалили у најбезбедније комуникационе системе владе и дошли до десетина хиљада докумената старих не више од неколико месеци.

Према иранском стручњаку, овај сајт је „користио наменску ИП адресу која је била непробојна“.

"Чињеница да су хакери добили приступ десетинама хиљада докумената старих не више од неколико месеци такође сугерише да су напад извели инсајдери. Ови документи би били ускладиштени на рачунарима са ограниченим приступом Интернету, а то би било тешко. да им приступи неки аутсајдер“, навео је Треадстоне71.

Извештај је завршио следећим речима: „Иранска влада је првобитно приписивала кривицу страним противницима. Међутим, стручњаци за сајбер безбедност и све већи докази указују на умешаност инсајдера.

Поделите овај чланак: