Ομάδα Κυβερνοασφάλειας: Επιχειρήσεις που στόχευαν τοποθεσίες της ιρανικής κυβέρνησης εκτελέστηκαν εσωτερικά εντός του Ιράν

Μια εξέχουσα ομάδα κυβερνοασφάλειας ερεύνησε επιχειρήσεις εναντίον κυβερνητικών ιστοσελίδων στο Ιράν και κατέληξε στο συμπέρασμα ότι λόγω της δομής του Διαδικτύου του Ιράν και του διαχωρισμού του από το παγκόσμιο Διαδίκτυο, επιχειρήσεις κατά κυβερνητικών ιστοτόπων, συμπεριλαμβανομένων αυτών που ανήκουν στην κρατική Ραδιοφωνία και Τηλεόραση στις 27 Ιανουαρίου 2022, το Υπουργείο Εξωτερικών στις 7 Μαΐου 2023 και το γραφείο του προέδρου στις 29 Μαΐου 2023. δεν ήταν αποτέλεσμα διείσδυσης από το εξωτερικό του Ιράν.

Τα τελευταία χρόνια, η ομάδα ασφάλειας στον κυβερνοχώρο Treadstone71 έχει δημοσιεύσει αρκετές εκθέσεις για την ιρανική κυβέρνηση και τις κυβερνοεπιθέσεις της και έχει εξελιχθεί ως αρχή σε αυτόν τον τομέα.

Η έκθεση Treadstone71 υπογραμμίζει ότι οι μεγάλες επιθέσεις στις τοποθεσίες της ιρανικής κυβέρνησης πιθανότατα πραγματοποιήθηκαν από διεισδύσεις από το εσωτερικό του Ιράν, ιδίως από κατοίκους που είχαν πρόσβαση σε αυτά τα συστήματα.

Δεκάδες από τους σημαντικότερους ιστότοπους της ιρανικής κυβέρνησης, καθώς και διαδικτυακά συστήματα του δήμου της Τεχεράνης και εθνικά ραδιοφωνικά και τηλεοπτικά δίκτυα, έχουν υποστεί μαζικές επιθέσεις από τον Ιανουάριο του 2022.

Η ομάδα "Gyamsarnegouni ("Εξέγερση μέχρι ανατροπής") έχει αναλάβει την ευθύνη για τις κύριες επιθέσεις και έχει αποκαλύψει εκτενή εσωτερικά κυβερνητικά έγγραφα της ιρανικής κυβέρνησης στον λογαριασμό της στο Telegram. Η ομάδα έχει παραποιήσει τις αρχικές σελίδες ορισμένων ιστοσελίδων, δημοσιεύοντας διαγραμμένες εικόνες του Ανώτατου Ηγέτη Αλί Χαμενεΐ και τοποθετώντας τις φωτογραφίες των ηγετών της ιρανικής αντιπολίτευσης.

Το 2022, οι κυβερνητικές δομές και υπηρεσίες διαδικτύου της Αλβανίας έγιναν στόχος μιας μαζικής κυβερνοεπίθεσης, η οποία προκάλεσε πολλά προβλήματα. Η εκτεταμένη έρευνα από τη Microsoft και άλλους έδειξε το δάχτυλο στην Τεχεράνη.

Σύμφωνα με την εκτίμηση του Treadstone71, «Το Ιράν έχει μακρά ιστορία εμπλοκής σε επιθέσεις κυβερνοασφάλειας και σύμφωνα με ορισμένα στατιστικά στοιχεία, κατατάσσεται στην πέμπτη θέση μεταξύ των εθνών που είναι γνωστά για τη στόχευση των αντιπάλων τους μέσω κυβερνοπολέμου».

«Ως προφύλαξη ασφαλείας», σημειώνει ο Treadstone71 στην έκθεσή του, «το Ιράν αποφάσισε να μετατοπίσει τους κυβερνητικούς ιστοτόπους του από ευρωπαϊκούς διακομιστές φιλοξενίας σε εγχώριες εταιρείες φιλοξενίας, ως μέρος του «Εθνικού Διαδικτύου»» και ως αποτέλεσμα, «Όλοι οι κυβερνητικοί και ελεγχόμενοι από το κράτος ιστότοποι μετεγκαταστάθηκαν από ευρωπαϊκούς και αμερικανικούς διακομιστές φιλοξενίας σε εγχώριους οικοδεσπότες», και «περιορίστηκε η πρόσβαση σε επιλεγμένους κυβερνητικούς ιστότοπους». απρόσιτη μέσω του παγκόσμιου Διαδικτύου».

Η έκθεση Treadstone71 υπογράμμισε, "είμαστε επίσης μάρτυρες ενός διαφορετικού είδους επιθέσεων, ξεχωριστών από αυτές που διείσδυσαν σε κυβερνητικούς ιστότοπους σε ευάλωτες ιρανικές υπηρεσίες φιλοξενίας, αυτές που έγιναν από τον Gyamsarnegouni ("Urising to Overthrow"). Οι επιθέσεις που πραγματοποιήθηκαν από αυτήν την ομάδα ήταν από τις βαθύτερες διεισδύσεις στα δίκτυα της ιρανικής κυβέρνησης."

Η έκθεση σημειώνει:

Αυτές οι επιθέσεις ξεχώρισαν λόγω τριών βασικών χαρακτηριστικών:

1. Η έκταση της διείσδυσης στα πιο ασφαλή κυβερνητικά δίκτυα, συγκρίσιμη μόνο με την επίθεση Stuxnet (η οποία χρησιμοποιούσε μονάδα flash).

2. Ο όγκος των διεξαχθείτων εγγράφων.

3. Η ευρεία πρόσβαση σε διακομιστές και υπολογιστές.

Η έκθεση Treadstone71 υπογραμμίζει ότι τα κρατικά ραδιοφωνικά και τηλεοπτικά δίκτυα, ιδιαίτερα σε μη δημοκρατικές χώρες όπως το Ιράν, «είναι από τα πιο απομονωμένα και πιο προστατευμένα δίκτυα». Λέει περαιτέρω: «Το εσωτερικό δίκτυο εκπομπών του Ιράν δεν είναι συνδεδεμένο στο Διαδίκτυο και έχει σοβαρό διάκενο αέρα· σημαίνει ότι είναι φυσικά απομονωμένο από το Διαδίκτυο και μπορεί να έχει πρόσβαση μόνο από μέσα… Ο μόνος τρόπος για έναν ξένο να αποκτήσει πρόσβαση στο δίκτυο θα ήταν μέσω φυσικής διείσδυσης».

Τον Ιανουάριο του 2022, τα ιρανικά μέσα ενημέρωσης τόνισαν ότι οι κυβερνητικοί θεσμοί πιστεύουν ότι αυτή η επίθεση πραγματοποιήθηκε από άτομα που είχαν εμπιστευτικές πληροφορίες σχετικά με τα κρατικά ραδιοφωνικά και τηλεοπτικά συστήματα του Ιράν.

Η επίθεση στις ιστοσελίδες του δήμου της Τεχεράνης στις 2 Ιουνίου 2022 περιελάμβανε διάρρηξη 5,000 καμερών που χρησιμοποιούνται για τον έλεγχο της κυκλοφορίας και την αναγνώριση προσώπου. Σύμφωνα με τον Treadstone71, οι χάκερ «θα ήξεραν ότι οι κάμερες δεν ήταν συνδεδεμένες στο Διαδίκτυο και ότι θα έπρεπε να αποκτήσουν φυσική πρόσβαση στις κάμερες για να τις χακάρουν».

Αλλά τα πιο εντυπωσιακά ευρήματα του Treadstone71 σχετίζονται με τις δύο επιθέσεις υψηλού προφίλ και που τραβούν την προσοχή από Γυαμσαρνεγκούνη Μάιος 2023.

Κατά τη διάρκεια της επίθεσης στον ιστότοπο του ιρανικού Υπουργείου Εξωτερικών, χάκερ απέκτησαν πρόσβαση σε 50 terabytes δεδομένων από τα αρχεία του υπουργείου. Η εκτίμηση του Treadstone71 είναι ότι αυτό απαιτούσε "διείσδυση στα πιο εσωτερικά στρώματα αυτού του κυβερνητικού φορέα. Η φύση των εγγράφων που διέρρευσαν υποδηλώνει ότι τέτοια έγγραφα θα ήταν απρόσιτα από το Διαδίκτυο, υποστηρίζοντας περαιτέρω υποψίες εμπλοκής από εμπιστευτικές πληροφορίες."

Η αξιολόγηση εμπειρογνωμόνων του Treadstone71 κατέληξε στο συμπέρασμα ότι «η μεταφορά δεδομένων 50 TB δεν θα ήταν δυνατή εξ αποστάσεως – και σε ένα φιλτραρισμένο δίκτυο όπως αυτό του Ιράν», και πρόσθεσε ότι το τεράστιο μέγεθος της εισβολής είναι επίσης αποκαλυπτικό για τον τρόπο διεξαγωγής της.

«Η κανονική ταχύτητα λήψης από το Διαδίκτυο του Ιρανού είναι 11.8 megabits ανά δευτερόλεπτο. Για να κατεβάσετε 50 terabytes δεδομένων από το Υπουργείο Εξωτερικών του Ιράν με αυτή την ταχύτητα θα χρειαζόταν πάνω από 392 ημέρες ή πάνω από ένα χρόνο αδιάλειπτης λήψης και το Διαδίκτυο του Ιράν πέφτει συχνά, περιορίζεται από την κυβέρνηση και αντιμετωπίζει τακτικές διακοπές ρεύματος που προκαλούνται από την κυβέρνηση, », ανέφερε η έκθεση.

«Με βάση αυτούς τους αριθμούς, μια τέτοια επίθεση είναι πολύ πιθανό να συνέβη από άμεση πρόσβαση στα δεδομένα».

Σε σχέση με την επίθεση στην ιστοσελίδα του προεδρικού γραφείου, οι χάκερ παραβίασαν τα πιο ασφαλή συστήματα επικοινωνίας της κυβέρνησης και απέκτησαν δεκάδες χιλιάδες έγγραφα που δεν ξεπερνούσαν τους μερικούς μήνες.

Σύμφωνα με έναν Ιρανό ειδικό, αυτός ο ιστότοπος «χρησιμοποιούσε μια αποκλειστική διεύθυνση IP που ήταν αδιαπέραστη».

"Το γεγονός ότι οι χάκερ απέκτησαν πρόσβαση σε δεκάδες χιλιάδες έγγραφα όχι περισσότερο από μερικούς μήνες, υποδηλώνει επίσης ότι οι μυστικοί διεξήγαγαν την επίθεση. Αυτά τα έγγραφα θα είχαν αποθηκευτεί σε υπολογιστές με περιορισμένη πρόσβαση στο Διαδίκτυο και θα ήταν δύσκολο για έναν ξένο να έχει πρόσβαση σε αυτά", δήλωσε ο Treadstone71.

Η έκθεση κατέληξε λέγοντας: «Η ιρανική κυβέρνηση αρχικά απέδωσε την ευθύνη σε ξένους αντιπάλους. Ωστόσο, οι εμπειρογνώμονες στον κυβερνοχώρο και τα αυξανόμενα στοιχεία υποδηλώνουν εμπιστευτική εμπλοκή».

Μοιραστείτε αυτό το άρθρο: