Skupina pre kybernetickú bezpečnosť: Operácie zamerané na stránky iránskej vlády boli interne vykonané v Iráne

Prominentná skupina pre kybernetickú bezpečnosť vyšetrovala operácie proti vládnym webovým stránkam v Iráne a dospela k záveru, že v dôsledku štruktúry iránskeho internetu a jeho oddelenia od globálneho internetu, operácie proti vládnym webovým stránkam vrátane tých, ktoré patria štátnemu rozhlasu a televízii 27. januára 2022, Ministerstvo zahraničných vecí 7. mája 2023 a kancelária prezidenta 29. mája 2023 boli vedené infiltráciou a nemohli byť výsledkom prieniku mimo Iránu.

V posledných rokoch skupina pre kybernetickú bezpečnosť Treadstone71 zverejnila niekoľko správ o iránskej vláde a jej kybernetických útokoch a vyvinula sa ako autorita v tejto oblasti.

Správa Treadstone71 podčiarkuje, že veľké útoky na sídla iránskej vlády boli s najväčšou pravdepodobnosťou uskutočnené prienikmi zvnútra Iránu, najmä zasvätenými osobami, ktoré mali prístup k týmto systémom.

Množstvo najdôležitejších webových stránok iránskej vlády, ako aj online systémy teheránskej samosprávy a národných rozhlasových a televíznych sietí sú od januára 2022 vystavené masívnym útokom.

Skupina "Gyamsarnegouni ("Povstanie do zvrhnutia") prevzala zodpovednosť za hlavné útoky a na svojom telegramovom účte zverejnila rozsiahle interné vládne dokumenty iránskej vlády. Skupina znehodnotila domovské stránky mnohých webových stránok, zverejnila preškrtnuté obrázky najvyššieho vodcu Alího Chameneího a umiestnila obrázky iránskych opozičných vodcov.

V roku 2022 boli albánske vládne internetové štruktúry a služby terčom masívneho kybernetického útoku, ktorý spôsobil množstvo problémov. Rozsiahle vyšetrovanie Microsoftu a ďalších ukázalo prstom na Teherán.

Podľa hodnotenia Treadstone71 „Irán má dlhoročnú históriu zapájania sa do kybernetických bezpečnostných útokov a podľa niektorých štatistík je na piatom mieste medzi národmi, o ktorých je známe, že sa zameriavajú na svojich protivníkov prostredníctvom kybernetickej vojny.“

Reklama

„Ako bezpečnostné opatrenie,“ poznamenáva Treadstone71 vo svojej správe, „Irán sa rozhodol presunúť svoje vládne webové stránky z európskych hostingových serverov na domáce hostingové spoločnosti ako súčasť svojho „národného internetu“ a v dôsledku toho „všetky vlády a štáty -kontrolované webové stránky boli premiestnené z európskych a amerických hostiteľských serverov na domácich hostiteľov a "prístup k vybraným vládnym a štátom kontrolovaným webovým stránkam bol obmedzený na "národný internet", čím sa stali nedostupnými cez globálny internet."

Správa Treadstone71 zdôraznila: „Boli sme tiež svedkami iného druhu útoku, ktorý bol odlišný od tých, ktoré prenikli na vládne webové stránky na zraniteľné iránske hostingové služby; tie, ktoré vytvoril Gyamsarnegouni ("Povstanie do zvrhnutia"). Útoky tejto skupiny patrili k najhlbším infiltráciám proti sieťam iránskej vlády.

Správa poznamenáva:

Tieto útoky vynikli vďaka trom kľúčovým charakteristikám:

1. Rozsah infiltrácie do najbezpečnejších vládnych sietí, porovnateľný len s útokom Stuxnet (pri ktorom bol použitý flash disk).

2. Objem exfiltrovaných dokumentov.

3. Široký prístup k serverom a počítačom.

Správa Treadstone71 zdôrazňuje, že štátne rozhlasové a televízne siete, najmä v nedemokratických krajinách, ako je Irán, „patria medzi najizolovanejšie a najviac chránené siete“. Ďalej sa v ňom píše: „Iránska vnútorná vysielacia sieť nie je pripojená k internetu a má vážne vzduchové medzery; čo znamená, že je fyzicky izolovaný od internetu a dá sa k nemu pristupovať iba zvnútra… Jediný spôsob, ako by sa k sieti mohol dostať cudzinec, by bola fyzická infiltrácia“

V januári 2022 iránske spravodajské médiá poukázali na to, že vládne inštitúcie sa domnievajú, že tento útok spáchali jednotlivci, ktorí mali dôverné informácie o iránskych štátnych rozhlasových a televíznych systémoch.

Útok na webové stránky teheránskej samosprávy 2. júna 2022 zahŕňal vlámanie do 5,000 71 kamier používaných na riadenie dopravy a rozpoznávanie tváre. Podľa TreadstoneXNUMX hackeri „by vedeli, že kamery nie sú pripojené k internetu a že na ich hacknutie budú musieť získať fyzický prístup ku kamerám“.

Ale najúžasnejšie zistenia Treadstone71 súvisia s dvoma vysokoprofilovými útokmi, ktoré upútali pozornosť Gyamsarnegouni mája 2023.

Počas útoku na webovú stránku iránskeho ministerstva zahraničných vecí získali hackeri prístup k 50 terabajtom údajov z archívov ministerstva. Hodnotenie Treadstone71 je, že si to vyžadovalo "preniknutie do najvnútornejších vrstiev tohto vládneho orgánu. Povaha uniknutých dokumentov naznačuje, že takéto dokumenty by boli nedostupné z internetu, čo ďalej podporuje podozrenie zo zapojenia zasvätených osôb."

Expertné hodnotenie spoločnosti Treadstone71 dospelo k záveru, že „prenos 50 TB údajov by nebol možný na diaľku – a vo filtrovanej sieti, akou je sieť Iránu“, a dodal, že samotná veľkosť hacku tiež odhaľuje, ako bol vykonaný.

„Bežná rýchlosť sťahovania z internetu v Iráne je 11.8 megabitov za sekundu. Stiahnutie 50 terabajtov údajov z ministerstva zahraničných vecí Iránu touto rýchlosťou by trvalo viac ako 392 dní alebo viac ako rok nepretržitého sťahovania a iránsky internet často klesá, je obmedzovaný vládou a dochádza k pravidelným výpadkom spôsobeným vládou, “ uvádza sa v správe.

"Na základe týchto čísel je veľmi pravdepodobné, že k takémuto útoku došlo z priameho prístupu k údajom."

V súvislosti s útokom na webovú stránku prezidentskej kancelárie hackeri prelomili najbezpečnejšie komunikačné systémy vlády a získali desaťtisíce dokumentov, ktoré neboli staršie ako niekoľko mesiacov.

Podľa iránskeho odborníka táto stránka „používala vyhradenú IP adresu, ktorá bola nepreniknuteľná“.

"Skutočnosť, že hackeri získali prístup k desiatkam tisícom dokumentov nie starším ako niekoľko mesiacov, tiež naznačuje, že útok vykonali zasvätení. Tieto dokumenty by boli uložené na počítačoch s obmedzeným prístupom na internet a bolo by ťažké aby k nim mal prístup cudzinec,“ uviedol Treadstone71.

V závere správy sa uvádza: „Iránska vláda spočiatku pripisovala vinu zahraničným protivníkom. Odborníci na kybernetickú bezpečnosť a pribúdajúce dôkazy však naznačujú zapojenie zasvätených osôb.“

Zdieľaj tento článok: