Група за киберсигурност: Операциите, насочени към правителствени сайтове на Иран, са извършени вътрешно в Иран

Известна група за киберсигурност е разследвала операции срещу правителствени уебсайтове в Иран и е стигнала до заключението, че поради структурата на интернет на Иран и отделянето му от глобалния интернет, операции срещу правителствени уебсайтове, включително тези, принадлежащи на държавното радио и телевизия на 27 януари 2022 г. Министерството на външните работи на 7 май 2023 г. и кабинетът на президента на 29 май 2023 г. са извършени чрез проникване и не могат да бъдат резултат от проникване извън Иран.

През последните години групата за киберсигурност Treadstone71 публикува няколко доклада за иранското правителство и неговите кибератаки и се разви като авторитет в тази област.

Докладът Treadstone71 подчертава, че големите атаки срещу сайтовете на иранското правителство най-вероятно са били извършени от прониквания отвътре в Иран, по-специално от вътрешни лица, които са имали достъп до тези системи.

Десетки от най-важните уебсайтове на иранското правителство, както и онлайн системите на община Техеран и националните радио и телевизионни мрежи са били подложени на масирани атаки от януари 2022 г.

групата "Gyamsarnegouni ("Въстание до събаряне") пое отговорност за основните атаки и разкри обширни вътрешни правителствени документи на иранското правителство в своя акаунт в Telegram. Групата обезобрази началните страници на редица уебсайтове, публикувайки зачеркнати изображения на върховния лидер Али Хаменей и поставяйки снимки на лидери на иранската опозиция.

През 2022 г. правителствените интернет структури и услуги на Албания бяха обект на масивна кибератака, която причини много проблеми. Задълбочено разследване на Microsoft и други насочи пръст към Техеран.

Според оценката на Treadstone71, „Иран има дългогодишна история на участие в атаки срещу киберсигурността и според някои статистики се нарежда на пето място сред нациите, известни с това, че атакуват своите противници чрез кибервойни.“

реклама

„Като предпазна мярка“, отбелязва Treadstone71 в доклада си, „Иран реши да прехвърли своите правителствени уебсайтове от европейски хостинг сървъри към местни хостинг компании, като част от своя „Национален интернет“, и в резултат на това „Цялото правителство и държава -контролирани уебсайтове бяха преместени от европейски и американски хостинг сървъри към местни хостове“ и „достъпът до избрани правителствени и контролирани от държавата уебсайтове беше ограничен до „Националния интернет“, което ги прави недостъпни през глобалния интернет.“

Докладът на Treadstone71 подчертава, „ние също станахме свидетели на различен вид атака, отделна от тези, които проникват в правителствени уебсайтове на уязвими ирански хостинг услуги; тези, направени от Гямсарнегуни („Въстание до разгром“). Атаките, извършени от тази група, бяха сред най-дълбоките прониквания срещу мрежите на иранското правителство.

Докладът отбелязва:

Тези атаки се откроиха поради три ключови характеристики:

1. Степента на проникване в най-сигурните правителствени мрежи, сравнима само с атаката Stuxnet (която използва флаш устройство).

2. Обемът на ексфилтрираните документи.

3. Широко разпространен достъп до сървъри и компютри.

Докладът Treadstone71 подчертава, че държавните радио и телевизионни мрежи, особено в недемократични страни като Иран, „са сред най-изолираните и най-защитените мрежи“. По-нататък се казва: „Вътрешната мрежа за излъчване на Иран не е свързана с интернет и има сериозна въздушна междина; което означава, че е физически изолиран от интернет и може да бъде достъпен само отвътре...Единственият начин външен човек да получи достъп до мрежата би бил чрез физическо проникване“

През януари 2022 г. иранските медии посочиха, че държавните институции смятат, че тази атака е извършена от лица, които са имали вътрешна информация за иранските държавни радио и телевизионни системи.

Атаката срещу уебсайтовете на община Техеран на 2 юни 2022 г. включва взлом на 5,000 камери, използвани за контрол на трафика и разпознаване на лица. Според Treadstone71 хакерите „биха знаели, че камерите не са свързани с интернет и че ще трябва да получат физически достъп до камерите, за да ги хакнат“.

Но най-стряскащите констатации на Treadstone71 са свързани с двете високопоставени и привличащи вниманието атаки от Гямсарнегуни Май 2023.

По време на атаката срещу уебсайта на Министерството на външните работи на Иран хакери получиха достъп до 50 терабайта данни от архивите на министерството. Оценката на Treadstone71 е, че това изисква "проникване в най-вътрешните слоеве на този правителствен орган. Естеството на изтеклите документи показва, че такива документи биха били недостъпни от интернет, което допълнително подкрепя подозренията за вътрешно участие."

Експертната оценка на Treadstone71 заключава, че „прехвърлянето на 50 TB данни не би било възможно дистанционно – и във филтрирана мрежа като тази на Иран“, и добавя, че самият размер на хака също разкрива как е бил извършен.

„Нормалната скорост на изтегляне от интернет на ирански е 11.8 мегабита в секунда. Изтеглянето на 50 терабайта данни от Министерството на външните работи на Иран с тази скорост ще отнеме над 392 дни или повече от година непрекъснато време за изтегляне, а интернет на Иран често пада, ограничава се от правителството и изпитва редовни прекъсвания, причинени от правителството, “, се казва в доклада.

„Въз основа на тези числа е много вероятно подобна атака да е възникнала от директен достъп до данните.“

Във връзка с атаката срещу уебсайта на президентската канцелария, хакерите пробиха най-сигурните комуникационни системи на правителството и се сдобиха с десетки хиляди документи на не повече от няколко месеца.

Според ирански експерт този сайт „използваше специален IP адрес, който беше непроницаем“.

„Фактът, че хакерите са получили достъп до десетки хиляди документи на не повече от няколко месеца, също предполага, че вътрешни лица са извършили атаката. Тези документи биха се съхранявали на компютри с ограничен достъп до интернет и би било трудно за достъп на външен човек до тях“, заяви Treadstone71.

Докладът завършва с думите: „Иранското правителство първоначално приписа вината на чуждестранни противници. Въпреки това експертите по киберсигурност и нарастващите доказателства предполагат вътрешно участие.

Споделете тази статия: