Kyberturvallisuusryhmä: Iranin hallituksen sivustoihin kohdistettuja operaatioita toteutettiin sisäisesti Iranissa

Merkittävä kyberturvallisuusryhmä on tutkinut Iranin hallituksen verkkosivustoja vastaan ​​tehtyjä operaatioita ja tullut siihen tulokseen, että Iranin Internetin rakenteen ja sen irtautumisen johdosta hallituksen verkkosivustoja vastaan, mukaan lukien valtion radiolle ja televisiolle kuuluneet, 27 Ulkoministeriö 2022. toukokuuta 7 ja presidentin virka 2023. toukokuuta 29 tapahtuivat soluttautumisen kautta, eivätkä ne voineet olla seurausta Iranin ulkopuolelta tapahtuvasta tunkeutumisesta.

Treadstone71-kyberturvallisuusryhmä on viime vuosina julkaissut useita raportteja Iranin hallituksesta ja sen kyberhyökkäyksistä ja on kehittynyt alan auktoriteetiksi.

Treadstonen71-raportissa korostetaan, että suuret hyökkäykset Iranin hallituksen sivustoihin johtuivat todennäköisimmin Iranin sisältä tunkeutumisesta, erityisesti sisäpiiriläisistä, joilla oli pääsy näihin järjestelmiin.

Lukuisat Iranin hallituksen tärkeimmät verkkosivustot sekä Teheranin kunnan verkkojärjestelmät ja kansalliset radio- ja televisioverkot ovat joutuneet massiivisten hyökkäysten kohteeksi tammikuusta 2022 lähtien.

Ryhmä "Gyamsarnegouni ("Kapina kukistamiseen") on ottanut vastuun tärkeimmistä hyökkäyksistä ja julkistanut Telegram-tilillään laajoja Iranin hallituksen sisäisiä asiakirjoja. Ryhmä on turmellut useiden verkkosivustojen kotisivut ja julkaissut yliviivattuja kuvia korkeimmasta johtajasta Ali Khameneista ja asettanut kuvia Iranin oppositiojohtajista.

Vuonna 2022 Albanian hallituksen Internet-rakenteet ja -palvelut joutuivat massiivisen kyberhyökkäyksen kohteeksi, mikä aiheutti monia ongelmia. Microsoftin ja muiden suorittama laaja tutkimus osoitti sormella Teherania.

Treadstone71:n arvion mukaan "Iranilla on pitkä historia kyberturvallisuushyökkäyksistä, ja joidenkin tilastojen mukaan se on viidenneksi kansakuntien joukossa, jotka tunnetaan vihollistensa kohdistamisesta kybersodan avulla."

Mainos

"Turvallisuussyistä", Treadstone71 huomauttaa raportissaan, "Iran päätti siirtää valtion verkkosivustonsa eurooppalaisista isännöintipalvelimista kotimaisille hosting-yrityksille osana kansallista Internetiä", ja sen seurauksena "kaikki hallitukset ja osavaltiot -hallitut verkkosivustot siirrettiin eurooppalaisista ja amerikkalaisista isännöintipalvelimista kotimaisille isännille", ja "pääsy tietyille hallituksen ja valtion valvomille verkkosivustoille rajoitettiin "kansalliseen Internetiin", mikä teki niihin pääsyn globaalin Internetin kautta."

Treadstone71:n raportissa korostettiin: "Olemme myös todistamassa erilaisen hyökkäyksen, joka oli erillään haavoittuvien Iranin isännöintipalveluiden hallituksen verkkosivustoille soluttautumisesta; ne, jotka Gyamsarnegouni ("Kapina kukistamiseen"). Tämän ryhmän tekemät hyökkäykset olivat syvimpiä soluttautumista Iranin hallituksen verkostoja vastaan.

Raportissa todetaan:

Nämä hyökkäykset erottuivat kolmen keskeisen ominaisuuden ansiosta:

1. Turvallisimpiin hallituksen verkkoihin tunkeutumisen laajuus, joka on verrattavissa vain Stuxnet-hyökkäykseen (jossa käytettiin flash-asemaa).

2. Selvitettyjen asiakirjojen määrä.

3. Laaja pääsy palvelimiin ja tietokoneisiin.

Treadstone71-raportissa korostetaan, että valtion radio- ja televisioverkot, erityisesti Iranin kaltaisissa epädemokraattisissa maissa, "ovat yksi eristyneimmistä ja suojatuimmista verkoista". Siinä sanotaan lisäksi: "Iranin sisäinen lähetysverkko ei ole yhteydessä Internetiin ja on vakavasti ilma-aukko; eli se on fyysisesti eristetty Internetistä ja siihen pääsee käsiksi vain sisältä… Ulkopuolisen ainoa tapa päästä verkkoon on fyysinen soluttautuminen.”

Tammikuussa 2022 Iranin uutismedia huomautti, että hallituksen instituutiot uskovat, että tämän hyökkäyksen tekivät henkilöt, joilla oli sisäpiiritietoa Iranin valtion radio- ja TV-järjestelmistä.

Teheranin kunnan verkkosivuille 2 tehty hyökkäys sisälsi 2022 5,000 liikenteenohjaukseen ja kasvojentunnistukseen käytetyn kameran murtautumisen. Treadstone71:n mukaan hakkerit "olisivat tienneet, että kamerat eivät olleet yhteydessä Internetiin ja että heidän olisi hankittava fyysinen pääsy kameroihin hakkeroidakseen ne."

Mutta Treadstone71:n hämmästyttävimmät löydöt liittyvät kahteen korkean profiilin ja huomiota herättävään hyökkäykseen. Gyamsarnegouni toukokuu 2023.

Iranin ulkoministeriön verkkosivuille tehdyn hyökkäyksen aikana hakkerit pääsivät käsiksi 50 teratavun tietoihin ministeriön arkistoista. Treadstone71:n arvion mukaan tämä edellytti "tunkeutumista tämän hallintoelimen sisimpiin kerroksiin. Vuotaneiden asiakirjojen luonne viittaa siihen, että tällaiset asiakirjat eivät olisi saatavilla Internetistä, mikä tukee entisestään epäilyjä sisäpiiriläisten osallisuudesta".

Treadstone71:n asiantuntija-arviossa todettiin, että "50 teratavun tiedon siirto ei olisi mahdollista etänä - ja suodatetussa verkossa, kuten Iranin verkossa", ja lisäsi, että hakkeroinnin pelkkä koko paljastaa myös sen, kuinka se toteutettiin.

"Iranin normaali Internet-latausnopeus on 11.8 megabittiä sekunnissa. 50 teratavun tiedon lataaminen Iranin ulkoministeriöstä tällä nopeudella kestäisi yli 392 päivää tai yli vuoden yhtäjaksoista latausaikaa, ja Iranin Internet usein heikkenee, hallitus rajoittaa sitä ja se kokee säännöllisiä hallituksen aiheuttamia sähkökatkoja, "raportissa todetaan.

"Näiden lukujen perusteella tällainen hyökkäys tapahtui erittäin todennäköisesti suorasta pääsystä tietoihin."

Presidentin kansliaa vastaan ​​tehdyn hyökkäyksen yhteydessä hakkerit murtautuivat hallituksen turvallisimpiin viestintäjärjestelmiin ja saivat haltuunsa kymmeniä tuhansia asiakirjoja, jotka olivat enintään muutaman kuukauden ikäisiä.

Iranilaisen asiantuntijan mukaan tällä sivustolla "käytettiin erillistä IP-osoitetta, joka oli läpitunkematon".

"Se, että hakkerit pääsivät käsiksi kymmeniin tuhansiin alle muutaman kuukauden ikäisiin asiakirjoihin, viittaa myös siihen, että hyökkäyksen tekivät sisäpiiriläiset. Nämä asiakirjat olisi tallennettu tietokoneille, joilla on rajoitettu pääsy Internetiin, ja se olisi ollut vaikeaa jotta ulkopuolinen pääsee käsiksi niihin", Treadstone71 sanoi.

Raportin lopussa sanottiin: "Iranin hallitus syytti aluksi ulkomaisia ​​vastustajia. Kyberturvallisuusasiantuntijat ja lisääntyvät todisteet viittaavat kuitenkin sisäpiiriläisten osallisuuteen."

Jaa tämä artikkeli: