Grupa za kibernetičku sigurnost: Operacije usmjerene na stranice iranske vlade izvršene su interno unutar Irana

Istaknuta skupina za kibernetičku sigurnost istražila je operacije protiv vladinih web stranica u Iranu i zaključila da zbog strukture iranskog interneta i njegove odvojenosti od globalnog interneta, operacije protiv vladinih web stranica, uključujući one koje pripadaju državnom radiju i televiziji 27. siječnja 2022. Ministarstvo vanjskih poslova 7. svibnja 2023. i ured predsjednika 29. svibnja 2023. provedeni su infiltracijom i nisu mogli biti rezultat prodora izvan Irana.

Posljednjih godina grupa za kibernetičku sigurnost Treadstone71 objavila je nekoliko izvješća o iranskoj vladi i njezinim kibernetičkim napadima te je evoluirala kao autoritet u ovom području.

Izvješće Treadstonea71 naglašava da su veliki napadi na web stranice iranske vlade najvjerojatnije izvedeni prodorima iz unutrašnjosti Irana, posebice insajdera koji su imali pristup tim sustavima.

Desetine najvažnijih web stranica iranske vlade, kao i internetski sustavi općine Teheran te nacionalne radio i televizijske mreže, bili su izloženi masovnim napadima od siječnja 2022.

Grupa "Gyamsarnegouni ("Ustanak do svrgavanja") je preuzeo odgovornost za glavne napade i otkrio opsežne interne vladine dokumente iranske vlade na svom Telegram računu. Grupa je unakazila početne stranice brojnih web stranica, postavljajući prekrižene slike vrhovnog vođe Alija Khameneija i postavljajući slike vođa iranske oporbe.

Godine 2022. internetske strukture i usluge albanske vlade bile su na meti masovnog kibernetičkog napada koji je prouzročio mnoge probleme. Opsežna istraga Microsofta i drugih upirala je prstom u Teheran.

Prema procjeni Treadstone71, "Iran ima dugu povijest angažiranja u napadima na kibernetičku sigurnost, a prema nekim statistikama nalazi se na petom mjestu među nacijama poznatim po tome što cilja svoje protivnike kroz kibernetičko ratovanje."

Oglas

"Kao sigurnosnu mjeru", primjećuje Treadstone71 u svom izvješću, "Iran je odlučio prebaciti svoje vladine web stranice s europskih hosting poslužitelja na domaće hosting tvrtke, kao dio svog 'Nacionalnog interneta'," i kao rezultat toga, "cijela vlada i država -kontrolirane web stranice premještene su s europskih i američkih hosting poslužitelja na domaće hostove”, a “pristup odabranim vladinim i državno kontroliranim web stranicama bio je ograničen na 'nacionalni internet', čineći ih nedostupnima putem globalnog interneta.”

Izvješće Treadstone71 naglašava: “Također smo svjedočili drugačijoj vrsti napada, odvojenom od onih koji su infiltrirali vladine web stranice na ranjive iranske usluge hostinga; one koje je napravio Gyamsarnegouni ("Ustanak do svrgavanja"). Napadi koje je izvela ova skupina bili su među najdubljim infiltracijama protiv mreža iranske vlade.”

Izvještaj napominje:

Ovi napadi su se istaknuli zbog tri ključne karakteristike:

1. Opseg infiltracije u najsigurnije vladine mreže, usporediv samo s napadom Stuxnet (koji je koristio flash pogon).

2. Količina eksfiltriranih dokumenata.

3. Raširen pristup poslužiteljima i računalima.

Treadstone71 izvješće naglašava da su državne radijske i televizijske mreže, osobito u nedemokratskim zemljama poput Irana, “među najizoliranijim i najzaštićenijim mrežama”. Dalje se kaže: “Iranska interna mreža emitiranja nije povezana s internetom i ozbiljno je zračno prekinuta; što znači da je fizički izolirana od interneta i može joj se pristupiti samo iznutra... Jedini način da stranac dobije pristup mreži bila bi fizička infiltracija”

U siječnju 2022. iranski mediji istaknuli su da vladine institucije vjeruju da su ovaj napad izveli pojedinci koji su imali povlaštene informacije o iranskim državnim radio i TV sustavima.

Napad na web stranice općine Teheran 2. lipnja 2022. uključivao je provalu u 5,000 kamera korištenih za kontrolu prometa i prepoznavanje lica. Prema Treadstone71, hakeri bi "znali da kamere nisu povezane s internetom i da bi morali dobiti fizički pristup kamerama kako bi ih hakirali."

Ali najiznenađujuća otkrića Treadstone71 povezana su s dva visokoprofilna napada koji privlače pažnju Gyamsarnegouni u svibnju 2023.

Tijekom napada na web stranicu iranskog Ministarstva vanjskih poslova, hakeri su došli do 50 terabajta podataka iz arhive Ministarstva. Procjena Treadstone71 je da je to zahtijevalo "prodor u najunutarnjije slojeve ovog vladinog tijela. Priroda dokumenata koji su procurili ukazuje da bi takvi dokumenti bili nedostupni s interneta, što dodatno podupire sumnje o umiješanosti insajdera."

Stručna procjena Treadstone71 zaključila je da “prijenos podataka od 50 TB ne bi bio moguć na daljinu – i na filtriranoj mreži kao što je ona u Iranu,” i dodao da sama veličina hakiranja također otkriva kako je izvedeno.

“Uobičajena brzina internetskog preuzimanja iranskog jezika je 11.8 megabita u sekundi. Za preuzimanje 50 terabajta podataka iz Ministarstva vanjskih poslova Irana pri ovoj brzini bilo bi potrebno više od 392 dana ili više od godinu dana neprekidnog preuzimanja, a iranski Internet često pada, guši ga vlada i doživljava redovite nestanke struje izazvane od strane vlade, “, navodi se u izvješću.

"Na temelju ovih brojeva, vrlo je vjerojatno da se takav napad dogodio iz izravnog pristupa podacima."

U vezi s napadom na web stranicu predsjedničkog ureda, hakeri su probili najsigurnije komunikacijske sustave vlade i došli do desetaka tisuća dokumenata koji nisu bili stariji od nekoliko mjeseci.

Prema iranskom stručnjaku, ova je stranica "koristila namjensku IP adresu koja je bila neprobojna."

"Činjenica da su hakeri dobili pristup desecima tisuća dokumenata koji nisu stariji od nekoliko mjeseci također sugerira da su napad izvršili insajderi. Ti bi dokumenti bili pohranjeni na računalima s ograničenim pristupom internetu i bilo bi teško kako bi im vanjski pristupio", izjavio je Treadstone71.

Izvješće je zaključeno riječima: “Iranska vlada isprva je pripisala krivnju stranim protivnicima. Međutim, stručnjaci za kibernetičku sigurnost i sve više dokaza sugeriraju umiješanost insajdera.”

Podijelite ovaj članak: