FLASH
Shkruar nga Pamfleti
Quando l'attore della minaccia e la vittima sono d'accordo
L'Iran ha una lunga storia di attacchi informatici e, secondo alcune statistiche, si colloca al quinto posto tra le nazioni note per aver preso di mira i propri avversari attraverso la guerra informatica. Nel corso degli anni, l'Iran ha scatenato gruppi di hacker contro vari Paesi, senza considerare i potenziali rischi per i sistemi di sicurezza interna.
Questo paradosso è evidente: nonostante l'aggressività della criminalità informatica, l'Iran non è riuscito a salvaguardare adeguatamente i propri sistemi di sicurezza interna e, di conseguenza, i dati dei suoi cittadini.
Nella seconda metà del 2022, sulla scia delle diffuse rivolte in tutto l'Iran, gli attacchi informatici contro i siti web del governo iraniano sono aumentati significativamente. Gruppi di hacker come Tapandegan, Labdookhtegan, Sparrow Predatory, Black Reward, Anonymous, Edalat-e ali e Ghyamsarnegouni hanno lanciato numerosi attacchi contro obiettivi governativi.
Come misura precauzionale di sicurezza, e a fronte dell'aumento delle sanzioni economiche, l'Iran ha deciso di trasferire i propri siti web governativi dai server di hosting europei a quelli di società di hosting nazionali, nell'ambito del suo programma "Internet Nazionale". Questa iniziativa mirava a isolare l'Iran dalla rete Internet globale e a creare una rete autosufficiente.
Per raggiungere questo obiettivo sono stati intrapresi due passi essenziali:
1. Tutti i siti web governativi controllati dallo Stato sono stati spostati dai server di hosting europei e americani ai server di hosting locali.
2. L'accesso a determinati siti web controllati dallo Stato era limitato alla "Internet nazionale", rendendoli inaccessibili tramite la rete Internet globale.
Di conseguenza, solo una piccola parte dei siti web del Ministero è rimasta accessibile sulla rete Internet globale. Queste misure sono state adottate per ottenere diversi vantaggi, come la riduzione della vulnerabilità alle sanzioni economiche e il contenimento del rischio di attacchi informatici da parte di attori esterni. Tuttavia, carenze critiche nell'infrastruttura di hosting locale, unite alla vulnerabilità dei sistemi di gestione dei contenuti (CMS), hanno reso questi sistemi vulnerabili agli attacchi informatici dall'interno.
Diversi fattori contribuiscono all'inadeguatezza dell'infrastruttura di sicurezza informatica dell'Iran:
- Il governo iraniano ha investito in modo significativo nella sicurezza informatica interna, forse a causa delle sanzioni economiche, delle priorità politiche e della scarsa consapevolezza dei rischi per la sicurezza informatica.
- La maggior parte dei finanziamenti è stata destinata alle difese esterne, utilizzando solo la sicurezza informatica interna per misure repressive contro i cittadini e il controllo attraverso il filtraggio del web.
Nel contesto di Dezhfa, il filtraggio web censura i contenuti ritenuti indesiderati dal governo iraniano. Dezhfa impedisce agli iraniani di:
-Visitare siti bloccati o utilizzare applicazioni bloccate.
- Svolgere attività sospette, come tentativi di accesso insoliti o l'accesso a file non autorizzati.
- Shkelja e rregulloreve të qeverisë, të tilla si ato që rregullojnë eksportin e të dhënave të ndjeshme.
-Shprehja e mendimeve të kundërta ose përfshirja në aktivizëm politik.
-Infrastruktura e sigurisë kibernetike e Iranit Dezhfa është e vjetëruar; ekspozon dobësi, edhe përballë sulmeve të kryera përmes sistemeve të brendshme të internetit.
-Qeveria dhe bizneset shpesh mbështeten në softuer dhe harduer të vjetëruar, për mungesë të teknologjisë moderne të sigurisë.
-Profesionistëve iranianë të sigurisë kibernetike u mungon trajnimi adekuat për t'u mbrojtur kundër sulmeve kibernetike të sofistikuara, me mundësi të kufizuara trajnimi të disponueshme brenda vendit.
-Mungesa e ndërgjegjësimit për rreziqet e sigurisë kibernetike tek popullata iraniane lehtëson më tej sulmet.
-Izolimi i Iranit nga komuniteti ndërkombëtar i sigurisë kibernetike pengon shkëmbimin e informacionit dhe adoptimin e praktikave më të mira.
-Ndërhyrja e qeverisë në përpjekjet për sigurinë kibernetike, e motivuar nga dëshira për të mbajtur kontrollin nëpërmjet internetit, në vend që të mbrojë asetet e informacionit, përbën një pengesë të konsiderueshme.
-Nuk ka asnjë autoritet të vetëm në Iran përgjegjës për sigurinë kibernetike. Kjo e bën të vështirë që të koordinojnë përpjekjet dhe tu përgjigjen sulmeve.
Në fund të shtatorit 2022, një seri sulmesh synuan shërbimet e dobëta të pritjes, duke rezultuar në shkeljen e uebfaqeve të ndryshme qeveritare. Objektivat e vërejtur në katërmbëdhjetë webfaqet, përfshijnë faqet e internetit të Udhëheqësit suprem Ali Khamenei, Bonyad Maskan (Fondacioni i Strehimit) dhe Këshillin Kombëtar Islamik.
Veçanërisht, faqja e internetit e Udhëheqësit Suprem ra viktimë e një sulmi DDoS, ndërsa shkeljet e synuara të të dhënave çuan në vjedhjen e të dhënave sekrete, duke përfshirë informacionin personal, të dhënat financiare dhe sekretet qeveritare. Sulmet DDoS ndërprenë më tej infrastrukturën kritike, si rrjetet e energjisë dhe rrjetet e komunikimit, duke zhvilluar në mënyrë efektive luftë politike dhe ekonomike kundër Iranit Mes këtyre sulmeve, ne dëshmuam gjithashtu një lloj tjetër sulmi, të ndarë nga ata që infiltrojnë faqet e internetit qeveritar për shërbimet e pritjes të pambrojtura iraniane; ato të krijuara nga Gyamsarnegouni ("Kryengritja deri në përmbysje"). Sulmet e kryera nga ky grup ishin ndër infiltrimet më të thella kundër rrjeteve të qeverisë iraniane.
Këto sulme u dalluan për shkak të tre karakteristikave kryesore:
1. Shtrirja e infiltrimit në rrjetet më të sigurta qeveritare, të krahasueshme vetëm me Sulmi Stuxnet (i cili përdori një flash drive).
2. Vëllimi i dokumenteve të ekfiltruara.
3. Qasja e përhapur në serverë dhe kompjuterë.
Më poshtë, ne shqyrtojmë sulmet specifike të kryera nga ky grup, para dhe pas trazirave të vitit 2022.
Sulm kundër shërbimit transmetues të Iranit (IRIB)
Në këtë sulm, hakerët depërtuan në rrjetet e transmetimit televiziv dhe radio. Në mënyrë tipike, këto rrjete janë ndër më të izoluarit dhe më të mbrojturit, veçanërisht në vendet jodemokratike.
Rrjeti i brendshëm i transmetimit të Iranit nuk është i lidhur me internetin dhe ka boshllëk të madh ajror; do të thotë se është fizikisht i izoluar nga interneti dhe mund të aksesohet vetëm nga brenda. Kështu, sulmet e huaja janë jashtëzakonisht sfiduese.
Mënyra e vetme që një i huaj të fitojë akses në rrjet do të ishte përmes infiltrimit fizik të rrjetit rrjet ose për të fituar akses në një sistem të brendshëm që është i lidhur me rrjetin.
Hakerimi i dha akses përdorimit të kompiuterave dhe gjeneratorëve të tipit (CG), duke u mundësuar gjithashtu hakerëve të transmetojnë përmbajtjen e tyre.
Agjencitë iraniane të lajmeve fillimisht spekuluan me idenë për një përfshirje të brendshme, duke pasur parasysh natyrën unike të shkeljes.
Sipas Tasnim1: “Ka mundësi që një person i brendshëm të jetë përgjegjës për sulmin e hipokritëve kundër IRIB." duke shtuar: "Duke pasur parasysh se aktiviteti playout nuk kryhet në internet, madje edhe nëse ka ndonjë lidhje, është në intranet, duhet, ndër të tjera, të konsiderohet puna e të brendshëmvet si mirë."
Sipas "Akharin Akhbar2" (Lajmet e fundit), një rrjet lajmesh shtetëror iranian, “sistemet teknike të transmetimit janë plotësisht të izoluara; ato janë të pajisura me protokolle sigurie të pranueshme dhe nuk janë të aksesueshme nëpërmjet internetit." Lajmi shtoi se sipas forcave të sigurisë të lidhura me rrjetin e transmetimit të regjimit, sabotimi ishte skenari më i mundshëm. Fakti që agjencitë e lajmeve iraniane sugjeruan menjëherë se sulmi ishte kryer nga të brendshëm është gjithashtu i rëndësishëm, duke sugjeruar se njësitë qeveritare besojnë se sulmi është kryer nga dikush që kishte njohuri të brendshme për sistemet IRIB.
Sipas një raporti nga CheckPoint3, ndërsa pretendohet se mënyra e hyrjes fillestare nuk është ende e qartë, "mjetet e sulmuesve janë të cilësisë dhe sofistikimit relativisht të ulët" të cilat "mund të mbështesin teorinë që sulmuesit mund të kenë pasur ndihmë nga brenda IRIB, ose tregojnë një bashkëpunim ende të panjohur mes grupeve të ndryshme me aftësi të ndryshme.” Raporti gjithashtu thekson se metoda e aksesit fillestar ende nuk është e qartë pasi Irani nuk tregoi asgjë për sulmin. Çdo sulm kibernetik perëndimor apo izraelit kundër Iranit është identifikuar gjithmonë me detaje specifike.
Sulmet kibernetike të personave të brendshëm ndaj sistemeve të mbrojtura nga qeveria janë unike në karakteristikat e tyre, kryesisht për shkak të nivelit të lartë të masave të sigurisë të përfshira, dhe personat e brendshëm tashmë kanë një mundësi aksesi ose që e kuptojnë sistemin.
-Personat e brendshëm kanë akses në informacione dhe sisteme të ndjeshme. Personat e brendshëm nuk kanë nevojë të depërtojnë në sistem dhe kështu shpesh mund të mbledhin drejtpërdrejt informacione të ndjeshme.
-Personat e brendshëm mund të anashkalojnë masat e sigurisë të krijuara për tu mbrojtur kundër sulmeve të jashtme.
-Personat e brendshëm mund të motivohen për të kryer një sulm për arsye politike, financiare ose personale
Sulmi kundër Bashkisë së Teheranit
Në këtë shkelje, hakerët fituan akses në kamerat e sigurisë dhe vazhduan monitorimin deri në 24 orë pas sulmit fillestar, pavarësisht se aksesi në internet ishte ndërprerë në përpjekje për të kontrolluar situatën. Kjo nënkuptonte të kesh akses fizik në rrjet ose në një sistem të brendshëm të lidhur me rrjetin. Sipas Ana Agjencia e Lajmeve4, "Hadi Mahzarnia, shefi i Teknologjisë së Informacionit të Komunës së Teheranit, bëri të ditur sulmin kundër sistemit komunal të Teheranit dhe tha: të enjten, në 2 qershor në 12:38, u informova për një operacion sabotues kundër Sistemit të Bashkisë.” Ai vazhdoi: “Rrjeti, aksesi dhe të gjitha nënfushat u ndërprenë për të parandaluar çdo ndërprerje të mundshme. Lëvizja e parë ishte parandalimi i verifikimit të hakerimit dhe brenda një periudhe të shkurtër kohe, natyra e sulmit u bë e dukshme. Në fakt, kjo ishte e ngjashme me atë që kishte ndodhur me IRIB më herët”. Kjo nënkuptonte njohuri intime të infrastrukturës dhe aftësinë për të mbyllur rrjetin me shpejtësi.
Fakti që masa e parë ishte për të parandaluar verifikimin e hakerimit gjithashtu sugjeron që sulmuesit e morën masat për të mbuluar gjurmët e tyre. Është kryer thyerja e mijëra kamerave të përdorura për kontrollin e trafikut dhe njohjen e fytyrës ndërsa asnjëri prej tyre nuk ishte i lidhur në internet. Qasja në
qindra serverë në këtë rrjet ishte e paprecedentë. Shkelja përfshinte kamera që monitoronin faltoren e Ajatollah Khomeinit, e cila është ndër vendet më të mbrojtura dhe pa akses në internet. Ata do ta dinin se kamerat nuk ishin të lidhur me internetin dhe se do t'u duhej të kishin akses fizik në kamerat për ti hakeruar ato.
Më pas, Irani njoftoi arrestimin e disa prej personave të përfshirë në sulm, duke pretenduar se kryesori elementi pas sulmit ishte larguar nga vendi (Fars News Agency5).
Sulm kundër Ministrisë së Jashtme të Iranit
Gjatë kësaj shkeljeje, hakerët fituan akses në 50 Terabajt të dhëna nga arkivat e ministrisë, që tregon depërtimin në pjesën më të brendshme të dosjeve të këtij organi qeveritar. Natyra e dokumenteve të hakuara tregon se të tilla dokumente do të ishin të paarritshme nga interneti, duke mbështetur më tej dyshimet në përfshirjen e personave të brrndshëm.
Transferimi i të dhënave 50 TB nuk do të ishte i mundur nga persona të jashtëm – dhe në një rrjet të filtruar si ai i Iranit. Agjencia zyrtare e lajmeve iraniane IRNA minimizoi sulmin, duke cituar zëdhënësin e Ministrisë së Jashtme i cili e mohoi shkeljen.
Vlen të përmendet përmasat e mëdha të këtij hakimi. Shpejtësia e shkarkimit në internet në Iran është 11.8 megabit për sekondë.7 Për të shkarkuar 50 terabajt e të dhënave nga Ministria e Punëve të Jashtme të Iranit me këtë shpejtësi, do të duheshin mbi 392 ditë ose mbi një vit kohë shkarkimi të pandërprerë, dhe interneti i Iranit ka rënie të shpeshta, pengohet nga qeveria dhe përjeton ndërprerje të rregullta elektrike të shkaktuara nga qeveria. Bazuar në këto numra, një sulm i tillë ka shumë të ngjarë të ketë ndodhur nga qasja e drejtpërdrejtë në të dhëna.
Sulmi kundër Presidencës
Edhe një herë, sulmuesit depërtuan në rrjetet më të brendshme të qeverisë iraniane. Sipas Ardavanit Rouzbeh në Iran International, "(qeveria) përdori një adresë IP të dedikuar e cila ishte e padepërtueshme." Ai vazhdoi “kjo shkelje është më shumë një depërtim fizik apo rrjedhje njerëzore dhe mund të ketë persona të brendshëm të përfshirë.” Hakerët thyen sistemet më të sigurta të komunikimit të qeverisë, duke fituar akses në dhjetëra mijëra dokumente që nuk ishin më shumë se disa muaj të vjetër. Mohsen Sazegara pohoi në një intervistë me Iran International "dokumentet e arkivuara nuk ruhen kurrë në kompjuterë me hyrje në internet. Unë bëra disa kërkime dhe ka shumë të ngjarë që këto dokumente të jenë blerë. Me fjalë të tjera, dikush i ka vjedhur nga arkivi dhe i ka dorëzuar në këmbim të një shume. Vlerësimi im është se dokumentet janë reale, por nuk janë fituar me hakerim, por me blerje”.
Fakti që hakerët fituan akses në dhjetëra mijëra dokumente jo më shumë se disa muaj më parë sugjeron gjithashtu se persona të brendshëm e kryen sulmin. Këto dokumente ishin ruajtur në kompjuterë me akses të kufizuar në internet dhe do të kishte qenë e vështirë për një të huaj që të hynte tek ato.
Të tjerë ekspert që kanë lidhje me ngjarjen dhanë mendimin e tyre për hakerimin: Amir Rashidi, drejtor i sigurisë së internetit dhe të drejtave dixhitale në Miaan Group, një organizatë dixhitale iraniane për të drejtat e njeriut, gjithashtu i tha CyberScoop-it se dosjet "duken legjitime", ndoshta të marra nga dikush me akses të brendshëm.
Mungesa e aksesit në internet të dokumenteve të arkivuara përputhej me këtë këndvështrim. Personat e brendshëm do ta dinin ku mund t'i gjeni këto dokumente dhe si t'i aksesonin ato.
Konkluzioni
Kërcënimet e brendshme përbëjnë një rrezik të madh për sigurinë kibernetike të Iranit. Sulmet e fundit kibernetike të profilit të lartë kanë shënjestruar infrastruktura kritike dhe organet qeveritare, duke përfshirë rrjetet e transmetimit të vendit, komunës dhe Ministrisë së Punëve të Jashtme.
Inizialmente, il governo iraniano ha attribuito la responsabilità ad avversari stranieri. Tuttavia, esperti di sicurezza informatica e prove crescenti suggeriscono un coinvolgimento interno. Le minacce interne rappresentano un serio rischio per la sicurezza di qualsiasi organizzazione. Gli insider hanno accesso a informazioni e sistemi sensibili e possono causare danni significativi se compromessi, il che rende le minacce interne particolarmente preoccupanti nel clima politico instabile dell'Iran.
Secondo Farah News, "l'ampiezza e la profondità degli attacchi informatici di GhyamSarnegouni sono incredibili. Il gruppo ha ottenuto il controllo di 120 server della rete interna della presidenza, database centrali, il server di gestione della rete, i controller dei server che richiedono accesso amministrativo, la rete di amministratori tecnici della presidenza, gli utenti della rete Internet (1.300 computer), sistemi interni classificati relativi alle comunicazioni con la presidenza, decine di migliaia di materiali top secret e artefatti segreti, edifici, data center e progetti di rete, le reti in fibra ottica della presidenza, il quartier generale di Khamenei, il gabinetto del governo, la magistratura, il Ministero dell'Interno, il Ministero dell'Intelligence, il Ministero degli Esteri, le Forze paramilitari Basij dell'IRGC, il Majlis (parlamento), l'apparato televisivo e radiofonico di Stato, gli aeroporti di Teheran e altre entità del regime dei mullah, itinerari di viaggio classificati e lettere top secret del comando dell'IRGC a Teheran, per un elenco non esaustivo".
L'Iran deve anche essere più trasparente riguardo agli attacchi. Le iniziali smentite del governo sugli attacchi hanno solo alimentato speculazioni e sfiducia. In passato, l'Iran è stato rapido e aperto riguardo agli attacchi informatici, come se provenissero da fonti esterne. Se il governo iraniano ammettesse che gli attacchi sono stati condotti da personale interno, ammetterebbe che persone all'interno del proprio governo sono disposte a rovesciare il regime. Tali azioni potrebbero portare a una perdita di fiducia nel governo e potrebbero anche rendere più difficile reclutare e trattenere personale qualificato, soprattutto considerando gli attacchi ai manifestanti dopo l'assassinio di Mahsa Amini, giunto ormai al suo secondo anno. / Post News
Lini një Përgjigje