Skupina pro kybernetickou bezpečnost: Operace zaměřené na stránky íránské vlády byly interně prováděny v Íránu

Významná skupina pro kybernetickou bezpečnost vyšetřovala operace proti vládním webovým stránkám v Íránu a dospěla k závěru, že vzhledem ke struktuře íránského internetu a jeho oddělení od globálního internetu, operace proti vládním webovým stránkám, včetně těch, které patří státnímu rozhlasu a televizi dne 27. ledna 2022, Ministerstvo zahraničních věcí 7. května 2023 a úřad prezidenta 29. května 2023 byly vedeny infiltrací a nemohly být výsledkem pronikání zvenčí Íránu.

V posledních letech kybernetická bezpečnostní skupina Treadstone71 zveřejnila několik zpráv o íránské vládě a jejích kybernetických útocích a vyvinula se jako autorita v této oblasti.

Zpráva Treadstone71 zdůrazňuje, že velké útoky na íránská vládní místa byly s největší pravděpodobností provedeny průniky zevnitř Íránu, zejména zasvěcenci, kteří měli přístup k těmto systémům.

Od ledna 2022 je mnoho nejdůležitějších webových stránek íránské vlády, stejně jako online systémy teheránského magistrátu a národních rozhlasových a televizních sítí vystaveno masivním útokům.

Skupina "Gyamsarnegouni ("Povstání do svržení") převzala odpovědnost za hlavní útoky a na svém telegramovém účtu zveřejnila rozsáhlé interní vládní dokumenty íránské vlády. Skupina znehodnotila domovské stránky řady webových stránek, zveřejnila přeškrtnuté obrázky nejvyššího vůdce Alího Chameneího a umístila obrázky íránských opozičních vůdců.

V roce 2022 byly albánské vládní internetové struktury a služby terčem masivního kybernetického útoku, který způsobil mnoho problémů. Rozsáhlé vyšetřování Microsoftu a dalších ukázalo prstem na Teherán.

Podle hodnocení Treadstone71: „Írán má dlouhou historii zapojení do kybernetických bezpečnostních útoků a podle některých statistik je na pátém místě mezi národy, o nichž je známo, že se zaměřují na své protivníky prostřednictvím kybernetické války.“

Inzerát

„V rámci bezpečnostního opatření,“ poznamenává Treadstone71 ve své zprávě, „Írán rozhodl přesunout své vládní webové stránky z evropských hostingových serverů k domácím hostingovým společnostem jako součást svého ‚národního internetu‘,“ a v důsledku toho „všechny vládní a státní -kontrolované webové stránky byly přemístěny z evropských a amerických hostingových serverů na domácí hostitele," a "přístup k vybraným vládním a státem kontrolovaným webovým stránkám byl omezen na "národní internet", takže byly nedostupné přes globální internet."

Zpráva Treadstone71 zdůraznila: „Také jsme byli svědky jiného druhu útoku, odděleného od těch, které infiltrovaly vládní webové stránky na zranitelné íránské hostingové služby; ty, které vytvořil Gyamsarnegouni ("Povstání do svržení"). Útoky této skupiny patřily k nejhlubším infiltracím proti sítím íránské vlády.

Zpráva uvádí:

Tyto útoky vynikly díky třem klíčovým charakteristikám:

1. Rozsah infiltrace do nejbezpečnějších vládních sítí, srovnatelný pouze s útokem Stuxnet (který používal flash disk).

2. Objem exfiltrovaných dokumentů.

3. Široký přístup k serverům a počítačům.

Zpráva Treadstone71 zdůrazňuje, že státní rozhlasové a televizní sítě, zejména v nedemokratických zemích, jako je Írán, „patří mezi nejizolovanější a nejvíce chráněné sítě“. Dále se v něm píše: „Íránská vnitřní vysílací síť není připojena k internetu a je silně vzduchová; což znamená, že je fyzicky izolován od internetu a lze k němu přistupovat pouze zevnitř… Jediný způsob, jak by někdo zvenčí získal přístup k síti, by byla fyzická infiltrace“

V lednu 2022 íránská zpravodajská média poukázala na to, že vládní instituce se domnívají, že tento útok provedli jednotlivci, kteří měli důvěrné informace o íránských státních rozhlasových a televizních systémech.

Útok na webové stránky teheránského magistrátu dne 2. června 2022 zahrnoval vloupání do 5,000 71 kamer používaných pro řízení dopravy a rozpoznávání obličejů. Podle TreadstoneXNUMX by hackeři „věděli, že kamery nejsou připojeny k internetu a že k jejich hacknutí budou muset získat fyzický přístup ke kamerám“.

Nejpřekvapivější zjištění Treadstone71 se však týkají dvou vysoce sledovaných a pozornost upoutaných útoků Gyamsarnegouni v květnu 2023.

Při útoku na stránky íránského ministerstva zahraničí získali hackeři přístup k 50 terabajtům dat z archivů ministerstva. Hodnocení Treadstone71 je, že to vyžadovalo "proniknutí do nejvnitřnějších vrstev tohoto vládního orgánu. Povaha uniklých dokumentů naznačuje, že takové dokumenty by byly nepřístupné z internetu, což dále podporuje podezření na zapojení zevnitř."

Expertní hodnocení společnosti Treadstone71 dospělo k závěru, že „přenos 50 TB dat by nebyl možný na dálku – a na filtrované síti, jako je íránská“, a dodal, že samotná velikost hacku také odhaluje, jak byl proveden.

„Běžná rychlost stahování internetu v Íránu je 11.8 megabitů za sekundu. Stažení 50 terabajtů dat z ministerstva zahraničních věcí Íránu touto rychlostí by trvalo více než 392 dní nebo více než rok nepřerušovaného stahování a íránský internet často klesá, je omezován vládou a dochází k pravidelným výpadkům způsobeným vládou, “ uvádí zpráva.

"Na základě těchto čísel k takovému útoku velmi pravděpodobně došlo z přímého přístupu k datům."

V souvislosti s útokem na stránky prezidentské kanceláře hackeři prolomili nejbezpečnější komunikační systémy vlády a získali desítky tisíc dokumentů, které nebyly starší než několik měsíců.

Podle íránského experta tato stránka „používala vyhrazenou IP adresu, která byla neprostupná“.

"Skutečnost, že hackeři získali přístup k desítkám tisíc dokumentů, které nejsou starší než několik měsíců, také naznačuje, že útok provedli zasvěcení lidé. Tyto dokumenty by byly uloženy na počítačích s omezeným přístupem k internetu a bylo by obtížné aby k nim měl přístup někdo zvenčí,“ uvedl Treadstone71.

Zpráva skončila slovy: „Íránská vláda zpočátku připisovala vinu zahraničním protivníkům. Odborníci na kybernetickou bezpečnost a přibývající důkazy však naznačují zapojení zasvěcených osob.“

Sdílet tento článek: