Cyber ​​Security Group: Operasjoner rettet mot iranske myndigheters nettsteder ble utført internt i Iran

En fremtredende cybersikkerhetsgruppe har undersøkt operasjoner mot statlige nettsteder i Iran og konkludert med at på grunn av strukturen til Irans Internett og dets adskillelse fra det globale Internett, operasjoner mot statlige nettsteder, inkludert de som tilhører statlig radio og fjernsyn 27. januar 2022, Utenriksdepartementet 7. mai 2023 og presidentens kontor 29. mai 2023 ble utført ved infiltrasjon og kan ikke ha vært et resultat av penetrasjon fra utenfor Iran.

De siste årene har cybersikkerhetsgruppen Treadstone71 publisert flere rapporter om den iranske regjeringen og dens cyberangrep og har utviklet seg som en autoritet på dette feltet.

Treadstone71-rapporten understreker at store angrep på de iranske myndigheters nettsteder mest sannsynlig ble utført av penetrasjoner fra innsiden av Iran, spesielt av innsidere som hadde tilgang til disse systemene.

Mange av den iranske regjeringens viktigste nettsteder, så vel som nettbaserte systemer i Teheran kommune og nasjonale radio- og TV-nettverk, har vært utsatt for massive angrep siden januar 2022.

gruppen "Gyamsarnegouni ("Uprising til velte") har tatt ansvar for hovedangrepene og har avslørt omfattende interne regjeringsdokumenter fra den iranske regjeringen på sin Telegram-konto. Gruppen har ødelagt hjemmesidene til en rekke nettsteder, lagt ut overkryssede bilder av øverste leder Ali Khamenei, og plassert bildene av iranske opposisjonsledere.

I 2022 ble Albanias regjerings internettstrukturer og -tjenester mål for et massivt nettangrep, som forårsaket mange problemer. Omfattende etterforskning fra Microsoft og andre pekte fingeren mot Teheran.

I følge Treadstone71s vurdering, "har Iran en lang historie med å engasjere seg i cybersikkerhetsangrep, og ifølge noen statistikker rangerer den på femteplass blant nasjoner kjent for å målrette sine motstandere gjennom cyberkrigføring."

Annonse

"Som en forholdsregel," bemerker Treadstone71 i sin rapport, "besluttet Iran å flytte sine offentlige nettsteder fra europeiske vertsservere til innenlandske vertsselskaper, som en del av sitt 'nasjonale internett'," og som et resultat, "Alle myndigheter og stater -kontrollerte nettsteder ble flyttet fra europeiske og amerikanske vertsservere til innenlandske verter," og "tilgang til utvalgte statlige og statskontrollerte nettsteder ble begrenset til det 'nasjonale internett', noe som gjorde dem utilgjengelige via det globale internett."

Treadstone71-rapporten understreket, "vi var også vitne til en annen type angrep, atskilt fra de som infiltrerte statlige nettsteder på sårbare iranske vertstjenester; de laget av Gyamsarnegouni ("Uprising till Overthrow"). Angrep utført av denne gruppen var blant de dypeste infiltrasjonene mot den iranske regjeringens nettverk.»

Rapporten bemerker:

Disse angrepene skilte seg ut på grunn av tre nøkkelegenskaper:

1. Omfanget av infiltrasjon i de sikreste statlige nettverkene, kan bare sammenlignes med Stuxnet-angrepet (som brukte en flash-stasjon).

2. Volumet av eksfiltrerte dokumenter.

3. Den utbredte tilgangen til servere og datamaskiner.

Treadstone71-rapporten understreker at statlige radio- og TV-nettverk, spesielt i udemokratiske land som Iran, "er blant de mest isolerte og mest beskyttede nettverkene." Den sier videre: «Irans interne kringkastingsnettverk er ikke koblet til Internett og er sterkt luftgapet; Det betyr at det er fysisk isolert fra internett og kun kan nås innenfra ... Den eneste måten for en utenforstående å få tilgang til nettverket er gjennom fysisk infiltrasjon.

I januar 2022 påpekte iranske nyhetsmedier at statlige institusjoner mener dette angrepet ble utført av personer som hadde innsideinformasjon om iranske statlige radio- og TV-systemer.

Angrepet på nettsidene til Teheran kommune 2. juni 2022 inkluderte innbrudd i 5,000 kameraer som ble brukt for trafikkkontroll og ansiktsgjenkjenning. I følge Treadstone71 ville hackerne "ha visst at kameraene ikke var koblet til Internett og at de måtte få fysisk tilgang til kameraene for å hacke dem."

Men Treadstone71s mest oppsiktsvekkende funn er relatert til de to høyprofilerte og oppsiktsvekkende angrepene fra Gyamsarnegouni mai 2023.

Under angrepet på nettsiden til det iranske utenriksdepartementet fikk hackere tilgang til 50 terabyte med data fra departementets arkiver. Treadstone71s vurdering er at dette krevde "penetrering inn i de innerste lagene av dette statlige organet. Arten av de lekkede dokumentene indikerer at slike dokumenter ville være utilgjengelige fra internett, noe som ytterligere støtter mistanker om innsideinvolvering."

Treadstone71s ekspertvurdering konkluderte med at "overføring av 50 TB data ikke ville være mulig eksternt - og på et filtrert nettverk som det i Iran," og la til at selve størrelsen på hacket også avslører hvordan det ble utført.

"Den normale Internett-nedlastingshastigheten til iransk er 11.8 megabit per sekund. Å laste ned 50 terabyte med data fra Irans utenriksdepartement med denne hastigheten vil ta over 392 dager eller over et år med uavbrutt nedlastingstid, og Irans Internett synker ofte, blir strupet av myndighetene og opplever regelmessige myndighetsinduserte blackouts, " heter det i rapporten.

"Basert på disse tallene, skjedde et slikt angrep høyst sannsynlig fra direkte tilgang til dataene."

I forhold til angrepet på nettsiden til presidentkontoret, brøt hackerne de sikreste kommunikasjonssystemene til regjeringen og skaffet titusenvis av dokumenter som ikke var mer enn noen få måneder gamle.

I følge en iransk ekspert brukte dette nettstedet "en dedikert IP-adresse som var ugjennomtrengelig."

"Det faktum at hackerne fikk tilgang til titusenvis av dokumenter som ikke er mer enn noen måneder gamle, tyder også på at innsidere utførte angrepet. Disse dokumentene ville vært lagret på datamaskiner med begrenset tilgang til Internett, og det ville vært vanskelig. for en utenforstående å få tilgang til dem," uttalte Treadstone71.

Rapporten konkluderte med å si: «Den iranske regjeringen tilskrev først utenlandske motstandere skylden. Nettsikkerhetseksperter og økende bevis tyder imidlertid på innsideinvolvering.»

Del denne artikkelen: