Група кібербяспекі: аперацыі, нацэленыя на іранскія ўрадавыя сайты, праводзіліся ўнутры Ірана

Вядомая група па кібербяспецы расследавала аперацыі супраць урадавых вэб-сайтаў у Іране і прыйшла да высновы, што з-за структуры іранскага Інтэрнэту і яго аддзялення ад глабальнага Інтэрнэту аперацыі супраць урадавых вэб-сайтаў, у тым ліку тых, якія належаць дзяржаўным радыё і тэлебачанню 27 студзеня 2022 г. Міністэрства замежных спраў 7 мая 2023 г. і офіс прэзідэнта 29 мая 2023 г. былі праведзены шляхам пранікнення і не маглі быць вынікам пранікнення з-за межаў Ірана.

За апошнія гады група па кібербяспецы Treadstone71 апублікавала некалькі справаздач аб іранскім урадзе і яго кібератаках і ператварылася ў аўтарытэта ў гэтай галіне.

У дакладзе Treadstone71 падкрэсліваецца, што буйныя атакі на іранскія ўрадавыя сайты, хутчэй за ўсё, былі здзейснены шляхам пранікнення знутры Ірана, у прыватнасці інсайдэрамі, якія мелі доступ да гэтых сістэм.

Дзесяткі найбольш важных вэб-сайтаў урада Ірана, а таксама анлайн-сістэмы мэрыі Тэгерана і нацыянальных радыё- і тэлевізійных сетак падвяргаліся масіраваным атакам са студзеня 2022 года.

Група "Гямсарнегуні («Паўстанне да звяржэння») узяў на сябе адказнасць за асноўныя атакі і раскрыў шырокія ўнутраныя ўрадавыя дакументы ўрада Ірана ў сваім акаўнце ў Telegram. Група сапсавала хатнія старонкі шэрагу вэб-сайтаў, размясціўшы закрэсленыя выявы вярхоўнага лідэра Алі Хаменеі і выявы лідэраў іранскай апазіцыі.

У 2022 годзе дзяржаўныя інтэрнэт-структуры і сэрвісы Албаніі падвергліся масавай кібератацы, якая выклікала шмат праблем. Шырокае расследаванне, праведзенае Microsoft і іншымі, паказала пальцам на Тэгеран.

Паводле ацэнкі Treadstone71, «Іран мае даўнюю гісторыю ўдзелу ў атаках на кібербяспеку і, паводле некаторых статыстычных дадзеных, займае пятае месца сярод краін, вядомых тым, што нападае на сваіх праціўнікаў праз кібервайну».

рэклама

«У якасці меры засцярогі, - адзначае Treadstone71 у сваёй справаздачы, - Іран вырашыў перанесці свае ўрадавыя вэб-сайты з еўрапейскіх хостынгавых сервераў на айчынныя хостынгавыя кампаніі, як частку свайго «Нацыянальнага Інтэрнэту», і ў выніку «Увесь урад і дзяржава Кантраляваныя вэб-сайты былі перанесены з еўрапейскіх і амерыканскіх хостынг-сервераў на айчынныя хосты», і «доступ да асобных урадавых і кантраляваных дзяржавай вэб-сайтаў быў абмежаваны «нацыянальным Інтэрнэтам», што зрабіла іх недаступнымі праз глабальны Інтэрнэт».

У справаздачы Treadstone71 падкрэсліваецца, што «мы таксама сталі сведкамі іншага роду нападаў, асобных ад тых, якія пранікалі на дзяржаўныя вэб-сайты на ўразлівыя іранскія хостынгавыя службы; зробленыя Гямсарнегуні («Паўстанне да звяржэння»). Напады, здзейсненыя гэтай групай, былі аднымі з самых глыбокіх пранікненняў супраць сетак урада Ірана».

У справаздачы адзначаецца:

Гэтыя атакі вылучаліся трыма ключавымі характарыстыкамі:

1. Ступень пранікнення ў самыя бяспечныя дзяржаўныя сеткі, параўнальная толькі з атакай Stuxnet (якая выкарыстоўвала флэшку).

2. Аб'ём эксфільтраваных дакументаў.

3. Шырокі доступ да сервераў і кампутараў.

У дакладзе Treadstone71 падкрэсліваецца, што дзяржаўныя радыё- і тэлевізійныя сеткі, асабліва ў недэмакратычных краінах, такіх як Іран, «з'яўляюцца аднымі з самых ізаляваных і найбольш абароненых сетак». Далей гаворыцца: «Унутраная сетка вяшчання Ірана не падключана да Інтэрнэту і мае сур'ёзны разрыў; гэта азначае, што ён фізічна ізаляваны ад Інтэрнэту і можа быць даступны толькі знутры ... Адзіным спосабам для старонняга чалавека атрымаць доступ да сеткі будзе праз фізічнае пранікненне "

У студзені 2022 года іранскія СМІ адзначылі, што дзяржаўныя ўстановы мяркуюць, што гэты напад быў здзейснены асобамі, якія валодалі ўнутранай інфармацыяй аб іранскіх дзяржаўных радыё- і тэлесістэмах.

Атака на вэб-сайты мэрыі Тэгерана 2 чэрвеня 2022 года ўключала ўзлом 5,000 камер, якія выкарыстоўваюцца для кантролю дарожнага руху і распазнання твараў. Па словах Treadstone71, хакеры «ведалі б, што камеры не падключаны да Інтэрнэту і што для ўзлому ім спатрэбіцца фізічны доступ да камер».

Але найбольш ашаламляльныя адкрыцці Treadstone71 звязаны з дзвюма гучнымі нападамі, якія прыцягнулі ўвагу Гямсарнегуні у траўні 2023.

Падчас атакі на сайт МЗС Ірана хакеры атрымалі доступ да 50 тэрабайт дадзеных з архіваў міністэрства. Ацэнка Treadstone71 заключаецца ў тым, што для гэтага патрабавалася «пранікненне ў самыя ўнутраныя пласты гэтага ўрадавага органа. Характар ​​уцечкі дакументаў паказвае на тое, што такія дакументы былі б недаступныя ў Інтэрнэце, што яшчэ больш пацвярджае падазрэнні аб датычнасці інсайдэраў».

Экспертная ацэнка Treadstone71 прыйшла да высновы, што «перадача 50 ТБ даных будзе немагчымая выдалена — і ў фільтраванай сетцы, такой як іранская», і дадала, што сам памер узлому таксама паказвае, як ён быў выкананы.

«Звычайная хуткасць загрузкі ў Іране складае 11.8 мегабіт у секунду. Для загрузкі 50 тэрабайт даных з Міністэрства замежных спраў Ірана з такой хуткасцю спатрэбіцца больш за 392 дні або больш за год бесперапыннай загрузкі, і інтэрнэт у Іране часта перастае працаваць, задушваецца ўрадам і рэгулярна адключаецца ад уладаў, », - гаворыцца ў паведамленні.

«Грунтуючыся на гэтых лічбах, такая атака, хутчэй за ўсё, адбылася з прамога доступу да дадзеных».

У сувязі з атакай на сайт прэзідэнцкай адміністрацыі хакеры ўзламалі самыя абароненыя сістэмы камунікацыі ўрада і атрымалі дзясяткі тысяч дакументаў, якім было не больш за некалькі месяцаў.

Па словах іранскага эксперта, гэты сайт «выкарыстоўваў выдзелены IP-адрас, які быў непранікальным».

«Той факт, што хакеры атрымалі доступ да дзясяткаў тысяч дакументаў не старэйшых за некалькі месяцаў, таксама сведчыць аб тым, што атаку здзейснілі інсайдэры. Гэтыя дакументы захоўваліся б на кампутарах з абмежаваным доступам да Інтэрнэту, і гэта было б цяжка каб старонні мог атрымаць да іх доступ», — заявіў Treadstone71.

У заключэнні справаздачы гаворыцца: «Урад Ірана першапачаткова ўскладаў віну на замежных праціўнікаў. Аднак эксперты па кібербяспецы і ўсё больш доказаў сведчаць аб уцягванні інсайдэраў».

Падзяліцеся гэтым артыкулам: