Група кібербезпеки: операції, націлені на урядові сайти Ірану, проводилися всередині Ірану

Відома група з кібербезпеки розслідувала операції проти урядових веб-сайтів в Ірані та дійшла висновку, що через структуру Інтернету Ірану та його відокремлення від глобальної мережі Інтернет операції проти урядових веб-сайтів, у тому числі тих, що належать державному радіо та телебаченню 27 січня 2022 р. Міністерство закордонних справ 7 травня 2023 року та офіс президента 29 травня 2023 року були здійснені шляхом проникнення і не могли бути результатом проникнення з-за меж Ірану.

За останні роки група з кібербезпеки Treadstone71 опублікувала кілька звітів про уряд Ірану та його кібератаки та стала авторитетом у цій галузі.

У звіті Treadstone71 підкреслюється, що великі атаки на сайти уряду Ірану, швидше за все, були здійснені проникненням зсередини Ірану, зокрема інсайдерами, які мали доступ до цих систем.

З січня 2022 року десятки найважливіших веб-сайтів іранського уряду, а також онлайн-системи муніципалітету Тегерана та національних радіо- та телевізійних мереж зазнали масованих атак.

Група "Гямсарнегуні («Повстання до повалення») взяв на себе відповідальність за основні атаки та оприлюднив численні внутрішні урядові документи іранського уряду у своєму обліковому записі Telegram. Група зіпсувала домашні сторінки ряду веб-сайтів, розмістивши перекреслені зображення верховного лідера Алі Хаменеї та розмістивши фотографії лідерів іранської опозиції.

У 2022 році державні інтернет-структури та сервіси Албанії зазнали масштабної кібератаки, яка спричинила багато проблем. Масштабне розслідування Microsoft та інших вказувало пальцем на Тегеран.

Згідно з оцінкою Treadstone71, «Іран має давню історію участі в атаках на кібербезпеку, і, згідно з деякими статистичними даними, займає п’яте місце серед країн, відомих тим, що нападає на своїх супротивників за допомогою кібервійни».

реклама

«Як запобіжний захід, - зазначає Treadstone71 у своєму звіті, - Іран вирішив перемістити свої урядові веб-сайти з європейських хостинг-серверів на вітчизняні хостинг-компанії, як частину свого «Національного Інтернету», і в результаті «Всі урядові та державні -контрольовані веб-сайти були переміщені з європейських і американських хостинг-серверів на внутрішні хости», а «доступ до окремих урядових і контрольованих державою веб-сайтів було обмежено «Національним Інтернетом», що зробило їх недоступними через глобальний Інтернет».

У звіті Treadstone71 підкреслюється, що «ми також були свідками атаки іншого типу, окремо від тих, які проникали на урядові веб-сайти на вразливих іранських хостингових службах; зроблені Гямсарнегуні («Повстання до повалення»). Атаки, здійснені цією групою, були одними з найглибших проникнень у мережі іранського уряду».

У звіті зазначається:

Ці атаки виділялися трьома ключовими характеристиками:

1. Ступінь проникнення в найбільш захищені урядові мережі, порівнянний лише з атакою Stuxnet (використовується флешка).

2. Обсяг вилучених документів.

3. Широкий доступ до серверів і комп'ютерів.

У звіті Treadstone71 підкреслюється, що державні радіо- та телевізійні мережі, особливо в недемократичних країнах, таких як Іран, «є одними з найбільш ізольованих і найбільш захищених мереж». Далі в ньому йдеться: «Внутрішня мережа мовлення Ірану не підключена до Інтернету та має сильний повітряний розрив; це означає, що він фізично ізольований від Інтернету і доступ до нього можливий лише зсередини… Єдиним способом стороннього отримати доступ до мережі буде фізичне проникнення»

У січні 2022 року іранські ЗМІ зазначили, що державні установи вважають, що цю атаку здійснили особи, які мали внутрішню інформацію про іранські державні радіо- та телевізійні системи.

Атака на веб-сайти муніципалітету Тегерана 2 червня 2022 року включала злом 5,000 камер, які використовуються для контролю дорожнього руху та розпізнавання осіб. За словами Treadstone71, хакери «знали б, що камери не підключені до Інтернету, і що їм знадобиться отримати фізичний доступ до камер, щоб зламати їх».

Але найбільш вражаючі висновки Treadstone71 пов’язані з двома резонансними та привернули увагу нападами Гямсарнегуні Травень 2023.

Під час атаки на сайт Міністерства закордонних справ Ірану хакери отримали доступ до 50 терабайт даних з архіву міністерства. За оцінкою Treadstone71, це вимагало «проникнення у найглибші шари цього урядового органу. Природа витоку документів вказує на те, що такі документи будуть недоступні в Інтернеті, що ще більше підтверджує підозри про причетність інсайдерів».

Експертна оцінка Treadstone71 прийшла до висновку, що «передача 50 ТБ даних буде неможливою віддалено – і через фільтровану мережу, таку як іранська», і додала, що сам розмір злому також показує, як це було здійснено.

«Звичайна швидкість завантаження іранського Інтернету становить 11.8 мегабіт на секунду. Для завантаження 50 терабайт даних із Міністерства закордонних справ Ірану з такою швидкістю знадобиться 392 дні або більше року безперервного завантаження, а Інтернет в Ірані часто падає, придушується урядом, і відбувається регулярне знеструмлення, спричинене урядом. ", - йдеться у звіті.

«Виходячи з цих цифр, така атака, швидше за все, сталася через прямий доступ до даних».

У зв’язку з атакою на сайт офісу президента хакери зламали найзахищеніші комунікаційні системи уряду та отримали десятки тисяч документів, яким не більше кількох місяців.

За словами іранського експерта, цей сайт «використовував виділену IP-адресу, яка була непроникною».

«Той факт, що хакери отримали доступ до десятків тисяч документів не старше кількох місяців, також свідчить про те, що атаку здійснили інсайдери. Ці документи зберігалися на комп’ютерах з обмеженим доступом до Інтернету, і це було б важко». для стороннього доступу до них", - заявив Treadstone71.

Доповідь завершується словами: «Іранський уряд спочатку поклав провину на іноземних супротивників. Однак експерти з кібербезпеки та все більше доказів свідчать про причетність інсайдерів».

Поділіться цією статтею: