FLASH
Shkruar nga Pamfleti
Wenn der Angreifer und das Opfer zustimmen
Der Iran ist für seine Cyberangriffe bekannt und belegt laut einigen Statistiken den fünften Platz unter den Nationen, die ihre Gegner am häufigsten im Cyberraum angreifen. Über die Jahre hinweg hat der Iran immer wieder Hackergruppen gegen verschiedene Länder eingesetzt, ohne die potenziellen Risiken für die heimische Sicherheit zu berücksichtigen.
Dieses Paradoxon ist offensichtlich: Trotz seiner aggressiven Cyberkriminalität ist es dem Iran nicht gelungen, seine internen Sicherheitssysteme und damit die Daten seiner Bürger angemessen zu schützen.
In der zweiten Jahreshälfte 2022, nach den landesweiten Aufständen im Iran, nahmen Cyberangriffe auf iranische Regierungswebseiten deutlich zu. Hackergruppen wie Tapandegan, Labdookhtegan, Sparrow Predatory, Black Reward, Anonymous, Edalat-e ali und Ghyamsarnegouni verübten zahlreiche Angriffe auf Regierungsziele.
Aus Sicherheitsgründen und angesichts zunehmender Wirtschaftssanktionen beschloss der Iran im Rahmen seines Programms „Nationales Internet“, seine Regierungswebseiten von europäischen Servern auf inländische Hosting-Anbieter umzustellen. Ziel dieser Initiative war es, den Iran vom globalen Internet zu isolieren und ein autarkes Netzwerk zu schaffen.
Um dieses Ziel zu erreichen, wurden zwei wesentliche Schritte unternommen:
1. Sämtliche Regierungswebseiten, die unter staatlicher Kontrolle standen, wurden von europäischen und amerikanischen Hosting-Servern auf lokale Hosting-Server umgezogen.
2. Der Zugang zu ausgewählten staatlich kontrollierten Websites war auf das „nationale Internet“ beschränkt, wodurch sie über das globale Internet nicht erreichbar waren.
Infolgedessen war nur noch ein kleiner Teil der Webseiten des Ministeriums im globalen Internet erreichbar. Diese Maßnahmen wurden ergriffen, um verschiedene Vorteile zu erzielen, beispielsweise die Anfälligkeit für Wirtschaftssanktionen und das Risiko von Cyberangriffen durch externe Akteure zu verringern. Allerdings machten gravierende Mängel in der lokalen Hosting-Infrastruktur in Verbindung mit anfälligen Content-Management-Systemen (CMS) diese Systeme anfällig für Hackerangriffe von innen.
Mehrere Faktoren tragen zu Irans unzureichender Cybersicherheitsinfrastruktur bei:
Die iranische Regierung hat erheblich in die Cybersicherheit im Inland investiert, möglicherweise aufgrund von Wirtschaftssanktionen, politischen Prioritäten und einem mangelnden Bewusstsein für Cybersicherheitsrisiken.
Der Großteil der Mittel floss in die äußere Verteidigung, während die Cybersicherheit im Inland ausschließlich für repressive Maßnahmen gegen Bürger und zur Kontrolle durch Webfilterung eingesetzt wurde.
Im Kontext von Dezhfa zensiert die Webfilterung Inhalte, die von der iranischen Regierung als unerwünscht eingestuft werden. Dezhfa hindert Iraner daran:
-Besuch gesperrter Webseiten oder Nutzung gesperrter Anwendungen.
-Die Beteiligung an verdächtigen Aktivitäten, wie z. B. ungewöhnliche Anmeldeversuche oder der Zugriff auf nicht autorisierte Dateien.
- Shkelja e rregulloreve të qeverisë, të tilla si ato që rregullojnë eksportin e të dhënave të ndjeshme.
-Shprehja e mendimeve të kundërta ose përfshirja në aktivizëm politik.
-Infrastruktura e sigurisë kibernetike e Iranit Dezhfa është e vjetëruar; ekspozon dobësi, edhe përballë sulmeve të kryera përmes sistemeve të brendshme të internetit.
-Qeveria dhe bizneset shpesh mbështeten në softuer dhe harduer të vjetëruar, për mungesë të teknologjisë moderne të sigurisë.
-Profesionistëve iranianë të sigurisë kibernetike u mungon trajnimi adekuat për t'u mbrojtur kundër sulmeve kibernetike të sofistikuara, me mundësi të kufizuara trajnimi të disponueshme brenda vendit.
-Mungesa e ndërgjegjësimit për rreziqet e sigurisë kibernetike tek popullata iraniane lehtëson më tej sulmet.
-Izolimi i Iranit nga komuniteti ndërkombëtar i sigurisë kibernetike pengon shkëmbimin e informacionit dhe adoptimin e praktikave më të mira.
-Ndërhyrja e qeverisë në përpjekjet për sigurinë kibernetike, e motivuar nga dëshira për të mbajtur kontrollin nëpërmjet internetit, në vend që të mbrojë asetet e informacionit, përbën një pengesë të konsiderueshme.
-Nuk ka asnjë autoritet të vetëm në Iran përgjegjës për sigurinë kibernetike. Kjo e bën të vështirë që të koordinojnë përpjekjet dhe tu përgjigjen sulmeve.
Në fund të shtatorit 2022, një seri sulmesh synuan shërbimet e dobëta të pritjes, duke rezultuar në shkeljen e uebfaqeve të ndryshme qeveritare. Objektivat e vërejtur në katërmbëdhjetë webfaqet, përfshijnë faqet e internetit të Udhëheqësit suprem Ali Khamenei, Bonyad Maskan (Fondacioni i Strehimit) dhe Këshillin Kombëtar Islamik.
Veçanërisht, faqja e internetit e Udhëheqësit Suprem ra viktimë e një sulmi DDoS, ndërsa shkeljet e synuara të të dhënave çuan në vjedhjen e të dhënave sekrete, duke përfshirë informacionin personal, të dhënat financiare dhe sekretet qeveritare. Sulmet DDoS ndërprenë më tej infrastrukturën kritike, si rrjetet e energjisë dhe rrjetet e komunikimit, duke zhvilluar në mënyrë efektive luftë politike dhe ekonomike kundër Iranit Mes këtyre sulmeve, ne dëshmuam gjithashtu një lloj tjetër sulmi, të ndarë nga ata që infiltrojnë faqet e internetit qeveritar për shërbimet e pritjes të pambrojtura iraniane; ato të krijuara nga Gyamsarnegouni ("Kryengritja deri në përmbysje"). Sulmet e kryera nga ky grup ishin ndër infiltrimet më të thella kundër rrjeteve të qeverisë iraniane.
Këto sulme u dalluan për shkak të tre karakteristikave kryesore:
1. Shtrirja e infiltrimit në rrjetet më të sigurta qeveritare, të krahasueshme vetëm me Sulmi Stuxnet (i cili përdori një flash drive).
2. Vëllimi i dokumenteve të ekfiltruara.
3. Qasja e përhapur në serverë dhe kompjuterë.
Më poshtë, ne shqyrtojmë sulmet specifike të kryera nga ky grup, para dhe pas trazirave të vitit 2022.
Sulm kundër shërbimit transmetues të Iranit (IRIB)
Në këtë sulm, hakerët depërtuan në rrjetet e transmetimit televiziv dhe radio. Në mënyrë tipike, këto rrjete janë ndër më të izoluarit dhe më të mbrojturit, veçanërisht në vendet jodemokratike.
Rrjeti i brendshëm i transmetimit të Iranit nuk është i lidhur me internetin dhe ka boshllëk të madh ajror; do të thotë se është fizikisht i izoluar nga interneti dhe mund të aksesohet vetëm nga brenda. Kështu, sulmet e huaja janë jashtëzakonisht sfiduese.
Mënyra e vetme që një i huaj të fitojë akses në rrjet do të ishte përmes infiltrimit fizik të rrjetit rrjet ose për të fituar akses në një sistem të brendshëm që është i lidhur me rrjetin.
Hakerimi i dha akses përdorimit të kompiuterave dhe gjeneratorëve të tipit (CG), duke u mundësuar gjithashtu hakerëve të transmetojnë përmbajtjen e tyre.
Agjencitë iraniane të lajmeve fillimisht spekuluan me idenë për një përfshirje të brendshme, duke pasur parasysh natyrën unike të shkeljes.
Sipas Tasnim1: “Ka mundësi që një person i brendshëm të jetë përgjegjës për sulmin e hipokritëve kundër IRIB." duke shtuar: "Duke pasur parasysh se aktiviteti playout nuk kryhet në internet, madje edhe nëse ka ndonjë lidhje, është në intranet, duhet, ndër të tjera, të konsiderohet puna e të brendshëmvet si mirë."
Sipas "Akharin Akhbar2" (Lajmet e fundit), një rrjet lajmesh shtetëror iranian, “sistemet teknike të transmetimit janë plotësisht të izoluara; ato janë të pajisura me protokolle sigurie të pranueshme dhe nuk janë të aksesueshme nëpërmjet internetit." Lajmi shtoi se sipas forcave të sigurisë të lidhura me rrjetin e transmetimit të regjimit, sabotimi ishte skenari më i mundshëm. Fakti që agjencitë e lajmeve iraniane sugjeruan menjëherë se sulmi ishte kryer nga të brendshëm është gjithashtu i rëndësishëm, duke sugjeruar se njësitë qeveritare besojnë se sulmi është kryer nga dikush që kishte njohuri të brendshme për sistemet IRIB.
Sipas një raporti nga CheckPoint3, ndërsa pretendohet se mënyra e hyrjes fillestare nuk është ende e qartë, "mjetet e sulmuesve janë të cilësisë dhe sofistikimit relativisht të ulët" të cilat "mund të mbështesin teorinë që sulmuesit mund të kenë pasur ndihmë nga brenda IRIB, ose tregojnë një bashkëpunim ende të panjohur mes grupeve të ndryshme me aftësi të ndryshme.” Raporti gjithashtu thekson se metoda e aksesit fillestar ende nuk është e qartë pasi Irani nuk tregoi asgjë për sulmin. Çdo sulm kibernetik perëndimor apo izraelit kundër Iranit është identifikuar gjithmonë me detaje specifike.
Sulmet kibernetike të personave të brendshëm ndaj sistemeve të mbrojtura nga qeveria janë unike në karakteristikat e tyre, kryesisht për shkak të nivelit të lartë të masave të sigurisë të përfshira, dhe personat e brendshëm tashmë kanë një mundësi aksesi ose që e kuptojnë sistemin.
-Personat e brendshëm kanë akses në informacione dhe sisteme të ndjeshme. Personat e brendshëm nuk kanë nevojë të depërtojnë në sistem dhe kështu shpesh mund të mbledhin drejtpërdrejt informacione të ndjeshme.
-Personat e brendshëm mund të anashkalojnë masat e sigurisë të krijuara për tu mbrojtur kundër sulmeve të jashtme.
-Personat e brendshëm mund të motivohen për të kryer një sulm për arsye politike, financiare ose personale
Sulmi kundër Bashkisë së Teheranit
Në këtë shkelje, hakerët fituan akses në kamerat e sigurisë dhe vazhduan monitorimin deri në 24 orë pas sulmit fillestar, pavarësisht se aksesi në internet ishte ndërprerë në përpjekje për të kontrolluar situatën. Kjo nënkuptonte të kesh akses fizik në rrjet ose në një sistem të brendshëm të lidhur me rrjetin. Sipas Ana Agjencia e Lajmeve4, "Hadi Mahzarnia, shefi i Teknologjisë së Informacionit të Komunës së Teheranit, bëri të ditur sulmin kundër sistemit komunal të Teheranit dhe tha: të enjten, në 2 qershor në 12:38, u informova për një operacion sabotues kundër Sistemit të Bashkisë.” Ai vazhdoi: “Rrjeti, aksesi dhe të gjitha nënfushat u ndërprenë për të parandaluar çdo ndërprerje të mundshme. Lëvizja e parë ishte parandalimi i verifikimit të hakerimit dhe brenda një periudhe të shkurtër kohe, natyra e sulmit u bë e dukshme. Në fakt, kjo ishte e ngjashme me atë që kishte ndodhur me IRIB më herët”. Kjo nënkuptonte njohuri intime të infrastrukturës dhe aftësinë për të mbyllur rrjetin me shpejtësi.
Fakti që masa e parë ishte për të parandaluar verifikimin e hakerimit gjithashtu sugjeron që sulmuesit e morën masat për të mbuluar gjurmët e tyre. Është kryer thyerja e mijëra kamerave të përdorura për kontrollin e trafikut dhe njohjen e fytyrës ndërsa asnjëri prej tyre nuk ishte i lidhur në internet. Qasja në
qindra serverë në këtë rrjet ishte e paprecedentë. Shkelja përfshinte kamera që monitoronin faltoren e Ajatollah Khomeinit, e cila është ndër vendet më të mbrojtura dhe pa akses në internet. Ata do ta dinin se kamerat nuk ishin të lidhur me internetin dhe se do t'u duhej të kishin akses fizik në kamerat për ti hakeruar ato.
Më pas, Irani njoftoi arrestimin e disa prej personave të përfshirë në sulm, duke pretenduar se kryesori elementi pas sulmit ishte larguar nga vendi (Fars News Agency5).
Sulm kundër Ministrisë së Jashtme të Iranit
Gjatë kësaj shkeljeje, hakerët fituan akses në 50 Terabajt të dhëna nga arkivat e ministrisë, që tregon depërtimin në pjesën më të brendshme të dosjeve të këtij organi qeveritar. Natyra e dokumenteve të hakuara tregon se të tilla dokumente do të ishin të paarritshme nga interneti, duke mbështetur më tej dyshimet në përfshirjen e personave të brrndshëm.
Transferimi i të dhënave 50 TB nuk do të ishte i mundur nga persona të jashtëm – dhe në një rrjet të filtruar si ai i Iranit. Agjencia zyrtare e lajmeve iraniane IRNA minimizoi sulmin, duke cituar zëdhënësin e Ministrisë së Jashtme i cili e mohoi shkeljen.
Vlen të përmendet përmasat e mëdha të këtij hakimi. Shpejtësia e shkarkimit në internet në Iran është 11.8 megabit për sekondë.7 Për të shkarkuar 50 terabajt e të dhënave nga Ministria e Punëve të Jashtme të Iranit me këtë shpejtësi, do të duheshin mbi 392 ditë ose mbi një vit kohë shkarkimi të pandërprerë, dhe interneti i Iranit ka rënie të shpeshta, pengohet nga qeveria dhe përjeton ndërprerje të rregullta elektrike të shkaktuara nga qeveria. Bazuar në këto numra, një sulm i tillë ka shumë të ngjarë të ketë ndodhur nga qasja e drejtpërdrejtë në të dhëna.
Sulmi kundër Presidencës
Edhe një herë, sulmuesit depërtuan në rrjetet më të brendshme të qeverisë iraniane. Sipas Ardavanit Rouzbeh në Iran International, "(qeveria) përdori një adresë IP të dedikuar e cila ishte e padepërtueshme." Ai vazhdoi “kjo shkelje është më shumë një depërtim fizik apo rrjedhje njerëzore dhe mund të ketë persona të brendshëm të përfshirë.” Hakerët thyen sistemet më të sigurta të komunikimit të qeverisë, duke fituar akses në dhjetëra mijëra dokumente që nuk ishin më shumë se disa muaj të vjetër. Mohsen Sazegara pohoi në një intervistë me Iran International "dokumentet e arkivuara nuk ruhen kurrë në kompjuterë me hyrje në internet. Unë bëra disa kërkime dhe ka shumë të ngjarë që këto dokumente të jenë blerë. Me fjalë të tjera, dikush i ka vjedhur nga arkivi dhe i ka dorëzuar në këmbim të një shume. Vlerësimi im është se dokumentet janë reale, por nuk janë fituar me hakerim, por me blerje”.
Fakti që hakerët fituan akses në dhjetëra mijëra dokumente jo më shumë se disa muaj më parë sugjeron gjithashtu se persona të brendshëm e kryen sulmin. Këto dokumente ishin ruajtur në kompjuterë me akses të kufizuar në internet dhe do të kishte qenë e vështirë për një të huaj që të hynte tek ato.
Të tjerë ekspert që kanë lidhje me ngjarjen dhanë mendimin e tyre për hakerimin: Amir Rashidi, drejtor i sigurisë së internetit dhe të drejtave dixhitale në Miaan Group, një organizatë dixhitale iraniane për të drejtat e njeriut, gjithashtu i tha CyberScoop-it se dosjet "duken legjitime", ndoshta të marra nga dikush me akses të brendshëm.
Mungesa e aksesit në internet të dokumenteve të arkivuara përputhej me këtë këndvështrim. Personat e brendshëm do ta dinin ku mund t'i gjeni këto dokumente dhe si t'i aksesonin ato.
Konkluzioni
Kërcënimet e brendshme përbëjnë një rrezik të madh për sigurinë kibernetike të Iranit. Sulmet e fundit kibernetike të profilit të lartë kanë shënjestruar infrastruktura kritike dhe organet qeveritare, duke përfshirë rrjetet e transmetimit të vendit, komunës dhe Ministrisë së Punëve të Jashtme.
Die iranische Regierung machte zunächst ausländische Gegner verantwortlich. Cybersicherheitsexperten und immer mehr Indizien deuten jedoch auf eine Beteiligung von innen hin. Bedrohungen durch Insider stellen ein ernstzunehmendes Sicherheitsrisiko für jede Organisation dar. Insider haben Zugriff auf sensible Informationen und Systeme und können im Falle eines Angriffs erheblichen Schaden anrichten. Dies macht Bedrohungen durch Insider im instabilen politischen Klima Irans besonders besorgniserregend.
Laut Farah News ist das Ausmaß der Hackerangriffe von Ghyam Sarnegouni schier unglaublich. Die Gruppe erlangte die Kontrolle über 120 Server des internen Netzwerks des Präsidentenpalastes, zentrale Datenbanken, den Netzwerkmanagement-Server, Server-Controller mit administrativen Zugriffsrechten, das Netzwerk der technischen Administratoren des Präsidentenpalastes, 1.300 Computer von Internetnutzern, klassifizierte interne Systeme im Zusammenhang mit der Kommunikation mit dem Präsidentenpalast, Zehntausende streng geheime Dokumente und Artefakte, Gebäude, Rechenzentren und Netzwerkdesigns, die Glasfasernetze des Präsidentenpalastes, Khameneis Hauptquartier, das Kabinett, die Justiz, das Innenministerium, das Geheimdienstministerium, das Außenministerium, die paramilitärischen Basij-Einheiten der Revolutionsgarden, das Parlament (Majlis), die staatlichen Fernseh- und Radiosender, die Flughäfen von Teheran und andere Einrichtungen des Mullah-Regimes, klassifizierte Reiserouten und streng geheime Briefe des Kommandos der Revolutionsgarden in Teheran – und das ist keine vollständige Liste.
Der Iran muss in Bezug auf die Angriffe transparenter werden. Die anfänglichen Dementis der Regierung haben Spekulationen und Misstrauen nur weiter angeheizt. In der Vergangenheit hat der Iran Cyberangriffe stets schnell und offen thematisiert, als wären sie von außen gekommen. Würde die iranische Regierung zugeben, dass die Angriffe von Insidern verübt wurden, käme dies einem Eingeständnis gleich, dass Teile der Regierung bereit sind, das Regime zu stürzen. Solche Aktionen könnten zu einem Vertrauensverlust in die Regierung führen und die Rekrutierung und Bindung qualifizierter Mitarbeiter erschweren, insbesondere angesichts der Angriffe auf Demonstranten seit dem Attentat auf Mahsa Amini, das nun schon zwei Jahre zurückliegt. / Post News
Lini një Përgjigje