
When the threat actor and the victim agree
Iran has a long history of engaging in cybersecurity attacks and, according to some statistics, ranks fifth among nations known for targeting their adversaries through cyberwarfare. Over the years, Iran has unleashed groups of hackers against various countries, without considering the potential risks to domestic security systems.
This paradox is evident: despite its aggressive cybercrime, Iran has failed to adequately safeguard its internal security systems and, consequently, the data of its citizens.
In the second half of 2022, in the wake of widespread uprisings across Iran, cyberattacks against Iranian government websites have been on a significant increase. Hacker groups such as Tapandegan, Labdookhtegan, Sparrow Predatory, Black Reward, Anonymous, Edalat-e ali, and Ghyamsarnegouni launched numerous attacks on government targets.
As a security precaution, and with increasing economic sanctions, Iran decided to switch its government websites from European hosting servers to domestic hosting companies, as part of its “National Internet” program. This initiative aimed to isolate Iran from the global internet and create a self-sustaining network.
Two essential steps were taken to achieve this goal:
1. All government websites that were controlled by the state were moved from European and American hosting servers to local hosting servers.
2. Access to select state-controlled websites was limited to the "National Internet", making them inaccessible via the global internet.
As a result, only a small portion of the Ministry’s websites remained accessible on the global internet. These measures were adopted to achieve several advantages, such as reducing vulnerability to economic sanctions and reducing the risk of cyberattacks by external actors. However, critical deficiencies in the local hosting infrastructure, coupled with vulnerable Content Management Systems (CMS), left these systems vulnerable to hacking from the inside.
Several factors contribute to Iran's inadequate cybersecurity infrastructure:
-The Iranian government has invested significantly in domestic cybersecurity, perhaps due to economic sanctions, political priorities, and a lack of awareness regarding cybersecurity risks.
-Most funding has been directed towards external defenses, using only domestic cybersecurity for repressive measures against citizens and control through web filtering.
Në kontekstin e Dezhfa, filtrimi i uebit censuron përmbajtjen e konsideruar të padëshirueshme nga qeveria iraniane. Dezhfa i pengon iranianët të:
-Vizita e faqeve të bllokuara ose përdorimi i aplikacioneve të bllokuara.
-Angazhimi në aktivitete të dyshimta, të tilla si përpjekje të pazakonta hyrjeje ose akses në dosje të paautorizuara.
- Shkelja e rregulloreve të qeverisë, të tilla si ato që rregullojnë eksportin e të dhënave të ndjeshme.
-Shprehja e mendimeve të kundërta ose përfshirja në aktivizëm politik.
-Infrastruktura e sigurisë kibernetike e Iranit Dezhfa është e vjetëruar; ekspozon dobësi, edhe përballë sulmeve të kryera përmes sistemeve të brendshme të internetit.
-Qeveria dhe bizneset shpesh mbështeten në softuer dhe harduer të vjetëruar, për mungesë të teknologjisë moderne të sigurisë.
-Profesionistëve iranianë të sigurisë kibernetike u mungon trajnimi adekuat për t'u mbrojtur kundër sulmeve kibernetike të sofistikuara, me mundësi të kufizuara trajnimi të disponueshme brenda vendit.
-Mungesa e ndërgjegjësimit për rreziqet e sigurisë kibernetike tek popullata iraniane lehtëson më tej sulmet.
-Izolimi i Iranit nga komuniteti ndërkombëtar i sigurisë kibernetike pengon shkëmbimin e informacionit dhe adoptimin e praktikave më të mira.
-Ndërhyrja e qeverisë në përpjekjet për sigurinë kibernetike, e motivuar nga dëshira për të mbajtur kontrollin nëpërmjet internetit, në vend që të mbrojë asetet e informacionit, përbën një pengesë të konsiderueshme.
-Nuk ka asnjë autoritet të vetëm në Iran përgjegjës për sigurinë kibernetike. Kjo e bën të vështirë që të koordinojnë përpjekjet dhe tu përgjigjen sulmeve.
Në fund të shtatorit 2022, një seri sulmesh synuan shërbimet e dobëta të pritjes, duke rezultuar në shkeljen e uebfaqeve të ndryshme qeveritare. Objektivat e vërejtur në katërmbëdhjetë webfaqet, përfshijnë faqet e internetit të Udhëheqësit suprem Ali Khamenei, Bonyad Maskan (Fondacioni i Strehimit) dhe Këshillin Kombëtar Islamik.
Veçanërisht, faqja e internetit e Udhëheqësit Suprem ra viktimë e një sulmi DDoS, ndërsa shkeljet e synuara të të dhënave çuan në vjedhjen e të dhënave sekrete, duke përfshirë informacionin personal, të dhënat financiare dhe sekretet qeveritare. Sulmet DDoS ndërprenë më tej infrastrukturën kritike, si rrjetet e energjisë dhe rrjetet e komunikimit, duke zhvilluar në mënyrë efektive luftë politike dhe ekonomike kundër Iranit Mes këtyre sulmeve, ne dëshmuam gjithashtu një lloj tjetër sulmi, të ndarë nga ata që infiltrojnë faqet e internetit qeveritar për shërbimet e pritjes të pambrojtura iraniane; ato të krijuara nga Gyamsarnegouni ("Kryengritja deri në përmbysje"). Sulmet e kryera nga ky grup ishin ndër infiltrimet më të thella kundër rrjeteve të qeverisë iraniane.
Këto sulme u dalluan për shkak të tre karakteristikave kryesore:
1. Shtrirja e infiltrimit në rrjetet më të sigurta qeveritare, të krahasueshme vetëm me Sulmi Stuxnet (i cili përdori një flash drive).
2. Vëllimi i dokumenteve të ekfiltruara.
3. Qasja e përhapur në serverë dhe kompjuterë.
Më poshtë, ne shqyrtojmë sulmet specifike të kryera nga ky grup, para dhe pas trazirave të vitit 2022.
Sulm kundër shërbimit transmetues të Iranit (IRIB)
Në këtë sulm, hakerët depërtuan në rrjetet e transmetimit televiziv dhe radio. Në mënyrë tipike, këto rrjete janë ndër më të izoluarit dhe më të mbrojturit, veçanërisht në vendet jodemokratike.
Rrjeti i brendshëm i transmetimit të Iranit nuk është i lidhur me internetin dhe ka boshllëk të madh ajror; do të thotë se është fizikisht i izoluar nga interneti dhe mund të aksesohet vetëm nga brenda. Kështu, sulmet e huaja janë jashtëzakonisht sfiduese.
Mënyra e vetme që një i huaj të fitojë akses në rrjet do të ishte përmes infiltrimit fizik të rrjetit rrjet ose për të fituar akses në një sistem të brendshëm që është i lidhur me rrjetin.
Hakerimi i dha akses përdorimit të kompiuterave dhe gjeneratorëve të tipit (CG), duke u mundësuar gjithashtu hakerëve të transmetojnë përmbajtjen e tyre.
Agjencitë iraniane të lajmeve fillimisht spekuluan me idenë për një përfshirje të brendshme, duke pasur parasysh natyrën unike të shkeljes.
Sipas Tasnim1: “Ka mundësi që një person i brendshëm të jetë përgjegjës për sulmin e hipokritëve kundër IRIB." duke shtuar: "Duke pasur parasysh se aktiviteti playout nuk kryhet në internet, madje edhe nëse ka ndonjë lidhje, është në intranet, duhet, ndër të tjera, të konsiderohet puna e të brendshëmvet si mirë."
Sipas "Akharin Akhbar2" (Lajmet e fundit), një rrjet lajmesh shtetëror iranian, “sistemet teknike të transmetimit janë plotësisht të izoluara; ato janë të pajisura me protokolle sigurie të pranueshme dhe nuk janë të aksesueshme nëpërmjet internetit." Lajmi shtoi se sipas forcave të sigurisë të lidhura me rrjetin e transmetimit të regjimit, sabotimi ishte skenari më i mundshëm. Fakti që agjencitë e lajmeve iraniane sugjeruan menjëherë se sulmi ishte kryer nga të brendshëm është gjithashtu i rëndësishëm, duke sugjeruar se njësitë qeveritare besojnë se sulmi është kryer nga dikush që kishte njohuri të brendshme për sistemet IRIB.
Sipas një raporti nga CheckPoint3, ndërsa pretendohet se mënyra e hyrjes fillestare nuk është ende e qartë, "mjetet e sulmuesve janë të cilësisë dhe sofistikimit relativisht të ulët" të cilat "mund të mbështesin teorinë që sulmuesit mund të kenë pasur ndihmë nga brenda IRIB, ose tregojnë një bashkëpunim ende të panjohur mes grupeve të ndryshme me aftësi të ndryshme.” Raporti gjithashtu thekson se metoda e aksesit fillestar ende nuk është e qartë pasi Irani nuk tregoi asgjë për sulmin. Çdo sulm kibernetik perëndimor apo izraelit kundër Iranit është identifikuar gjithmonë me detaje specifike.
Sulmet kibernetike të personave të brendshëm ndaj sistemeve të mbrojtura nga qeveria janë unike në karakteristikat e tyre, kryesisht për shkak të nivelit të lartë të masave të sigurisë të përfshira, dhe personat e brendshëm tashmë kanë një mundësi aksesi ose që e kuptojnë sistemin.
-Personat e brendshëm kanë akses në informacione dhe sisteme të ndjeshme. Personat e brendshëm nuk kanë nevojë të depërtojnë në sistem dhe kështu shpesh mund të mbledhin drejtpërdrejt informacione të ndjeshme.
-Personat e brendshëm mund të anashkalojnë masat e sigurisë të krijuara për tu mbrojtur kundër sulmeve të jashtme.
-Personat e brendshëm mund të motivohen për të kryer një sulm për arsye politike, financiare ose personale
Sulmi kundër Bashkisë së Teheranit
Në këtë shkelje, hakerët fituan akses në kamerat e sigurisë dhe vazhduan monitorimin deri në 24 orë pas sulmit fillestar, pavarësisht se aksesi në internet ishte ndërprerë në përpjekje për të kontrolluar situatën. Kjo nënkuptonte të kesh akses fizik në rrjet ose në një sistem të brendshëm të lidhur me rrjetin. Sipas Ana Agjencia e Lajmeve4, "Hadi Mahzarnia, shefi i Teknologjisë së Informacionit të Komunës së Teheranit, bëri të ditur sulmin kundër sistemit komunal të Teheranit dhe tha: të enjten, në 2 qershor në 12:38, u informova për një operacion sabotues kundër Sistemit të Bashkisë.” Ai vazhdoi: “Rrjeti, aksesi dhe të gjitha nënfushat u ndërprenë për të parandaluar çdo ndërprerje të mundshme. Lëvizja e parë ishte parandalimi i verifikimit të hakerimit dhe brenda një periudhe të shkurtër kohe, natyra e sulmit u bë e dukshme. Në fakt, kjo ishte e ngjashme me atë që kishte ndodhur me IRIB më herët”. Kjo nënkuptonte njohuri intime të infrastrukturës dhe aftësinë për të mbyllur rrjetin me shpejtësi.
Fakti që masa e parë ishte për të parandaluar verifikimin e hakerimit gjithashtu sugjeron që sulmuesit e morën masat për të mbuluar gjurmët e tyre. Është kryer thyerja e mijëra kamerave të përdorura për kontrollin e trafikut dhe njohjen e fytyrës ndërsa asnjëri prej tyre nuk ishte i lidhur në internet. Qasja në
qindra serverë në këtë rrjet ishte e paprecedentë. Shkelja përfshinte kamera që monitoronin faltoren e Ajatollah Khomeinit, e cila është ndër vendet më të mbrojtura dhe pa akses në internet. Ata do ta dinin se kamerat nuk ishin të lidhur me internetin dhe se do t'u duhej të kishin akses fizik në kamerat për ti hakeruar ato.
Më pas, Irani njoftoi arrestimin e disa prej personave të përfshirë në sulm, duke pretenduar se kryesori elementi pas sulmit ishte larguar nga vendi (Fars News Agency5).
Sulm kundër Ministrisë së Jashtme të Iranit
Gjatë kësaj shkeljeje, hakerët fituan akses në 50 Terabajt të dhëna nga arkivat e ministrisë, që tregon depërtimin në pjesën më të brendshme të dosjeve të këtij organi qeveritar. Natyra e dokumenteve të hakuara tregon se të tilla dokumente do të ishin të paarritshme nga interneti, duke mbështetur më tej dyshimet në përfshirjen e personave të brrndshëm.
Transferimi i të dhënave 50 TB nuk do të ishte i mundur nga persona të jashtëm – dhe në një rrjet të filtruar si ai i Iranit. Agjencia zyrtare e lajmeve iraniane IRNA minimizoi sulmin, duke cituar zëdhënësin e Ministrisë së Jashtme i cili e mohoi shkeljen.
Vlen të përmendet përmasat e mëdha të këtij hakimi. Shpejtësia e shkarkimit në internet në Iran është 11.8 megabit për sekondë.7 Për të shkarkuar 50 terabajt e të dhënave nga Ministria e Punëve të Jashtme të Iranit me këtë shpejtësi, do të duheshin mbi 392 ditë ose mbi një vit kohë shkarkimi të pandërprerë, dhe interneti i Iranit ka rënie të shpeshta, pengohet nga qeveria dhe përjeton ndërprerje të rregullta elektrike të shkaktuara nga qeveria. Bazuar në këto numra, një sulm i tillë ka shumë të ngjarë të ketë ndodhur nga qasja e drejtpërdrejtë në të dhëna.
Sulmi kundër Presidencës
Edhe një herë, sulmuesit depërtuan në rrjetet më të brendshme të qeverisë iraniane. Sipas Ardavanit Rouzbeh në Iran International, "(qeveria) përdori një adresë IP të dedikuar e cila ishte e padepërtueshme." Ai vazhdoi “kjo shkelje është më shumë një depërtim fizik apo rrjedhje njerëzore dhe mund të ketë persona të brendshëm të përfshirë.” Hakerët thyen sistemet më të sigurta të komunikimit të qeverisë, duke fituar akses në dhjetëra mijëra dokumente që nuk ishin më shumë se disa muaj të vjetër. Mohsen Sazegara pohoi në një intervistë me Iran International "dokumentet e arkivuara nuk ruhen kurrë në kompjuterë me hyrje në internet. Unë bëra disa kërkime dhe ka shumë të ngjarë që këto dokumente të jenë blerë. Me fjalë të tjera, dikush i ka vjedhur nga arkivi dhe i ka dorëzuar në këmbim të një shume. Vlerësimi im është se dokumentet janë reale, por nuk janë fituar me hakerim, por me blerje”.
Fakti që hakerët fituan akses në dhjetëra mijëra dokumente jo më shumë se disa muaj më parë sugjeron gjithashtu se persona të brendshëm e kryen sulmin. Këto dokumente ishin ruajtur në kompjuterë me akses të kufizuar në internet dhe do të kishte qenë e vështirë për një të huaj që të hynte tek ato.
Të tjerë ekspert që kanë lidhje me ngjarjen dhanë mendimin e tyre për hakerimin: Amir Rashidi, drejtor i sigurisë së internetit dhe të drejtave dixhitale në Miaan Group, një organizatë dixhitale iraniane për të drejtat e njeriut, gjithashtu i tha CyberScoop-it se dosjet "duken legjitime", ndoshta të marra nga dikush me akses të brendshëm.
Mungesa e aksesit në internet të dokumenteve të arkivuara përputhej me këtë këndvështrim. Personat e brendshëm do ta dinin ku mund t'i gjeni këto dokumente dhe si t'i aksesonin ato.
Konkluzioni
Kërcënimet e brendshme përbëjnë një rrezik të madh për sigurinë kibernetike të Iranit. Sulmet e fundit kibernetike të profilit të lartë kanë shënjestruar infrastruktura kritike dhe organet qeveritare, duke përfshirë rrjetet e transmetimit të vendit, komunës dhe Ministrisë së Punëve të Jashtme.
The Iranian government initially blamed foreign adversaries. However, cybersecurity experts and mounting evidence suggest internal involvement. Insider threats are a serious security risk for any organization. Insiders have access to sensitive information and systems and can cause significant damage if compromised, making insider threats particularly worrisome in Iran’s volatile political climate.
According to Farah News, “the sheer breadth and depth of GhyamSarnegouni’s hacks is incredible. The group gained control over 120 servers of the presidency’s internal network, central databases, the network management server, server controllers requiring administrative access, the presidency’s network of technical administrators, internet network users (1,300 computers), classified internal systems related to communication with the presidency, tens of thousands of top secret materials and secret artifacts, buildings, data centers and network designs, the presidency’s fiber optic networks, Khamenei’s headquarters, the government cabinet, the judiciary, the Interior Ministry, the Intelligence Ministry, the Foreign Ministry, the IRGC’s paramilitary Basij Forces, the Majlis (parliament), the state television and radio apparatus, Tehran airports and other entities of the mullahs’ regime, classified travel itineraries and top secret letters from the IRGC command in Tehran, not exhaustive.”
Iran also needs to be more transparent about the attacks. The government’s initial denials of the attacks only served to fuel speculation and mistrust. In the past, Iran has been quick and open about cyberattacks as if they were from outside sources. If the Iranian government were to admit that insiders carried out the attacks, then it would be an admission that people within their own government are willing to overthrow the regime. Such actions could lead to a loss of trust in the government, and could also make it more challenging to recruit and retain qualified employees, especially considering the attacks on protesters since the assassination of Mahsa Amini, now in its second year. / Post News
Lini një Përgjigje