Cybersikkerhedsgruppe: Operationer rettet mod iranske regeringswebsteder blev udført internt i Iran

En fremtrædende cybersikkerhedsgruppe har undersøgt operationer mod regeringswebsteder i Iran og konkluderet, at på grund af strukturen af ​​Irans internet og dets adskillelse fra det globale internet, operationer mod regeringswebsteder, inklusive dem, der tilhører statens radio og tv den 27. januar 2022, Udenrigsministeriet den 7. maj 2023 og præsidentens embede den 29. maj 2023 blev udført ved infiltration og kunne ikke have været et resultat af penetration fra lande uden for Iran.

I de seneste år har Treadstone71 cybersikkerhedsgruppen offentliggjort flere rapporter om den iranske regering og dens cyberangreb og har udviklet sig som en autoritet på dette område.

Treadstone71-rapporten understreger, at større angreb på den iranske regerings steder højst sandsynligt blev udført af penetrationer inde fra Iran, især af insidere, der havde adgang til disse systemer.

Snesevis af den iranske regerings vigtigste websteder, såvel som onlinesystemer i Teheran Kommune og nationale radio- og tv-netværk, har været udsat for massive angreb siden januar 2022.

Gruppen "Gyamsarnegouni ("Opstand indtil omstyrtning") har taget ansvaret for hovedangrebene og har afsløret omfattende interne regeringsdokumenter fra den iranske regering på sin Telegram-konto. Gruppen har skæmmet hjemmesiderne på en række websteder, postet overstregede billeder af den øverste leder Ali Khamenei og placeret billederne af iranske oppositionsledere.

I 2022 blev Albaniens regerings internetstrukturer og -tjenester ramt af et massivt cyberangreb, som forårsagede mange problemer. Omfattende undersøgelser fra Microsoft og andre pegede fingeren mod Teheran.

Ifølge Treadstone71s vurdering, "har Iran en lang historie med at engagere sig i cybersikkerhedsangreb, og ifølge nogle statistikker er det femte blandt nationer kendt for at målrette deres modstandere gennem cyberkrigsførelse."

reklame

"Som en sikkerhedsforanstaltning," bemærker Treadstone71 i sin rapport, "besluttede Iran at flytte sine regeringswebsteder fra europæiske hostingservere til indenlandske hostingvirksomheder, som en del af sit 'nationale internet'," og som et resultat, "alle regeringer og stater -kontrollerede websteder blev flyttet fra europæiske og amerikanske hostingservere til indenlandske værter," og "adgang til udvalgte regerings- og statskontrollerede websteder var begrænset til det 'nationale internet', hvilket gjorde dem utilgængelige via det globale internet."

Treadstone71-rapporten understregede, "vi var også vidne til en anden form for angreb, adskilt fra de infiltrerende statslige websteder på sårbare iranske hostingtjenester; dem lavet af Gyamsarnegouni ("Opstand indtil omstyrtning"). Angreb udført af denne gruppe var blandt de dybeste infiltrationer mod den iranske regerings netværk."

Rapporten bemærker:

Disse angreb skilte sig ud på grund af tre nøglekarakteristika:

1. Omfanget af infiltration i de mest sikre offentlige netværk, kun sammenlignelig med Stuxnet-angrebet (som brugte et flashdrev).

2. Mængden af ​​eksfiltrerede dokumenter.

3. Den udbredte adgang til servere og computere.

Treadstone71-rapporten understreger, at statslige radio- og tv-netværk, især i udemokratiske lande som Iran, "er blandt de mest isolerede og mest beskyttede netværk." Den siger yderligere: "Irans interne udsendelsesnetværk er ikke forbundet til internettet og er alvorligt luftgab; hvilket betyder, at det er fysisk isoleret fra internettet og kun kan tilgås indefra ... Den eneste måde for en udefrakommende at få adgang til netværket ville være gennem fysisk infiltration"

I januar 2022 påpegede de iranske nyhedsmedier, at regeringsinstitutioner mener, at dette angreb blev udført af personer, der havde intern information om iranske statslige radio- og tv-systemer.

Angrebet på Teheran Kommunes hjemmesider den 2. juni 2022 omfattede indbrud i 5,000 kameraer, der blev brugt til trafikkontrol og ansigtsgenkendelse. Ifølge Treadstone71 ville hackerne "have vidst, at kameraerne ikke var forbundet til internettet, og at de skulle få fysisk adgang til kameraerne for at hacke dem."

Men Treadstone71s mest opsigtsvækkende fund er relateret til de to højtprofilerede og opmærksomhedsskabende angreb fra Gyamsarnegouni maj 2023.

Under angrebet på det iranske udenrigsministeriums hjemmeside fik hackere adgang til 50 terabyte data fra ministeriets arkiver. Treadstone71's vurdering er, at dette krævede "penetration ind i de inderste lag af dette statslige organ. Arten af ​​de lækkede dokumenter indikerer, at sådanne dokumenter ville være utilgængelige fra internettet, hvilket yderligere understøtter mistanke om insider involvering."

Treadstone71's ekspertvurdering konkluderede, at "overførsel af 50 TB data ikke ville være mulig eksternt - og på et filtreret netværk som det i Iran," og tilføjede, at selve størrelsen af ​​hacket også afslører, hvordan det blev udført.

"Den normale internetdownloadhastighed for iransk er 11.8 megabit per sekund. At downloade 50 terabyte data fra det iranske udenrigsministerium ved denne hastighed ville tage over 392 dage eller mere end et år med uafbrudt downloadtid, og Irans internet falder ofte, bliver dæmpet af regeringen og oplever regelmæssige, regeringsinducerede blackouts, ” stod der i rapporten.

"Baseret på disse tal opstod et sådant angreb højst sandsynligt fra direkte adgang til dataene."

I forhold til angrebet på præsidentkontorets hjemmeside brød hackerne regeringens sikreste kommunikationssystemer og opnåede titusindvis af dokumenter, der ikke var mere end et par måneder gamle.

Ifølge en iransk ekspert brugte dette websted "en dedikeret IP-adresse, der var uigennemtrængelig."

"Den kendsgerning, at hackerne fik adgang til titusindvis af dokumenter, der ikke er mere end et par måneder gamle, tyder også på, at insidere har udført angrebet. Disse dokumenter ville have været opbevaret på computere med begrænset adgang til internettet, og det ville have været svært. for en udefrakommende at få adgang til dem," udtalte Treadstone71.

Rapporten afsluttede med at sige: "Den iranske regering tilskrev oprindeligt udenlandske modstandere skylden. Dog tyder cybersikkerhedseksperter og stigende beviser på insider involvering."

Del denne artikel: