Grup de seguretat cibernètica: les operacions dirigides als llocs del govern iranià es van executar internament a l'Iran

Un destacat grup de ciberseguretat ha investigat les operacions contra llocs web governamentals a l'Iran i ha conclòs que, a causa de l'estructura d'Internet de l'Iran i la seva separació d'Internet global, les operacions contra llocs web del govern, inclosos els pertanyents a la ràdio i televisió estatals el 27 de gener de 2022, el Ministeri d'Afers Exteriors el 7 de maig de 2023 i l'oficina del president el 29 de maig de 2023 es van dur a terme per infiltració i no podrien haver estat el resultat d'una penetració des de fora de l'Iran.

En els darrers anys, el grup de ciberseguretat Treadstone71 ha publicat diversos informes sobre el govern iranià i els seus ciberatacs i ha evolucionat com a autoritat en aquest camp.

L'informe de Treadstone71 subratlla que els principals atacs als llocs del govern iranià probablement es van dur a terme per penetracions des de l'interior de l'Iran, en particular per persones privilegiades que tenien accés a aquests sistemes.

Desenvolupaments dels llocs web més importants del govern iranià, així com els sistemes en línia del municipi de Teheran i les xarxes nacionals de ràdio i televisió, han estat objecte d'atacs massius des del gener de 2022.

el grup "Gyamsarnegouni ("Aixecament fins a l'enderrocament") ha assumit la responsabilitat dels principals atacs i ha divulgat amplis documents governamentals interns del govern iranià al seu compte de Telegram. El grup ha desfigurat les pàgines d'inici d'una sèrie de llocs web, publicant imatges ratllades del líder suprem Ali Khamenei i col·locant imatges dels líders de l'oposició iraniana.

El 2022, les estructures i els serveis d'Internet del govern d'Albània van ser objectiu d'un ciberatac massiu, que va causar molts problemes. Una àmplia investigació de Microsoft i altres va apuntar amb el dit a Teheran.

Segons l'avaluació de Treadstone71, "L'Iran té una llarga història de participar en atacs de ciberseguretat i, segons algunes estadístiques, ocupa el cinquè lloc entre les nacions conegudes per atacar els seus adversaris mitjançant la guerra cibernètica".

anunci

"Com a precaució de seguretat", assenyala Treadstone71 al seu informe, "l'Iran va decidir canviar els seus llocs web governamentals dels servidors d'allotjament europeus a empreses d'allotjament nacionals, com a part de la seva 'Internet nacional'", i com a resultat, "Tot el govern i l'estat. Els llocs web controlats es van traslladar dels servidors d'allotjament europeus i americans als amfitrions nacionals" i "l'accés a determinats llocs web controlats pel govern i l'estat es va restringir a 'Internet nacional', fent-los inaccessibles a través d'Internet global".

L'informe de Treadstone71 va subratllar que "també vam presenciar un tipus d'atac diferent, diferent dels que s'infiltraven en llocs web governamentals en serveis d'allotjament iranians vulnerables; els fets per Gyamsarnegouni ("Aixecament fins a l'enderrocament"). Els atacs realitzats per aquest grup van ser una de les infiltracions més profundes contra les xarxes del govern iranià".

L'informe assenyala:

Aquests atacs van destacar per tres característiques clau:

1. El grau d'infiltració a les xarxes governamentals més segures, comparable només a l'atac de Stuxnet (que utilitzava una unitat flaix).

2. El volum de documents exfiltrats.

3. L'accés generalitzat a servidors i ordinadors.

L'informe Treadstone71 subratlla que les xarxes estatals de ràdio i televisió, especialment en països no democràtics com l'Iran, "es troben entre les xarxes més aïllades i més protegides". A més, diu: “La xarxa de radiodifusió interna de l'Iran no està connectada a Internet i té una gran bretxa d'aire; és a dir, està físicament aïllat d'Internet i només es pot accedir des de dins... L'única manera que un foraster pugui accedir a la xarxa seria mitjançant la infiltració física".

El gener de 2022, els mitjans de comunicació iranians van assenyalar que les institucions governamentals creuen que aquest atac va ser dut a terme per persones que tenien informació privilegiada sobre els sistemes de ràdio i televisió de l'estat iranià.

L'atac als llocs web del municipi de Teheran el 2 de juny de 2022 va incloure la ruptura de 5,000 càmeres emprades per al control del trànsit i el reconeixement facial. Segons Treadstone71, els pirates informàtics "haurien sabut que les càmeres no estaven connectades a Internet i que haurien d'obtenir accés físic a les càmeres per piratejar-les".

Però els descobriments més sorprenents de Treadstone71 estan relacionats amb els dos atacs d'alt perfil i que criden l'atenció de Gyamsarnegouni maig 2023.

Durant l'atac al lloc web del Ministeri d'Afers Exteriors iranià, els pirates informàtics van obtenir accés a 50 terabytes de dades dels arxius del Ministeri. L'avaluació de Treadstone71 és que això requeria "una penetració a les capes més internes d'aquest organisme governamental. La naturalesa dels documents filtrats indica que aquests documents serien inaccessibles des d'Internet, donant suport encara més a les sospites d'implicació privilegiada".

L'avaluació d'experts de Treadstone71 va concloure que "la transferència de dades de 50 TB no seria possible de forma remota, i en una xarxa filtrada com la de l'Iran", i va afegir que la gran mida del pirateig també revela com es va dur a terme.

"La velocitat normal de descàrrega d'Internet de l'iranià és d'11.8 megabits per segon. Per descarregar 50 terabytes de dades del Ministeri d'Afers Exteriors de l'Iran a aquesta velocitat caldria més de 392 dies o més d'un any de temps de descàrrega ininterrompuda, i Internet de l'Iran cau amb freqüència, el govern l'accelera i experimenta apagues regulars induïdes pel govern. ", deia l'informe.

"A partir d'aquestes xifres, és molt probable que un atac d'aquest tipus s'hagi produït a partir de l'accés directe a les dades".

En relació a l'atac a la pàgina web de l'oficina presidencial, els hackers van trencar els sistemes de comunicació més segurs del govern i van obtenir desenes de milers de documents que no tenien més que uns mesos d'antiguitat.

Segons un expert iranià, aquest lloc "utilitzava una adreça IP dedicada que era impenetrable".

"El fet que els pirates informàtics hagin tingut accés a desenes de milers de documents de no més d'uns mesos d'antiguitat també suggereix que l'atac va ser realitzat per persones privilegiades. Aquests documents s'haurien emmagatzemat en ordinadors amb accés limitat a Internet i hauria estat difícil. perquè un foraster hi pugui accedir", va dir Treadstone71.

L'informe va concloure dient: "El govern iranià va atribuir inicialment la culpa als adversaris estrangers. No obstant això, els experts en ciberseguretat i l'evidència creixent suggereixen una implicació privilegiada".

Comparteix aquest article: