Grupo de seguridade cibernética: as operacións dirixidas a sitios do goberno iraniano executáronse internamente dentro de Irán

Un destacado grupo de ciberseguridade investigou operacións contra sitios web gobernamentais en Irán e concluíu que, debido á estrutura da Internet de Irán e á súa separación da Internet global, as operacións contra sitios web gobernamentais, incluídos os pertencentes á radio e televisión estatais o 27 de xaneiro de 2022, o Ministerio de Asuntos Exteriores o 7 de maio de 2023 e a oficina do presidente o 29 de maio de 2023 foron realizados por infiltración e non puideron ser o resultado dunha penetración desde fóra de Irán.

Nos últimos anos, o grupo de ciberseguridade Treadstone71 publicou varios informes sobre o goberno iraniano e os seus ciberataques e evolucionou como autoridade neste campo.

O informe de Treadstone71 subliña que os ataques importantes contra os sitios do goberno iraniano foron moi probablemente realizados por penetracións desde o interior de Irán, en particular por persoas que tiñan acceso a estes sistemas.

Decenas dos sitios web máis importantes do goberno iraniano, así como os sistemas en liña do municipio de Teherán e as cadeas nacionais de radio e televisión, foron obxecto de ataques masivos desde xaneiro de 2022.

O grupo "Gyamsarnegouni ("Levantamento ata o derrocamento") asumiu a responsabilidade dos principais ataques e revelou amplos documentos internos do goberno iraniano na súa conta de Telegram. O grupo desfigura as páxinas de inicio dunha serie de sitios web, publicando imaxes tachadas do líder supremo Ali Khamenei e colocando as imaxes dos líderes da oposición iraniana.

En 2022, as estruturas e servizos de internet do goberno de Albania foron obxecto dun ciberataque masivo, que causou moitos problemas. A extensa investigación de Microsoft e outros apuntaron co dedo a Teherán.

Segundo a avaliación de Treadstone71, "Irán ten unha longa historia de participar en ataques de ciberseguridade e, segundo algunhas estatísticas, ocupa o quinto lugar entre as nacións coñecidas por atacar aos seus adversarios mediante a guerra cibernética".

propaganda

"Como precaución de seguridade", sinala Treadstone71 no seu informe, "Irán decidiu cambiar os seus sitios web gobernamentais de servidores de hospedaxe europeos a empresas de hospedaxe nacionais, como parte da súa 'Internet nacional'", e como resultado, "todo o goberno e o estado". - os sitios web controlados foron trasladados de servidores de hospedaxe europeos e americanos a anfitrións domésticos" e "o acceso a determinados sitios web controlados polo goberno e o estado restrinxiuse á 'Internet nacional', facéndoos inaccesibles a través da Internet global".

O informe de Treadstone71 subliñou: "Tamén asistimos a un tipo de ataque diferente, separado dos que se infiltran en sitios web gobernamentais en servizos de hospedaxe iranianos vulnerables; os feitos por Gyamsarnegouni ("Levantamento ata o derrocamento"). Os ataques realizados por este grupo estiveron entre as infiltracións máis profundas contra as redes do goberno iraniano".

O informe sinala:

Estes ataques destacaron por tres características fundamentais:

1. O alcance da infiltración nas redes gobernamentais máis seguras, comparable só ao ataque Stuxnet (que utilizou unha unidade flash).

2. O volume de documentos exfiltrados.

3. O acceso xeneralizado a servidores e ordenadores.

O informe Treadstone71 subliña que as cadeas estatais de radio e televisión, especialmente en países non democráticos como Irán, "están entre as redes máis illadas e protexidas". Ademais, di: “A rede de radiodifusión interna de Irán non está conectada a Internet e ten un espazo de aire grave; é dicir, está fisicamente illado de Internet e só se pode acceder desde dentro... A única forma de que un estraño poida acceder á rede sería a través da infiltración física ".

En xaneiro de 2022, os medios de comunicación iranianos sinalaron que as institucións gobernamentais cren que este ataque foi levado a cabo por persoas que tiñan información privilexiada sobre os sistemas de radio e televisión do Estado iraniano.

O ataque aos sitios web do municipio de Teherán o 2 de xuño de 2022 incluíu a rotura de 5,000 cámaras empregadas para o control do tráfico e o recoñecemento facial. Segundo Treadstone71, os hackers "saberían que as cámaras non estaban conectadas a Internet e que necesitarían acceder físicamente ás cámaras para piratealas".

Pero os achados máis sorprendentes de Treadstone71 están relacionados cos dous ataques de alto perfil e que chaman a atención de Gyamsarnegouni en mayo 2023.

Durante o ataque ao sitio web do Ministerio de Asuntos Exteriores iraniano, os hackers accederon a 50 terabytes de datos dos arquivos do Ministerio. A avaliación de Treadstone71 é que isto requiriu "a penetración nas capas máis internas deste organismo gobernamental. A natureza dos documentos filtrados indica que tales documentos serían inaccesibles desde Internet, apoiando aínda máis as sospeitas de participación privilegiada".

A avaliación experta de Treadstone71 concluíu que "a transferencia de datos de 50 TB non sería posible de forma remota e nunha rede filtrada como a de Irán", e engadiu que o gran tamaño do hackeo tamén revela como se levou a cabo.

"A velocidade normal de descarga de Internet do iraniano é de 11.8 megabits por segundo. Para descargar 50 terabytes de datos do Ministerio de Asuntos Exteriores de Irán a esta velocidade levaría máis de 392 días ou máis dun ano de tempo de descarga ininterrompida, e Internet de Irán cae con frecuencia, é estrangulada polo goberno e experimenta cortes regulares inducidos polo goberno. ", indica o informe.

"En base a estes números, é moi probable que un ataque deste tipo ocorrese polo acceso directo aos datos".

En relación ao ataque á páxina web da oficina presidencial, os hackers violaron os sistemas de comunicación máis seguros do goberno e obtiveron decenas de miles de documentos que non tiñan máis que uns meses.

Segundo un experto iraniano, este sitio "utilizaba un enderezo IP dedicado que era impenetrable".

"O feito de que os piratas informáticos tivesen acceso a decenas de miles de documentos de non máis de uns meses de antigüidade tamén suxire que as persoas internas levaron a cabo o ataque. Estes documentos teríanse almacenado en ordenadores con acceso limitado a Internet, e sería difícil. para que un estranxeiro acceda a eles", afirmou Treadstone71.

O informe concluíu dicindo: "O goberno iraniano atribuíu inicialmente a culpa aos adversarios estranxeiros. Non obstante, os expertos en ciberseguridade e as probas crecentes suxiren unha implicación interna".

Comparte este artigo: