Vendosni fjalën kyçe....

Microsoft heton sulmin kibernetik: Hakerat të lidhur me Iranin, ndërhyrjet filluan që në tetor 2021


Pas sulmeve kibernetike që ndodhën  në mes të korrikut, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet ndaj sistemeve qeveritare.

Microsoft ka publikuar rezultatet e hetimit të tij (kliko këtu), duke vlerësuar se më 15 korrik 2022, kanë qenë aktorë të sponsorizuar nga qeveria iraniane ata që kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike.

Microsoft ka treguar edhe se cilat janë katër fazat e sulmit kibernetik në Shqipëri.

PJESË NGA HETIMI I MICROSOFT

Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin eksfiltruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.

Ka pasur disa faza të identifikuara në këtë fushatë:

  • Ndërhyrja fillestare
  • Eksfiltrimi i të dhënave
  • Kriptimi dhe shkatërrimi i të dhënave
  • Operacionet e informacionit

Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:

  • DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
  • DEV-0861 fitoi akses fillestar dhe nxori të dhëna
  • DEV-0166 të dhënat e filtruara
  • DEV-0133 infrastruktura e hetuar e viktimave

Microsoft përdor emërtimet DEV-#### si një emër të përkohshëm që i jepet një grupitë panjohur, në zhvillim ose një grupi aktivitetesh kërcënimi, duke lejuar MSTIC tagjurmojë atë si një grup unik informacioni derisa të arrijmë një besim të lartë përorigjinën ose identitetin të aktorit që qëndron pas aktivitetit.

Pasi të plotësojë kriteret,referenca DEV konvertohet në një aktor me emër:

Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesitfillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dheu zbulua duke përdorur tre grupime unike të aktivitetit.

Ne i gjurmojmë ato veçmas bazuar në grupe unike mjetesh dhe/ose TTP; megjithatë, disa prej tyre mund tëpunojnë për të njëjtën njësi.

Informacioni specifik për Shqipërinë shpërndahet me leje nga qeveria shqiptare.

Figura 1. Aktorët kërcënues që qëndrojnë pas sulmit kundër qeverisë shqiptare

Analiza mjeko-ligjore

Provat e mbledhura gjatë përgjigjes mjeko-ligjore treguan se aktorët e lidhur meIranin e kryen sulmin. Kjo dëshmi përfshin, por nuk kufizohet në:

Sulmuesit u vëzhguan duke vepruar jashtë Iranit

  • Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave përdorënmjete të përdorura më parë nga sulmues të tjerë të njohur iranianë
  • Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave synuan sektorë dhe vende të tjera që janë në përputhje me interesat iraniane
  • Kodi i fshirësit është përdorur më parë nga një aktor i njohur iranianransomware u nënshkrua nga e njëjta certifikatë dixhitale e përdorur për të nënshkruar mjete të tjera të përdorura nga aktorët iranianë.

Ndërhyrja dhe eksfiltrimi

Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një viktime të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.

DEV-0861 u vu re se funksiononte nga IP-të e mëposhtme për të eksfiltuar postën:

144[.]76[.]6[.]34

176[.]9[.]18[.]143

148[.]251[.]232[.]252.

Analiza e sinjaleve nga këto IP dhe burime të tjera, tregoi se DEV-0861 ka eksploruar në mënyrë aktive postën nga organizata të ndryshme në vendet e mëposhtme që nga prilli 2020.

Figura 2. Afati kohor i aktiviteteve të ekfiltrimit të të dhënave nga DEV-0861

Profili gjeografik i këtyre viktimave – Izraeli, Jordania, Kuvajti, Arabia Saudite, Turqia dhe Emiratet e Bashkuara Arabe – përputhet me interesat iraniane dhe historikisht janë shënjestruar nga aktorët shtetërorë iranianë, veçanërisht aktorët e lidhur me MOIS.

DEV-0166 u vu re duke eksfiltruar postën nga viktima midis nëntorit 2021 dhe majit 2022. DEV-0166 ka të ngjarë të përdorte mjetin Jason.exe për të hyrë në kutitë postare të komprometuara. Një analizë publike e Jason.exe mund të gjendet këtu. Vini re se ky mjet thuhet se është përdorur nga aktorë të lidhur me MOIS.

Figura 3. Pamja e ekranit të veglës Jason.exe

 

Ransomware dhe fshirëse

Sulmi kibernetik ndaj qeverisë shqiptare përdori një taktikë të përbashkët të aktorëve të sponsorizuar nga shteti iranian duke vendosur fillimisht ransomëare, e ndjekur nga vendosja e malëare-it të fshirësit. Fshirësi dhe ransomëare kishin të dy lidhje frozenike me shtetin iranian dhe grupet e lidhura me Iranin. Fshirësi që DEV-0842 vendosi në këtë sulm përdori të njëjtin çelës licence dhe drejtues EldoS RaëDisk si ZeroCleare, një fshirëse që aktorët shtetërorë iranianë përdorën në një sulm ndaj një kompanie energjie në Lindjen e Mesme në mesin e 2019.

Në atë rast, IBM X-Force vlerësoi se aktorët e lidhur me EUROPIUM fituan akses fillestar gati një vit përpara sulmit me fshirëse. Sulmi me fshirëse u krye më pas nga një aktor i veçantë dhe i panjohur iranian. Kjo është e ngjashme me zinxhirin e ngjarjeve që Microsoft zbuloi kundër qeverisë shqiptare.

Kodi i përdorur në këtë sulm kishte këto karakteristika:

I ngulitur në fshirësin cl.exe ishte vargu gjashtëkëndor ‘B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D 47D, i cili ishte i njëjti çelës i licencës i përdorur për mjetin El93C911E2287A4B906D47D, i cili ishte i njëjti çelës i licencës, i cili ishte i njëjti çelës i licencës, i cili ishte i njëjti mjet drejtuesi i dokumentit të licencës. u abuzua gjithashtu nga fshirësi ZeroCleare dhe u përdor për të fshirë skedarë, disqe dhe ndarje në sistemet e synuara. Ndërsa ZeroCleare nuk përdoret gjerësisht, ky mjet po ndahet mes një numri më të vogël aktorësh të lidhur duke përfshirë aktorë në Iran me lidhje me MOIS.

Ngarkesa e ransomware e përdorur në këtë sulm nga operatori DEV-0842 kishte këto karakteristika:

 

Ky mjet është nënshkruar me një certifikatë dixhitale të pavlefshme nga Kuwait Telecommunications Company KSC. Kjo certifikatë kishte një gjurmë gishti SHA-1 prej 55d90ec44b97b64b6dd4e3aee4d1585d6b14b26f. Telemetria e Microsoft tregon se kjo certifikatë është përdorur vetëm për të nënshkruar 15 skedarë të tjerë – një gjurmë shumë e vogël, që sugjeron se certifikata nuk ishte e shpërndarë gjerësisht midis grupeve të aktorëve të palidhur. Shumë binare të tjera me të njëjtën certifikatë dixhitale janë parë më parë në skedarë me lidhje me Iranin, duke përfshirë një viktimë të njohur DEV-0861 në Arabinë Saudite në qershor 2021:

Nuk është e qartë nëse Read.exe u hoq nga DEV-0861 në këtë viktimë saudite ose nëse DEV-0861 ia dorëzoi gjithashtu aksesin viktimës saudite në DEV-0842.

Indikacione shtesë për sponsorizimin shtetëror iranian

Mesazhet, koha dhe përzgjedhja e objektivave të sulmeve kibernetike forcuan besimin tonë se sulmuesit po vepronin në emër të qeverisë iraniane. Mesazhet dhe përzgjedhja e objektivit tregojnë se Teherani ka të ngjarë të përdorë sulmet si hakmarrje për sulmet kibernetike që Irani percepton se janë kryer nga Izraeli dhe Mujahedin-e Khalq (MEK), një grup disident iranian me bazë kryesisht në Shqipëri që kërkon të përmbysë Republikën Islamike të Iranit.

Mesazhimi

Logoja e sulmuesit është një shqiponjë që pre në simbolin e grupit haker “Predatory Sparrow” brenda Yllit të Davidit (Figura 4). Kjo sinjalizon se sulmi ndaj Shqipërisë ishte hakmarrje për operacionet e Predatory Sparroë kundër Iranit, të cilat Teherani e percepton se përfshin Izraelin. Predatory Sparrow ka marrë përgjegjësinë për disa sulme kibernetike të profilit të lartë dhe shumë të sofistikuar kundër subjekteve të lidhura me Iraninqë nga korriku 2021.

Kjo përfshinte një sulm kibernetik që ndërpreu programet televizive të Transmetimit të Republikës Islamike të Iranit (IRIB) me imazhe që përshëndesin udhëheqësit e MEK në fund të janarit. Predatory Sparroë paralajmëroi për sulmin disa orë përpara kohe dhe pretendoi se ata e mbështetën dhe paguanin për të, duke treguar se të tjerët ishin të përfshirë. Zyrtarët iranianë fajësuan MEK për këtë sulm kibernetik dhe gjithashtu fajësuan MEK dhe Izraelin për një sulm kibernetik që përdori të njëjtat imazhe dhe mesazhe kundër bashkisë së Teheranit në qershor.

Mesazhi në imazhin e shpërblesës tregon se MEK, një kundërshtar i gjatë i regjimit iranian, ishte objektivi kryesor pas sulmit të tyre ndaj qeverisë shqiptare. Imazhi i shpërblesës, si disa postime të Drejtësisë së Atdheut, grupi që shtynte haptazi mesazhe dhe nxirrte të dhëna të lidhura me sulmin, pyeti “pse duhet të shpenzohen taksat tona për terroristët e Durrësit”. Kjo është një referencë për MEK-un, të cilin Teherani i konsideron terroristë, të cilët kanë një kamp të madh refugjatësh në qarkun e Durrësit në Shqipëri.

Figura 4. Imazhi i Ransomware dhe baneri i Drejtësisë së Atdheut

Mesazhet e lidhura me sulmin pasqyronin nga afër mesazhet e përdorura në sulmetkibernetike kundër Iranit, një taktikë e zakonshme e politikës së jashtme iraniane qësugjeron një qëllim për të sinjalizuar sulmin si një formë hakmarrjeje.

Niveli i detajevetë pasqyruara në mesazhe gjithashtu zvogëlon gjasat që sulmi të ishte një operacion irremë nga një vend tjetër përveç Iranit.

Numrat e kontaktit të renditur në imazhin e shpërblesës (Figura 4), përshembull, ishin të lidhur me shumë drejtues të lartë shqiptarë, duke pasqyruarsulmet kibernetike në hekurudhat e Iranit dhe pompat e karburantit, të cilat përfshinin një numër telefoni kontakti që i përkiste Zyrës së UdhëheqësitSuprem iranian.

Mesazhet në operacionet e informacionit theksonin gjithashtu shënjestrimin epolitikanëve të korruptuar të qeverisë dhe mbështetjen e tyre për terroristëtdhe interesin për të mos dëmtuar popullin shqiptar (Figura 5).

Në mënyrë të ngjashme, sulmi ndaj kompanive iraniane të çelikut pretendoi se synonte fabrikat e çelikut për lidhjet e tyre me Korpusin e Gardës Revolucionare Islamike (IRGC) duke shmangur dëmtimin e iranianëve. Një tjetër sulm kibernetik ndaj një linje ajrore iraniane në fund të vitit 2021, i cili u pretendua nga Hooshyaran-e Vatan (që do të thotë “Vëzhguesit e Atdheut” në farsi), theksoi korrupsionin e Teheranit dhe shpërdorimin e parave për aktivitetet e IRGC jashtë vendit.

Operacionet paralele të informacionit dhe amplifikimi

Përpara dhe pas nisjes së fushatës së mesazheve “Atland Justice”, llogaritë e personave të mediave sociale dhe një grup shtetasish iranianë dhe shqiptarë të jetës reale të njohur për pikëpamjet e tyre pro Iranit, anti-MEK, promovuan pikat e përgjithshme të bisedës së fushatës dhe përforcuan rrjedhjet e publikuara nga llogaritë e Drejtësisë së Atdheut në internet. Promovimi paralel i fushatës “Drejtësia e Atdheut” dhe temave të saj qendrore nga këto subjekte në hapësirën online – para dhe pas sulmit kibernetik – sugjeron një operacion informacioni me bazë të gjerë që synon të përforcojë ndikimin e sulmit.

Përpara sulmit kibernetik, më 6 qershor, Ebrahim Khodabandeh, një ish-anëtar i pakënaqur i MEK-ut postoi një letër të hapur drejtuar kryeministrit shqiptar Edi Rama duke paralajmëruar pasojat e përshkallëzimit të tensioneve me Iranin. Duke thirrur “pushimin e sistemeve komunale të Teheranit” dhe ” stacionet e benzinës “, Khodabandeh pretendoi se MEK ishte burimi i “akteve sabotuese kundër interesave të popullit iranian [sic]” dhe argumentoi se këto përbënin “punën armiqësore të qeverinë tuaj” dhe ka shkaktuar “armiqësi të dukshme me kombin iranian [sic]”.

Katër ditë më vonë, më 10 qershor, Khodabandeh dhe Shoqëria Nejat, një OJQ anti-MEK që ai drejton, pritën një grup shtetasish shqiptarë në Iran. Grupi përfshinte anëtarë të një organizate tjetër anti-MEK të quajtur Shoqata për Mbështetjen e Iranianëve që jetojnë në Shqipëri (ASILA) – Gjergji Thanasi, Dashamir Mersuli dhe Vladimir Veis. Duke pasur parasysh natyrën shumë politike të punës së ASILA-s për çështje që lidhen me një grup që Teherani e konsideron organizatë terroriste (MEK), ka shumë mundësi që kjo vizitë të jetë kryer me sanksion nga shteti. Pas kthimit të tyre nga Irani, më 12 korrik, Shoqëria Nejat tha se policia shqiptare bastisi zyrat e tyre dhe arrestoi disa anëtarë të ASILA-s. Ndërsa Shoqëria Nejat tha se ky bastisje ishte rezultat i “akuzave të rreme dhe të pabaza”, sipas mediave lokale.bastisja erdhi nga lidhjet e mundshme me shërbimet e inteligjencës iraniane.Anëtarët e ASILA-s në Iran në qershor 2022. Në foto, nga e majta, janë Gjergji Thanasi, Ebrahim Khodabandeh, Dashamir Mersuli dhe Vladimir Veis.

Në vazhdën e sulmit kibernetik, më 23 korrik, Thanasi dhe Olsi Jazexhi, një tjetër shtetas shqiptar që shfaqet shpesh në median e sponsorizuar nga shteti iranian PressTV duke përkrahur pozicione anti-MEK, kanë shkruar një letër të dytë të hapur drejtuar presidentit të atëhershëm shqiptar Ilir Meta, publikuar edhe në faqen e internetit të Shoqërisë Nejat. Kjo letër i bënte jehonë pretendimit qendror të Drejtësisë së Atdheut – domethënë se vazhdimi i Shqipërisë për të pritur MEK-un përbënte një rrezik për popullin shqiptar. Jazexhi dhe Thanasi i bënë thirrje Metës që të mbledhë Këshillin e Sigurisë Kombëtare të Shqipërisë për të “shqyrtuar nëse Shqipëria ka hyrë në një konflikt kibernetik dhe ushtarak me Republikën Islamike të Iranit”.

Në maj të vitit 2021, afërsisht në të njëjtën kohë kur aktorët iranianë filluan ndërhyrjen e tyre në sistemet e viktimave të qeverisë shqiptare, llogari për dy persona të mediave sociale anti-MEK , të cilat duket se nuk korrespondojnë me njerëz të vërtetë, u krijuan në Facebook dhe Twitter. Llogaritë kryesisht postojnë përmbajtje anti-MEK dhe angazhohen me llogaritë e mediave sociale të disa prej individëve të detajuar më lart. Këto dy llogari së bashku me një llogari të tretë, më të vjetër, ishin ndër të parat që promovuan postime nga llogaritë e Drejtësisë së Atdheut në Tëitter dhe të treja rritën në mënyrë dramatike shkallën e postimeve anti-MEK pasi sulmi kibernetik i mesit të korrikut 2022 u bë publik.

Ekzistojnë disa prova shtesë që roli i këtyre personave shtrihej përtej amplifikimit të thjeshtë të mediave sociale dhe në prodhimin e përmbajtjes. Një nga personat që postonte në mënyrë të përsëritur përmbajtjen e Drejtësisë së Atdheut kishte shkruar më parë për American Herald Tribune të lidhur me IRGC- në tashmë të zhdukur dhe faqe të tjera lajmesh, shpesh në terma negativë për MEK-un. Ndërkohë, një llogari e dytë e personazhit mund të ketë tentuar të kontaktojë të paktën një gazetë shqiptare përpara hakimit, duke kërkuar “bashkëpunim” dhe aftësinë për të botuar me median.

Promovimi paralel i fushatës “Drejtësia në Atdhe” dhe temave të saj qendrore nga këta individë dhe persona në internet, si para ashtu edhe pas sulmit kibernetik, i shton një dimension njerëzor imponues përpjekjes më të gjerë të ndikimit të Drejtësisë së Atdheut. Ndërkohë që nuk ka pasur marrëdhënie të drejtpërdrejta të vëzhguara midis aktorëve të kërcënimit përgjegjës për sulmin shkatërrues dhe këtyre aktorëve të mesazheve, veprimet e tyre ngrenë pyetje të denja për shqyrtim të mëtejshëm.