включая Иран
Группа кибербезопасности: Операции, направленные против иранских правительственных сайтов, проводились внутри Ирана
Известная группа по кибербезопасности расследовала операции против правительственных веб-сайтов в Иране и пришла к выводу, что из-за структуры иранского Интернета и его отделения от глобального Интернета операции против правительственных веб-сайтов, в том числе принадлежащих государственному радио и телевидению, 27 января 2022 г. в МИД 7 мая 2023 г. и в кабинет президента 29 мая 2023 г. были проведены путем проникновения и не могли быть результатом проникновения из-за пределов Ирана.
В последние годы группа кибербезопасности Treadstone71 опубликовала несколько отчетов об иранском правительстве и его кибератаках и стала авторитетом в этой области.
В отчете Тредстоуна71 подчеркивается, что крупные атаки на иранские правительственные сайты, скорее всего, были осуществлены путем проникновения изнутри Ирана, в частности, инсайдерами, имевшими доступ к этим системам.
С января 2022 года массовым атакам подверглись десятки наиболее важных веб-сайтов иранского правительства, а также онлайн-системы муниципалитета Тегерана и национальных радио- и телевизионных сетей.
Группа Гьямсарнегоуни («Восстание до свержения») взял на себя ответственность за основные атаки и раскрыл обширные внутренние правительственные документы иранского правительства в своем аккаунте в Telegram. Группа испортила домашние страницы ряда веб-сайтов, разместив перечеркнутые изображения Верховного лидера Али Хаменеи и разместив фотографии лидеров иранской оппозиции.
В 2022 году правительственные интернет-структуры и службы Албании подверглись массированной кибератаке, которая вызвала множество проблем. Обширное расследование, проведенное Microsoft и другими организациями, указало пальцем на Тегеран.
По оценке Treadstone71, «Иран имеет давнюю историю участия в атаках в области кибербезопасности и, согласно некоторым статистическим данным, занимает пятое место среди стран, известных тем, что нацеливается на своих противников с помощью кибервойны».
«В качестве меры предосторожности, — отмечает Тредстоун71 в своем докладе, — Иран решил перенести свои правительственные веб-сайты с европейских серверов хостинга на внутренние хостинговые компании, как часть своего «Национального Интернета». Контролируемые веб-сайты были перенесены с европейских и американских хостинг-серверов на внутренние хосты», а «доступ к избранным веб-сайтам, контролируемым правительством и государством, был ограничен «национальным Интернетом», что сделало их недоступными через глобальный Интернет».
В отчете Treadstone71 подчеркивается: «Мы также стали свидетелями атак другого типа, помимо тех, которые проникают на правительственные веб-сайты на уязвимые иранские хостинговые службы; сделанные Гьямсарнегоуни («Восстание до свержения»). Атаки, осуществленные этой группой, были одними из самых глубоких проникновений в сети иранского правительства».
В отчете отмечается:
Эти атаки выделялись тремя ключевыми характеристиками:
1. Масштабы проникновения в наиболее защищенные правительственные сети сравнимы разве что с атакой Stuxnet (при которой использовался флэш-накопитель).
2. Объем изъятых документов.
3. Повсеместный доступ к серверам и компьютерам.
В докладе Тредстоуна71 подчеркивается, что государственные радио- и телевизионные сети, особенно в недемократических странах, таких как Иран, «являются одними из наиболее изолированных и наиболее защищенных сетей». Далее в нем говорится: «Внутренняя радиовещательная сеть Ирана не подключена к Интернету и имеет серьезные воздушные зазоры; это означает, что он физически изолирован от Интернета, и доступ к нему возможен только изнутри… Единственный способ для постороннего получить доступ к сети — это физическое проникновение».
В январе 2022 года иранские средства массовой информации отметили, что правительственные учреждения считают, что эта атака была осуществлена лицами, располагавшими инсайдерской информацией об иранских государственных радио- и телесистемах.
Атака на сайты муниципалитета Тегерана 2 июня 2022 года включала взлом 5,000 камер, используемых для контроля дорожного движения и распознавания лиц. По словам Тредстоуна71, хакеры «знали бы, что камеры не подключены к Интернету и что им потребуется физический доступ к камерам, чтобы взломать их».
Но самые поразительные выводы Treadstone71 связаны с двумя громкими и привлекающими внимание атаками, совершенными Гьямсарнегоуни Май 2023.
В ходе атаки на сайт МИД Ирана хакеры получили доступ к 50 терабайтам данных из архивов ведомства. По оценке Тредстоуна71, это потребовало «проникновения в самые внутренние слои этого государственного органа. Характер утекших документов указывает на то, что такие документы будут недоступны из Интернета, что еще больше усиливает подозрения в причастности инсайдеров».
Экспертная оценка Treadstone71 пришла к выводу, что «передача данных объемом 50 ТБ будет невозможна удаленно – и в фильтрованной сети, такой как сеть Ирана», и добавила, что сам размер взлома также раскрывает то, как он был осуществлен.
«Нормальная скорость загрузки иранского Интернета составляет 11.8 мегабит в секунду. Чтобы загрузить 50 терабайт данных из Министерства иностранных дел Ирана на такой скорости, потребуется более 392 дней или более года непрерывной загрузки, а Интернет в Иране часто обрывается, регулируется правительством и регулярно подвергается отключениям электроэнергии по инициативе правительства. - говорится в сообщении.
«Судя по этим цифрам, такая атака, скорее всего, произошла из-за прямого доступа к данным».
Что касается атаки на сайт президентской канцелярии, хакеры взломали самые защищенные системы связи правительства и получили десятки тысяч документов возрастом не более нескольких месяцев.
По словам иранского эксперта, этот сайт «использовал выделенный IP-адрес, который был непроницаем».
«Тот факт, что хакеры получили доступ к десяткам тысяч документов не старше нескольких месяцев, также говорит о том, что атаку провели инсайдеры. Эти документы должны были храниться на компьютерах с ограниченным доступом к Интернету, и это было бы сложно чтобы посторонний мог получить к ним доступ», — заявил Тредстоун71.
В заключение доклада говорится: «Иранское правительство первоначально возложило вину на иностранных противников. Однако эксперты по кибербезопасности и все больше доказательств указывают на причастность инсайдеров».
Поделиться этой статьей:
-
НАТО4 дней назад
Европейские парламентарии написали президенту Байдену
-
Республике Казахстан4 дней назад
Визит лорда Кэмерона демонстрирует важность Центральной Азии
-
табак4 дней назад
Табачная торговля продолжается: интригующий случай с отслеживанием Dentsu
-
табак2 дней назад
Отказ от сигарет: как выигрывается битва за отказ от курения