Группа кибербезопасности: Операции, направленные против иранских правительственных сайтов, проводились внутри Ирана

Известная группа по кибербезопасности расследовала операции против правительственных веб-сайтов в Иране и пришла к выводу, что из-за структуры иранского Интернета и его отделения от глобального Интернета операции против правительственных веб-сайтов, в том числе принадлежащих государственному радио и телевидению, 27 января 2022 г. в МИД 7 мая 2023 г. и в кабинет президента 29 мая 2023 г. были проведены путем проникновения и не могли быть результатом проникновения из-за пределов Ирана.

В последние годы группа кибербезопасности Treadstone71 опубликовала несколько отчетов об иранском правительстве и его кибератаках и стала авторитетом в этой области.

В отчете Тредстоуна71 подчеркивается, что крупные атаки на иранские правительственные сайты, скорее всего, были осуществлены путем проникновения изнутри Ирана, в частности, инсайдерами, имевшими доступ к этим системам.

С января 2022 года массовым атакам подверглись десятки наиболее важных веб-сайтов иранского правительства, а также онлайн-системы муниципалитета Тегерана и национальных радио- и телевизионных сетей.

Группа Гьямсарнегоуни («Восстание до свержения») взял на себя ответственность за основные атаки и раскрыл обширные внутренние правительственные документы иранского правительства в своем аккаунте в Telegram. Группа испортила домашние страницы ряда веб-сайтов, разместив перечеркнутые изображения Верховного лидера Али Хаменеи и разместив фотографии лидеров иранской оппозиции.

В 2022 году правительственные интернет-структуры и службы Албании подверглись массированной кибератаке, которая вызвала множество проблем. Обширное расследование, проведенное Microsoft и другими организациями, указало пальцем на Тегеран.

По оценке Treadstone71, «Иран имеет давнюю историю участия в атаках в области кибербезопасности и, согласно некоторым статистическим данным, занимает пятое место среди стран, известных тем, что нацеливается на своих противников с помощью кибервойны».

«В качестве меры предосторожности, — отмечает Тредстоун71 в своем докладе, — Иран решил перенести свои правительственные веб-сайты с европейских серверов хостинга на внутренние хостинговые компании, как часть своего «Национального Интернета». Контролируемые веб-сайты были перенесены с европейских и американских хостинг-серверов на внутренние хосты», а «доступ к избранным веб-сайтам, контролируемым правительством и государством, был ограничен «национальным Интернетом», что сделало их недоступными через глобальный Интернет».

В отчете Treadstone71 подчеркивается: «Мы также стали свидетелями атак другого типа, помимо тех, которые проникают на правительственные веб-сайты на уязвимые иранские хостинговые службы; сделанные Гьямсарнегоуни («Восстание до свержения»). Атаки, осуществленные этой группой, были одними из самых глубоких проникновений в сети иранского правительства».

В отчете отмечается:

Эти атаки выделялись тремя ключевыми характеристиками:

1. Масштабы проникновения в наиболее защищенные правительственные сети сравнимы разве что с атакой Stuxnet (при которой использовался флэш-накопитель).

2. Объем изъятых документов.

3. Повсеместный доступ к серверам и компьютерам.

В докладе Тредстоуна71 подчеркивается, что государственные радио- и телевизионные сети, особенно в недемократических странах, таких как Иран, «являются одними из наиболее изолированных и наиболее защищенных сетей». Далее в нем говорится: «Внутренняя радиовещательная сеть Ирана не подключена к Интернету и имеет серьезные воздушные зазоры; это означает, что он физически изолирован от Интернета, и доступ к нему возможен только изнутри… Единственный способ для постороннего получить доступ к сети — это физическое проникновение».

В январе 2022 года иранские средства массовой информации отметили, что правительственные учреждения считают, что эта атака была осуществлена ​​лицами, располагавшими инсайдерской информацией об иранских государственных радио- и телесистемах.

Атака на сайты муниципалитета Тегерана 2 июня 2022 года включала взлом 5,000 камер, используемых для контроля дорожного движения и распознавания лиц. По словам Тредстоуна71, хакеры «знали бы, что камеры не подключены к Интернету и что им потребуется физический доступ к камерам, чтобы взломать их».

Но самые поразительные выводы Treadstone71 связаны с двумя громкими и привлекающими внимание атаками, совершенными Гьямсарнегоуни Май 2023.

В ходе атаки на сайт МИД Ирана хакеры получили доступ к 50 терабайтам данных из архивов ведомства. По оценке Тредстоуна71, это потребовало «проникновения в самые внутренние слои этого государственного органа. Характер утекших документов указывает на то, что такие документы будут недоступны из Интернета, что еще больше усиливает подозрения в причастности инсайдеров».

Экспертная оценка Treadstone71 пришла к выводу, что «передача данных объемом 50 ТБ будет невозможна удаленно – и в фильтрованной сети, такой как сеть Ирана», и добавила, что сам размер взлома также раскрывает то, как он был осуществлен.

«Нормальная скорость загрузки иранского Интернета составляет 11.8 мегабит в секунду. Чтобы загрузить 50 терабайт данных из Министерства иностранных дел Ирана на такой скорости, потребуется более 392 дней или более года непрерывной загрузки, а Интернет в Иране часто обрывается, регулируется правительством и регулярно подвергается отключениям электроэнергии по инициативе правительства. - говорится в сообщении.

«Судя по этим цифрам, такая атака, скорее всего, произошла из-за прямого доступа к данным».

Что касается атаки на сайт президентской канцелярии, хакеры взломали самые защищенные системы связи правительства и получили десятки тысяч документов возрастом не более нескольких месяцев.

По словам иранского эксперта, этот сайт «использовал выделенный IP-адрес, который был непроницаем».

«Тот факт, что хакеры получили доступ к десяткам тысяч документов не старше нескольких месяцев, также говорит о том, что атаку провели инсайдеры. Эти документы должны были храниться на компьютерах с ограниченным доступом к Интернету, и это было бы сложно чтобы посторонний мог получить к ним доступ», — заявил Тредстоун71.

В заключение доклада говорится: «Иранское правительство первоначально возложило вину на иностранных противников. Однако эксперты по кибербезопасности и все больше доказательств указывают на причастность инсайдеров».

Поделиться этой статьей: