Cybersäkerhetsgruppen: Operationer riktade mot iranska regeringsplatser genomfördes internt i Iran

En framstående cybersäkerhetsgrupp har undersökt operationer mot statliga webbplatser i Iran och kommit fram till att på grund av strukturen på Irans internet och dess separation från det globala internet, operationer mot statliga webbplatser, inklusive de som tillhör statlig radio och TV den 27 januari 2022, Utrikesministeriet den 7 maj 2023 och presidentens ämbete den 29 maj 2023 utfördes genom infiltration och kan inte ha varit resultatet av penetration från utanför Iran.

Under de senaste åren har cybersäkerhetsgruppen Treadstone71 publicerat flera rapporter om den iranska regeringen och dess cyberattacker och har utvecklats som en auktoritet på detta område.

Treadstone71-rapporten understryker att större attacker på den iranska regeringens platser med största sannolikhet utfördes av penetrationer inifrån Iran, i synnerhet av insiders som hade tillgång till dessa system.

Mängder av den iranska regeringens viktigaste webbplatser, såväl som onlinesystem i Teherans kommun och nationella radio- och tv-nätverk, har utsatts för massiva attacker sedan januari 2022.

Gruppen "Gyamsarnegouni ("Uprising till störtande") har tagit ansvar för de huvudsakliga attackerna och har avslöjat omfattande interna regeringsdokument från den iranska regeringen på sitt Telegram-konto. Gruppen har förstört hemsidorna på ett antal webbplatser, lagt upp överstrukna bilder på den högsta ledaren Ali Khamenei och placerat bilderna på iranska oppositionsledare.

År 2022 var Albaniens statliga internetstrukturer och tjänster utsatta för en massiv cyberattack, som orsakade många problem. Omfattande utredning av Microsoft och andra pekade finger mot Teheran.

Enligt Treadstone71:s bedömning, "har Iran en lång historia av att engagera sig i cybersäkerhetsattacker, och enligt viss statistik rankas det femte bland nationer som är kända för att rikta sina motståndare genom cyberkrigföring."

Annons

"Som en säkerhetsåtgärd", noterar Treadstone71 i sin rapport, "besluter Iran att flytta sina statliga webbplatser från europeiska värdservrar till inhemska värdföretag, som en del av sitt "Nationella Internet", och som ett resultat, "Alla regeringar och stater -kontrollerade webbplatser flyttades från europeiska och amerikanska värdservrar till inhemska värdar," och "tillgången till utvalda statliga och statligt kontrollerade webbplatser var begränsad till det "nationella internet", vilket gjorde dem otillgängliga via det globala internet."

Treadstone71-rapporten underströk, "vi bevittnade också en annan typ av attack, separat från de som infiltrerade statliga webbplatser på sårbara iranska värdtjänster; de gjorda av Gyamsarnegouni ("Uprising till störtande"). Attacker utförda av denna grupp var bland de djupaste infiltrationerna mot den iranska regeringens nätverk.”

Rapporten noterar:

Dessa attacker stack ut på grund av tre nyckelegenskaper:

1. Omfattningen av infiltration i de säkraste statliga nätverken, endast jämförbar med Stuxnet-attacken (som använde en flashenhet).

2. Volymen av exfiltrerade dokument.

3. Den utbredda tillgången till servrar och datorer.

Treadstone71-rapporten understryker att statliga radio- och tv-nätverk, särskilt i odemokratiska länder som Iran, "är bland de mest isolerade och mest skyddade nätverken." Den säger vidare: "Irans interna sändningsnätverk är inte anslutet till Internet och är kraftigt luftgap; vilket betyder att det är fysiskt isolerat från internet och bara kan nås inifrån... Det enda sättet för en utomstående att få tillgång till nätverket skulle vara genom fysisk infiltration”

I januari 2022 påpekade iranska nyhetsmedier att statliga institutioner tror att denna attack utfördes av individer som hade insiderinformation om iranska statliga radio- och TV-system.

Attacken mot Teherans kommuns webbplatser den 2 juni 2022 omfattade inbrott i 5,000 71 kameror som används för trafikkontroll och ansiktsigenkänning. Enligt TreadstoneXNUMX skulle hackarna "ha vetat att kamerorna inte var anslutna till Internet och att de skulle behöva få fysisk tillgång till kamerorna för att hacka dem."

Men Treadstone71s mest häpnadsväckande fynd är relaterade till de två högprofilerade och uppmärksammade attackerna av Gyamsarnegouni Maj 2023.

Under attacken mot det iranska utrikesministeriets webbplats fick hackare tillgång till 50 terabyte data från ministeriets arkiv. Treadstone71:s bedömning är att detta krävde "penetration in i de innersta skikten av detta statliga organ. De läckta dokumentens karaktär tyder på att sådana dokument skulle vara otillgängliga från internet, vilket ytterligare stöder misstankar om insiderinblandning."

Treadstone71:s expertbedömning drog slutsatsen att "överföring av 50 TB-data inte skulle vara möjlig på distans - och på ett filtrerat nätverk som det i Iran", och tillade att hackets storlek också avslöjar hur det utfördes.

"Den normala internetnedladdningshastigheten för iranska är 11.8 megabit per sekund. Att ladda ner 50 terabyte data från Irans utrikesministerium med denna hastighet skulle ta över 392 dagar eller över ett år av oavbruten nedladdningstid, och Irans internet sjunker ofta, stryps av regeringen och upplever regelbundna strömavbrott orsakade av regeringen, ” stod det i rapporten.

"Baserat på dessa siffror inträffade en sådan attack högst sannolikt från direkt tillgång till data."

I samband med attacken mot presidentkontorets webbplats bröt hackarna mot regeringens säkraste kommunikationssystem och fick tiotusentals dokument som inte var mer än några månader gamla.

Enligt en iransk expert använde den här webbplatsen "en dedikerad IP-adress som var ogenomtränglig."

"Det faktum att hackarna fick tillgång till tiotusentals dokument som inte är mer än några månader gamla tyder också på att insiders genomförde attacken. Dessa dokument skulle ha lagrats på datorer med begränsad tillgång till Internet, och det skulle ha varit svårt. för en utomstående att få tillgång till dem, säger Treadstone71.

Rapporten avslutades med att säga: "Den iranska regeringen tillskrev till en början utländska motståndares skuld. Men cybersäkerhetsexperter och växande bevis tyder på insiderinblandning."

Dela den här artikeln: