Hakerët iranianë ka të ngjarë të qëndrojnë prapa sulmeve kibernetike përçarëse kundër qeverisë shqiptare
Një aktor kërcënimi që punon për të çuar më tej qëllimet iraniane thuhet se ka qenë pas një sërë sulmesh kibernetike përçarëse kundër shërbimeve të qeverisë shqiptare në mesin e korrikut 2022.
Firma e sigurisë kibernetike Mandiant tha se aktiviteti keqdashës kundër një shteti të NATO-s përfaqësonte një “zgjerim gjeografik të operacioneve kibernetike përçarëse iraniane”.
Sulmet e 17 korrikut , sipas Agjencisë Kombëtare të Shoqërisë së Informacionit të Shqipërisë, e detyruan qeverinë të “mbyllte përkohësisht aksesin në shërbimet publike online dhe faqet e tjera të internetit të qeverisë” për shkak të një “sulmi të sinkronizuar dhe të sofistikuar kriminal kibernetik nga jashtë Shqipërisë”.
Operacioni përçarës i motivuar politikisht, sipas Mandiant, përfshinte vendosjen e një familjeje të re ransomware të quajtur ROADSWEEP që përfshinte një shënim shpërblesëje me tekstin: “Pse duhet të shpenzohen taksat tona në dobi të terroristëve të DURRESIT?”
Një front i quajtur HomeLand Justice që atëherë ka marrë kredi për ofensivën kibernetike, me grupin që pretendohet gjithashtu se ka përdorur një malware fshirëse në sulme. Megjithëse natyra e saktë e fshirësit është ende e paqartë, Mandiant tha se një përdorues shqiptar paraqiti një mostër për atë që quhet ZeroCleare më 19 korrik, që përkon me sulmet.
ZeroCleare, i dokumentuar për herë të parë nga IBM në dhjetor 2019 si pjesë e një fushate që synon sektorët industrialë dhe të energjisë në Lindjen e Mesme, është krijuar për të fshirë rekordin kryesor të nisjes (MBR) dhe ndarjet e diskut në makinat me bazë Windows. Besohet të jetë një përpjekje bashkëpunuese midis aktorëve të ndryshëm të shtetit-komb iranian, duke përfshirë OilRig (aka APT34 , ITG13 ose Helix Kitten).
Gjithashtu i vendosur në sulmet shqiptare ishte një derë e pasme e panjohur më parë e quajtur CHIMNEYSWEEP që është e aftë të marrë pamje nga ekrani, të listojë dhe të mbledhë skedarë, të krijojë një guaskë të kundërt dhe të mbështesë funksionalitetin e regjistrimit të tasteve.
Implanti, përveç ndarjes së mbivendosjeve të shumta të kodeve me ROADSWEEP, i dorëzohet sistemit nëpërmjet një arkivi vetë-ekstraktues së bashku me dokumentet e Microsoft Word-it që përmbajnë imazhe të Massoud Rajavi , udhëheqësit të dikurshëm të Organizatës së Muxhahedinëve të Popullit të Iranit (MEK).
Përsëritjet më të hershme të CHIMNEYSWEEP datojnë në vitin 2012 dhe indikacionet tregojnë se malware mund të jetë përdorur në sulme që synojnë folësit farsi dhe arabë.
Firma e sigurisë kibernetike, e cila u ble nga Google në fillim të këtij viti, tha se nuk kishte prova të mjaftueshme që lidhin ndërhyrjet me një grup të quajtur kundërshtar, por vuri në dukje me besim të moderuar se një ose më shumë aktorë të këqij që veprojnë në mbështetje të objektivave të Iranit janë të përfshirë.
Lidhjet me Iranin burojnë nga fakti se sulmet ndodhën më pak se një javë përpara konferencës së Samitit Botëror të Iranit të Lirë më 23-24 korrik pranë qytetit port të Durrësit nga subjekte që kundërshtojnë qeverinë iraniane, veçanërisht anëtarët e MEK. .
“Përdorimi i ransomware për të kryer një operacion përçarës të motivuar politikisht kundër faqeve të internetit të qeverisë dhe shërbimeve qytetare të një shteti anëtar të NATO-s në të njëjtën javë që u vendos të zhvillohej një konferencë e grupeve opozitare iraniane, do të ishte një operacion jashtëzakonisht i pacipë nga kërcënimi i Iranit. aktorët”, thanë studiuesit.
Gjetjet vijnë gjithashtu dy muaj pasi grupi i kërcënimit të përparuar iranian (APT) i gjurmuar si një kotele simpatike (aka Fosfori) ishte e lidhur me një sulm të drejtuar kundër një kompanie ndërtimi të paidentifikuar në jug të SHBA-së.
