Kumpulan Keselamatan Siber: Operasi yang Menyasarkan Tapak Kerajaan Iran Dilaksanakan Secara Dalaman Dalam Iran

Kumpulan keselamatan siber yang terkenal telah menyiasat operasi terhadap tapak web kerajaan di Iran dan membuat kesimpulan bahawa disebabkan oleh struktur Internet Iran dan pemisahannya daripada Internet global, operasi terhadap tapak web kerajaan, termasuk yang dimiliki oleh Radio dan Televisyen negara pada 27 Januari 2022, Kementerian Luar Negeri pada 7 Mei 2023, dan pejabat presiden pada 29 Mei 2023 dilakukan secara penyusupan dan tidak mungkin hasil penembusan dari luar Iran.

Dalam beberapa tahun kebelakangan ini, kumpulan keselamatan siber Treadstone71 telah menerbitkan beberapa laporan mengenai kerajaan Iran dan serangan sibernya dan telah berkembang sebagai pihak berkuasa dalam bidang ini.

Laporan Treadstone71 menggariskan bahawa serangan besar ke atas tapak kerajaan Iran kemungkinan besar dilakukan oleh penembusan dari dalam Iran, khususnya oleh orang dalam yang mempunyai akses kepada sistem ini.

Sebilangan besar tapak web kerajaan Iran yang paling penting, serta sistem dalam talian Perbandaran Tehran dan rangkaian radio dan televisyen nasional, telah mengalami serangan besar-besaran sejak Januari 2022.

Kumpulan itu "Gyamsarnegouni ("Pemberontakan sehingga Menggulingkan") telah mengambil tanggungjawab untuk serangan utama dan telah mendedahkan dokumen kerajaan dalaman yang meluas kerajaan Iran pada akaun Telegramnya. Kumpulan itu telah merosakkan halaman utama beberapa laman web, menyiarkan imej Pemimpin Tertinggi Ali Khamenei yang dicoret, dan meletakkan gambar pemimpin pembangkang Iran.

Pada tahun 2022, struktur dan perkhidmatan internet kerajaan Albania telah disasarkan oleh serangan siber besar-besaran, yang menyebabkan banyak masalah. Siasatan meluas oleh Microsoft dan lain-lain menuding jari ke arah Tehran.

Menurut penilaian Treadstone71, "Iran mempunyai sejarah lama terlibat dalam serangan keselamatan siber, dan menurut beberapa statistik, berada di kedudukan kelima dalam kalangan negara yang terkenal menyasarkan musuh mereka melalui peperangan siber."

Pengiklanan

"Sebagai langkah berjaga-jaga keselamatan," Treadstone71 mencatatkan dalam laporannya, "Iran memutuskan untuk mengalihkan tapak web kerajaannya daripada pelayan pengehosan Eropah kepada syarikat pengehosan domestik, sebagai sebahagian daripada 'Internet Nasional'nya," dan akibatnya, "Semua kerajaan dan negeri. -tapak web terkawal telah dipindahkan daripada pelayan pengehosan Eropah dan Amerika kepada hos domestik,” dan “akses untuk memilih tapak web kerajaan dan dikawal negara dihadkan kepada 'Internet Nasional', menjadikannya tidak boleh diakses melalui internet global.”

Laporan Treadstone71 menggariskan, “kami juga menyaksikan jenis serangan yang berbeza, berasingan daripada yang menyusup ke laman web kerajaan pada perkhidmatan pengehosan Iran yang terdedah; yang dibuat oleh Gyamsarnegouni ("Pemberontakan sehingga Menggulingkan"). Serangan yang dilakukan oleh kumpulan ini adalah antara penyusupan paling dalam terhadap rangkaian kerajaan Iran.”

Laporan itu menyatakan:

Serangan ini menonjol kerana tiga ciri utama:

1. Tahap penyusupan ke dalam rangkaian kerajaan yang paling selamat, setanding hanya dengan serangan Stuxnet (yang menggunakan pemacu kilat).

2. Jumlah dokumen yang dieksfiltrasi.

3. Akses meluas kepada pelayan dan komputer.

Laporan Treadstone71 menggariskan bahawa rangkaian radio dan televisyen negeri, terutamanya di negara yang tidak demokratik seperti Iran, "adalah antara rangkaian yang paling terpencil dan paling dilindungi." Ia selanjutnya berkata: “Rangkaian penyiaran dalaman Iran tidak disambungkan ke Internet dan jurang udara yang teruk; bermakna ia secara fizikal diasingkan daripada internet dan hanya boleh diakses dari dalam…Satu-satunya cara untuk orang luar mendapat akses kepada rangkaian adalah melalui penyusupan fizikal”

Pada Januari 2022, media berita Iran menegaskan bahawa institusi kerajaan percaya serangan ini dilakukan oleh individu yang mempunyai maklumat dalaman tentang sistem radio dan TV negara Iran.

Serangan ke atas laman web Perbandaran Tehran pada 2 Jun 2022 termasuk memecah masuk 5,000 kamera yang digunakan untuk kawalan lalu lintas dan pengecaman muka. Menurut Treadstone71, penggodam "akan tahu bahawa kamera tidak disambungkan ke Internet dan mereka perlu mendapatkan akses fizikal kepada kamera untuk menggodamnya."

Tetapi penemuan paling mengejutkan Treadstone71 adalah berkaitan dengan dua serangan berprofil tinggi dan menarik perhatian oleh Gyamsarnegouni Mei 2023.

Semasa serangan ke atas laman web Kementerian Luar Iran, penggodam mendapat akses kepada 50 terabait data daripada arkib Kementerian. Penilaian Treadstone71 adalah bahawa ini memerlukan "penembusan ke dalam lapisan paling dalam badan kerajaan ini. Sifat dokumen yang bocor menunjukkan bahawa dokumen sedemikian tidak boleh diakses daripada internet, seterusnya menyokong syak wasangka penglibatan orang dalam."

Penilaian pakar Treadstone71 menyimpulkan bahawa "pemindahan data 50 TB tidak akan dapat dilakukan dari jauh - dan pada rangkaian yang ditapis seperti Iran," dan menambah bahawa saiz penggodaman yang besar juga mendedahkan tentang cara ia dijalankan.

“Kelajuan muat turun Internet biasa bahasa Iran ialah 11.8 megabit sesaat. Untuk memuat turun 50 terabait data daripada Kementerian Luar Negeri Iran pada kelajuan ini akan mengambil masa lebih 392 hari atau lebih setahun masa muat turun tanpa gangguan, dan Internet Iran kerap jatuh, dikurangkan oleh kerajaan, dan mengalami pemadaman biasa yang disebabkan oleh kerajaan, ” laporan itu menyatakan.

"Berdasarkan nombor ini, serangan sedemikian berkemungkinan besar berlaku daripada akses terus kepada data."

Berhubung dengan serangan ke atas laman web pejabat presiden, penggodam melanggar sistem komunikasi kerajaan yang paling selamat dan memperoleh puluhan ribu dokumen yang berusia tidak lebih dari beberapa bulan.

Menurut pakar Iran, laman web ini "menggunakan alamat IP khusus yang tidak dapat ditembusi."

"Hakikat bahawa penggodam mendapat akses kepada puluhan ribu dokumen yang berusia tidak lebih dari beberapa bulan juga menunjukkan bahawa orang dalam melakukan serangan itu. Dokumen ini akan disimpan pada komputer dengan akses terhad ke Internet, dan ia akan menjadi sukar. untuk orang luar mengaksesnya," Treadstone71 menyatakan.

Laporan itu menyimpulkan dengan berkata: “Kerajaan Iran pada mulanya menyalahkan musuh asing. Bagaimanapun, pakar keselamatan siber dan bukti yang semakin meningkat menunjukkan penglibatan orang dalam.”

Kongsi artikel ini: