Tag: brendshëm

Irani ka një histori të gjatë të përfshirjes në sulme të sigurisë kibernetike dhe sipas disa statistikave, renditet i pesti midis kombeve të njohura për shënjestrimin e kundërshtarëve të tyre përmes luftës kibernetike. Me kalimin e viteve, Irani ka lëshuar grupe hakerash kundër vendeve të ndryshme, pa marrë parasysh rreziqet e mundshme për sistemet e sigurisë së brendshme.
Ky paradoks është evident: megjithë krimin e tij agresiv kibernetik, Irani ka dështuar të ruajë në mënyrë adekuate sistemet e tij të brendshëm të sigurisë dhe, rrjedhimisht, të dhënat e qytetarëve të tij.
Në gjysmën e dytë të vitit 2022, në vazhdën e kryengritjeve të përhapura në të gjithë Iranin, sulmet kibernetike kundër faqeve të internetit të qeverisë iraniane janë në një rritje të konsiderueshme. Grupet e hakerëve si Tapandegan, Labdookhtegan, Sparrow Predatory, Black Reward, Anonymous, Edalat-e ali dhe Ghyamsarnegouni lëshuan shumë sulme mbi objektivat e qeverisë.
Si një masë paraprake sigurie, dhe me rritjen e sanksioneve ekonomike, Irani vendosi të ndryshojë faqet e internetit të qeverisë së tij nga serverët evropianë të pritjes në kompanitë vendase të pritjes, si pjesë e programit të tij të “Internetit kombëtar”. Kjo nismë synonte të ndante Iranin nga interneti global dhe të krijonte një rrjet të vetë-mbështetur.
Dy hapa thelbësorë u ndërmorën për të arritur këtë qëllim:
1. Të gjitha faqet e internetit të qeverisë që kontrolloheshin nga shteti u zhvendosën nga servera europian dhe amerikanë të pritjes në servera vendës të pritjes.
2. Qasja për të zgjedhur uebsajte të kontrolluara nga shteti ishte e kufizuar në “Internet Kombëtar”, duke i bërë ato të paarritshme nëpërmjet internetit global.
Si rezultat, vetëm një pjesë e vogël e uebsajteve të Ministrisë mbetën të aksesueshme në internetin global. Këto masa u miratuan për të arritur disa avantazhe, si për shembull reduktimi i cenueshmërisë ndaj saksioneve ekonomike dhe uljen e rrezikut të sulmeve kibernetike nga aktorë të jashtëm. Megjithatë, mungesat kritike në infrastruktura vendase të pritjes, së bashku me Sistemet e cenueshme të Menaxhimit të Përmbajtjes (CMS), i lanë këto sisteme të ndjeshme ndaj hakerimit nga brenda.
Disa faktorë kontribuojnë në infrastrukturën e papërshtatshme të sigurisë kibernetike të Iranit:
-Qeveria iraniane ka investuar ndjeshëm në sigurinë e brendshme kibernetike, ndoshta për shkak të sanksioneve ekonomike, prioriteteve politike dhe mungesës së ndërgjegjësimit në lidhje me rreziqet e sigurisë kibernetike.
-Shumica e financimeve janë drejtuar drejt mbrojtjeve të jashtme, duke përdorur vetëm sigurinë kibernetike brenda vendit për masa shtypëse ndaj qytetarëve dhe kontrollit, nëpërmjet filtrimit të ueb-it.
Në kontekstin e Dezhfa, filtrimi i uebit censuron përmbajtjen e konsideruar të padëshirueshme nga qeveria iraniane. Dezhfa i pengon iranianët të:
-Vizita e faqeve të bllokuara ose përdorimi i aplikacioneve të bllokuara.
-Angazhimi në aktivitete të dyshimta, të tilla si përpjekje të pazakonta hyrjeje ose akses në dosje të paautorizuara.
– Shkelja e rregulloreve të qeverisë, të tilla si ato që rregullojnë eksportin e të dhënave të ndjeshme.
-Shprehja e mendimeve të kundërta ose përfshirja në aktivizëm politik.
-Infrastruktura e sigurisë kibernetike e Iranit Dezhfa është e vjetëruar; ekspozon dobësi, edhe përballë sulmeve të kryera përmes sistemeve të brendshme të internetit.
-Qeveria dhe bizneset shpesh mbështeten në softuer dhe harduer të vjetëruar, për mungesë të teknologjisë moderne të sigurisë.
-Profesionistëve iranianë të sigurisë kibernetike u mungon trajnimi adekuat për t’u mbrojtur kundër sulmeve kibernetike të sofistikuara, me mundësi të kufizuara trajnimi të disponueshme brenda vendit.
-Mungesa e ndërgjegjësimit për rreziqet e sigurisë kibernetike tek popullata iraniane lehtëson më tej sulmet.
-Izolimi i Iranit nga komuniteti ndërkombëtar i sigurisë kibernetike pengon shkëmbimin e informacionit dhe adoptimin e praktikave më të mira.
-Ndërhyrja e qeverisë në përpjekjet për sigurinë kibernetike, e motivuar nga dëshira për të mbajtur kontrollin nëpërmjet internetit, në vend që të mbrojë asetet e informacionit, përbën një pengesë të konsiderueshme.
-Nuk ka asnjë autoritet të vetëm në Iran përgjegjës për sigurinë kibernetike. Kjo e bën të vështirë që të koordinojnë përpjekjet dhe tu përgjigjen sulmeve.
Në fund të shtatorit 2022, një seri sulmesh synuan shërbimet e dobëta të pritjes, duke rezultuar në shkeljen e uebfaqeve të ndryshme qeveritare. Objektivat e vërejtur në katërmbëdhjetë webfaqet, përfshijnë faqet e internetit të Udhëheqësit suprem Ali Khamenei, Bonyad Maskan (Fondacioni i Strehimit) dhe Këshillin Kombëtar Islamik.
Veçanërisht, faqja e internetit e Udhëheqësit Suprem ra viktimë e një sulmi DDoS, ndërsa shkeljet e synuara të të dhënave çuan në vjedhjen e të dhënave sekrete, duke përfshirë informacionin personal, të dhënat financiare dhe sekretet qeveritare. Sulmet DDoS ndërprenë më tej infrastrukturën kritike, si rrjetet e energjisë dhe rrjetet e komunikimit, duke zhvilluar në mënyrë efektive luftë politike dhe ekonomike kundër Iranit Mes këtyre sulmeve, ne dëshmuam gjithashtu një lloj tjetër sulmi, të ndarë nga ata që infiltrojnë faqet e internetit qeveritar për shërbimet e pritjes të pambrojtura iraniane; ato të krijuara nga Gyamsarnegouni (“Kryengritja deri në përmbysje”). Sulmet e kryera nga ky grup ishin ndër infiltrimet më të thella kundër rrjeteve të qeverisë iraniane.
Këto sulme u dalluan për shkak të tre karakteristikave kryesore:
1. Shtrirja e infiltrimit në rrjetet më të sigurta qeveritare, të krahasueshme vetëm me Sulmi Stuxnet (i cili përdori një flash drive).
2. Vëllimi i dokumenteve të ekfiltruara.
3. Qasja e përhapur në serverë dhe kompjuterë.
Më poshtë, ne shqyrtojmë sulmet specifike të kryera nga ky grup, para dhe pas trazirave të vitit 2022.
Sulm kundër shërbimit transmetues të Iranit (IRIB)
Në këtë sulm, hakerët depërtuan në rrjetet e transmetimit televiziv dhe radio. Në mënyrë tipike, këto rrjete janë ndër më të izoluarit dhe më të mbrojturit, veçanërisht në vendet jodemokratike.
Rrjeti i brendshëm i transmetimit të Iranit nuk është i lidhur me internetin dhe ka boshllëk të madh ajror; do të thotë se është fizikisht i izoluar nga interneti dhe mund të aksesohet vetëm nga brenda. Kështu, sulmet e huaja janë jashtëzakonisht sfiduese.
Mënyra e vetme që një i huaj të fitojë akses në rrjet do të ishte përmes infiltrimit fizik të rrjetit rrjet ose për të fituar akses në një sistem të brendshëm që është i lidhur me rrjetin.
Hakerimi i dha akses përdorimit të kompiuterave dhe gjeneratorëve të tipit (CG), duke u mundësuar gjithashtu hakerëve të transmetojnë përmbajtjen e tyre.
Agjencitë iraniane të lajmeve fillimisht spekuluan me idenë për një përfshirje të brendshme, duke pasur parasysh natyrën unike të shkeljes.
Sipas Tasnim1: “Ka mundësi që një person i brendshëm të jetë përgjegjës për sulmin e hipokritëve kundër IRIB.” duke shtuar: “Duke pasur parasysh se aktiviteti playout nuk kryhet në internet, madje edhe nëse ka ndonjë lidhje, është në intranet, duhet, ndër të tjera, të konsiderohet puna e të brendshëmvet si mirë.”
Sipas “Akharin Akhbar2″ (Lajmet e fundit), një rrjet lajmesh shtetëror iranian, “sistemet teknike të transmetimit janë plotësisht të izoluara; ato janë të pajisura me protokolle sigurie të pranueshme dhe nuk janë të aksesueshme nëpërmjet internetit.” Lajmi shtoi se sipas forcave të sigurisë të lidhura me rrjetin e transmetimit të regjimit, sabotimi ishte skenari më i mundshëm. Fakti që agjencitë e lajmeve iraniane sugjeruan menjëherë se sulmi ishte kryer nga të brendshëm është gjithashtu i rëndësishëm, duke sugjeruar se njësitë qeveritare besojnë se sulmi është kryer nga dikush që kishte njohuri të brendshme për sistemet IRIB.
Sipas një raporti nga CheckPoint3, ndërsa pretendohet se mënyra e hyrjes fillestare nuk është ende e qartë, “mjetet e sulmuesve janë të cilësisë dhe sofistikimit relativisht të ulët” të cilat “mund të mbështesin teorinë që sulmuesit mund të kenë pasur ndihmë nga brenda IRIB, ose tregojnë një bashkëpunim ende të panjohur mes grupeve të ndryshme me aftësi të ndryshme.” Raporti gjithashtu thekson se metoda e aksesit fillestar ende nuk është e qartë pasi Irani nuk tregoi asgjë për sulmin. Çdo sulm kibernetik perëndimor apo izraelit kundër Iranit është identifikuar gjithmonë me detaje specifike.
Sulmet kibernetike të personave të brendshëm ndaj sistemeve të mbrojtura nga qeveria janë unike në karakteristikat e tyre, kryesisht për shkak të nivelit të lartë të masave të sigurisë të përfshira, dhe personat e brendshëm tashmë kanë një mundësi aksesi ose që e kuptojnë sistemin.
-Personat e brendshëm kanë akses në informacione dhe sisteme të ndjeshme. Personat e brendshëm nuk kanë nevojë të depërtojnë në sistem dhe kështu shpesh mund të mbledhin drejtpërdrejt informacione të ndjeshme.
-Personat e brendshëm mund të anashkalojnë masat e sigurisë të krijuara për tu mbrojtur kundër sulmeve të jashtme.
-Personat e brendshëm mund të motivohen për të kryer një sulm për arsye politike, financiare ose personale
Sulmi kundër Bashkisë së Teheranit
Në këtë shkelje, hakerët fituan akses në kamerat e sigurisë dhe vazhduan monitorimin deri në 24 orë pas sulmit fillestar, pavarësisht se aksesi në internet ishte ndërprerë në përpjekje për të kontrolluar situatën. Kjo nënkuptonte të kesh akses fizik në rrjet ose në një sistem të brendshëm të lidhur me rrjetin. Sipas Ana Agjencia e Lajmeve4, “Hadi Mahzarnia, shefi i Teknologjisë së Informacionit të Komunës së Teheranit, bëri të ditur sulmin kundër sistemit komunal të Teheranit dhe tha: të enjten, në 2 qershor në 12:38, u informova për një operacion sabotues kundër Sistemit të Bashkisë.” Ai vazhdoi: “Rrjeti, aksesi dhe të gjitha nënfushat u ndërprenë për të parandaluar çdo ndërprerje të mundshme. Lëvizja e parë ishte parandalimi i verifikimit të hakerimit dhe brenda një periudhe të shkurtër kohe, natyra e sulmit u bë e dukshme. Në fakt, kjo ishte e ngjashme me atë që kishte ndodhur me IRIB më herët”. Kjo nënkuptonte njohuri intime të infrastrukturës dhe aftësinë për të mbyllur rrjetin me shpejtësi.
Fakti që masa e parë ishte për të parandaluar verifikimin e hakerimit gjithashtu sugjeron që sulmuesit e morën masat për të mbuluar gjurmët e tyre. Është kryer thyerja e mijëra kamerave të përdorura për kontrollin e trafikut dhe njohjen e fytyrës ndërsa asnjëri prej tyre nuk ishte i lidhur në internet. Qasja në
qindra serverë në këtë rrjet ishte e paprecedentë. Shkelja përfshinte kamera që monitoronin faltoren e Ajatollah Khomeinit, e cila është ndër vendet më të mbrojtura dhe pa akses në internet. Ata do ta dinin se kamerat nuk ishin të lidhur me internetin dhe se do t’u duhej të kishin akses fizik në kamerat për ti hakeruar ato.
Më pas, Irani njoftoi arrestimin e disa prej personave të përfshirë në sulm, duke pretenduar se kryesori elementi pas sulmit ishte larguar nga vendi (Fars News Agency5).
Sulm kundër Ministrisë së Jashtme të Iranit
Gjatë kësaj shkeljeje, hakerët fituan akses në 50 Terabajt të dhëna nga arkivat e ministrisë, që tregon depërtimin në pjesën më të brendshme të dosjeve të këtij organi qeveritar. Natyra e dokumenteve të hakuara tregon se të tilla dokumente do të ishin të paarritshme nga interneti, duke mbështetur më tej dyshimet në përfshirjen e personave të brrndshëm.
Transferimi i të dhënave 50 TB nuk do të ishte i mundur nga persona të jashtëm – dhe në një rrjet të filtruar si ai i Iranit. Agjencia zyrtare e lajmeve iraniane IRNA minimizoi sulmin, duke cituar zëdhënësin e Ministrisë së Jashtme i cili e mohoi shkeljen.
Vlen të përmendet përmasat e mëdha të këtij hakimi. Shpejtësia e shkarkimit në internet në Iran është 11.8 megabit për sekondë.7 Për të shkarkuar 50 terabajt e të dhënave nga Ministria e Punëve të Jashtme të Iranit me këtë shpejtësi, do të duheshin mbi 392 ditë ose mbi një vit kohë shkarkimi të pandërprerë, dhe interneti i Iranit ka rënie të shpeshta, pengohet nga qeveria dhe përjeton ndërprerje të rregullta elektrike të shkaktuara nga qeveria. Bazuar në këto numra, një sulm i tillë ka shumë të ngjarë të ketë ndodhur nga qasja e drejtpërdrejtë në të dhëna.
Sulmi kundër Presidencës
Edhe një herë, sulmuesit depërtuan në rrjetet më të brendshme të qeverisë iraniane. Sipas Ardavanit Rouzbeh në Iran International, “(qeveria) përdori një adresë IP të dedikuar e cila ishte e padepërtueshme.” Ai vazhdoi “kjo shkelje është më shumë një depërtim fizik apo rrjedhje njerëzore dhe mund të ketë persona të brendshëm të përfshirë.” Hakerët thyen sistemet më të sigurta të komunikimit të qeverisë, duke fituar akses në dhjetëra mijëra dokumente që nuk ishin më shumë se disa muaj të vjetër. Mohsen Sazegara pohoi në një intervistë me Iran International “dokumentet e arkivuara nuk ruhen kurrë në kompjuterë me hyrje në internet. Unë bëra disa kërkime dhe ka shumë të ngjarë që këto dokumente të jenë blerë. Me fjalë të tjera, dikush i ka vjedhur nga arkivi dhe i ka dorëzuar në këmbim të një shume. Vlerësimi im është se dokumentet janë reale, por nuk janë fituar me hakerim, por me blerje”.
Fakti që hakerët fituan akses në dhjetëra mijëra dokumente jo më shumë se disa muaj më parë sugjeron gjithashtu se persona të brendshëm e kryen sulmin. Këto dokumente ishin ruajtur në kompjuterë me akses të kufizuar në internet dhe do të kishte qenë e vështirë për një të huaj që të hynte tek ato.
Të tjerë ekspert që kanë lidhje me ngjarjen dhanë mendimin e tyre për hakerimin: Amir Rashidi, drejtor i sigurisë së internetit dhe të drejtave dixhitale në Miaan Group, një organizatë dixhitale iraniane për të drejtat e njeriut, gjithashtu i tha CyberScoop-it se dosjet “duken legjitime”, ndoshta të marra nga dikush me akses të brendshëm.
Mungesa e aksesit në internet të dokumenteve të arkivuara përputhej me këtë këndvështrim. Personat e brendshëm do ta dinin ku mund t’i gjeni këto dokumente dhe si t’i aksesonin ato.
Konkluzioni
Kërcënimet e brendshme përbëjnë një rrezik të madh për sigurinë kibernetike të Iranit. Sulmet e fundit kibernetike të profilit të lartë kanë shënjestruar infrastruktura kritike dhe organet qeveritare, duke përfshirë rrjetet e transmetimit të vendit, komunës dhe Ministrisë së Punëve të Jashtme.
Qeveria iraniane fillimisht ia atribuoi fajin kundërshtarëve të huaj. Megjithatë, ekspertët e sigurisë kibernetike dhe provat në rritje sugjerojnë përfshirje të brendshme. Kërcënimet e brendshme janë një rrezik serioz sigurie për çdo organizatë. Personat e brendshëm kanë akses në informacione dhe sisteme të ndjeshme dhe mund të shkaktojnë dëme të konsiderueshme nëse komprometohet, duke bërë kërcënime të brendshme veçanërisht shqetësuese në klimën politike të paqëndrueshme të Iranit.
Sipas Farah News, “gjerësia dhe thellësia e madhe e hakerimeve të GhyamSarnegouni është e pabesueshme. Grupi fitoi kontrollin mbi 120 serverë të rrjetit të brendshëm të presidencës, bazave të të dhënave qendrore, të serverit të menaxhimit të rrjetit, kontrollorët e serverëve që kërkojnë qasje administrative, rrjetin e presidencës të administratorëve teknikë, përdoruesit e rrjetit të internetit (1300 kompjuterë), sistemet e brendshme të klasifikuara që lidhen me komunikimin me presidencën, dhjetëra mijëra materiale top sekrete dhe artifakse sekrete, ndërtesa, qendra të dhënash dhe dizajnet e rrjeteve, rrjetet e fibrave optike të presidencës, selia e Khameneit, kabineti qeveritar, gjyqësori, Ministria e Brendshme, Ministria e Inteligjencës, Ministria e Jashtme, Forcat paraushtarake Basij IRGC, Mexhlis (parlamenti), aparati shtetëror televiziv dhe radio, aeroportet e Teheranit dhe subjekte të tjera të regjimit të mullahëve, itinerare udhëtimi të klasifikuara dhe letra tepër sekrete nga komanda IRGC në Teheran, jo gjithëpërfshirëse.”
Irani gjithashtu duhet të jetë më transparent në lidhje me sulmet. Mohimet fillestare të qeverisë për sulmet shërbyen vetëm për të nxitur spekulime dhe mosbesim. Në të kaluarën, Irani jepte shpejt dhe hapur informacion rreth sulmeve kibernetike pasi ato ishin me burim të jashtëm. Nëse qeveria iraniane do ta pranonte se persona të brendshëm kryen sulmet, atëhere do të ishte pranimi se njerëzit brenda qeverisë së tyre janë të gatshëm të përmbysin regjimin. Veprime të tilla mund të çojnë në humbjen e besimit në qeveri, dhe gjithashtu mund të bëjnë më sfidues rekrutimin dhe mbajtjen e punonjësve të kualifikuar, veçanërisht duke marrë parasysh sulmet kundër protestuesve nga vrasja e Mahsa Amini, tashmë në vitin e dytë.