Cyber ​​Security Group: operaties gericht op locaties van de Iraanse overheid werden intern uitgevoerd binnen Iran

Een prominente cyberveiligheidsgroep heeft operaties tegen overheidswebsites in Iran onderzocht en geconcludeerd dat vanwege de structuur van het Iraanse internet en de scheiding ervan met het mondiale internet, operaties tegen overheidswebsites, waaronder die van staatsradio en televisie op 27 januari 2022, het Ministerie van Buitenlandse Zaken op 7 mei 2023 en het ambt van president op 29 mei 2023 werden uitgevoerd door infiltratie en konden niet het gevolg zijn van penetratie van buiten Iran.

De cyberbeveiligingsgroep Treadstone71 heeft de afgelopen jaren verschillende rapporten gepubliceerd over de Iraanse regering en haar cyberaanvallen en heeft zich ontwikkeld tot een autoriteit op dit gebied.

Het Treadstone71-rapport onderstreept dat grote aanvallen op de Iraanse overheidssites hoogstwaarschijnlijk werden uitgevoerd door penetraties vanuit Iran, met name door insiders die toegang hadden tot deze systemen.

Tientallen van de belangrijkste websites van de Iraanse regering, evenals de onlinesystemen van de gemeente Teheran en nationale radio- en televisienetwerken, zijn sinds januari 2022 onderworpen aan massale aanvallen.

De groep "Gyamsarnegouni ("Opstand tot omverwerping") heeft de verantwoordelijkheid voor de belangrijkste aanslagen op zich genomen en heeft op zijn Telegram-account uitgebreide interne overheidsdocumenten van de Iraanse regering openbaar gemaakt. De groep heeft de homepages van een aantal websites onleesbaar gemaakt, doorgestreepte afbeeldingen van Opperste Leider Ali Khamenei geplaatst en foto's van Iraanse oppositieleiders geplaatst.

In 2022 werden de internetstructuren en -diensten van de Albanese overheid het doelwit van een enorme cyberaanval, die veel problemen veroorzaakte. Uitgebreid onderzoek door Microsoft en anderen wees met de vinger naar Teheran.

Volgens de beoordeling van Treadstone71 “heeft Iran een lange geschiedenis van cyberaanvallen en staat het volgens sommige statistieken op de vijfde plaats van de landen die erom bekend staan ​​hun tegenstanders te targeten via cyberoorlogvoering.”

advertentie

“Uit veiligheidsoverweging,” merkt Treadstone71 op in zijn rapport, “heeft Iran besloten om zijn overheidswebsites te verschuiven van Europese hostingservers naar binnenlandse hostingbedrijven, als onderdeel van zijn ‘Nationale Internet’,” en als gevolg daarvan “hebben alle regeringen en staten -gecontroleerde websites werden verplaatst van Europese en Amerikaanse hostingservers naar binnenlandse hosts”, en “de toegang tot geselecteerde door de overheid en de staat gecontroleerde websites werd beperkt tot het ‘Nationale Internet’, waardoor ze ontoegankelijk werden via het mondiale internet.”

Het rapport van Treadstone71 onderstreepte: “we zijn ook getuige geweest van een ander soort aanval, los van de aanvallen op overheidswebsites op kwetsbare Iraanse hostingdiensten; die gemaakt door Gyamsarnegouni ("Opstand tot omverwerping"). De aanvallen van deze groep behoorden tot de diepste infiltraties tegen de netwerken van de Iraanse regering.”

Het rapport merkt op:

Deze aanvallen vielen op vanwege drie belangrijke kenmerken:

1. De omvang van de infiltratie in de veiligste overheidsnetwerken, alleen vergelijkbaar met de Stuxnet-aanval (waarbij gebruik werd gemaakt van een flashdrive).

2. Het volume aan geëxfiltreerde documenten.

3. De wijdverbreide toegang tot servers en computers.

Het Treadstone71-rapport onderstreept dat staatsradio- en televisienetwerken, vooral in ondemocratische landen als Iran, “tot de meest geïsoleerde en meest beschermde netwerken behoren.” Verder staat er: “Het interne omroepnetwerk van Iran is niet verbonden met het internet en heeft ernstige luchtspleten; wat betekent dat het fysiek geïsoleerd is van het internet en alleen van binnenuit toegankelijk is... De enige manier voor een buitenstaander om toegang te krijgen tot het netwerk zou zijn door middel van fysieke infiltratie.”

In januari 2022 wezen de Iraanse nieuwsmedia erop dat overheidsinstellingen geloven dat deze aanval werd uitgevoerd door personen die over voorkennis beschikten over Iraanse staatsradio- en tv-systemen.

Bij de aanval op de websites van de gemeente Teheran op 2 juni 2022 werd onder meer ingebroken in 5,000 camera's die werden gebruikt voor verkeerscontrole en gezichtsherkenning. Volgens Treadstone71 zouden de hackers “hebben geweten dat de camera’s niet met internet waren verbonden en dat ze fysieke toegang tot de camera’s nodig zouden hebben om ze te hacken.”

Maar de meest opzienbarende bevindingen van Treadstone71 houden verband met de twee spraakmakende en opvallende aanvallen van Gyamsarnegouni mei 2023.

Tijdens de aanval op de website van het Iraanse ministerie van Buitenlandse Zaken hebben hackers toegang gekregen tot 50 terabyte aan gegevens uit de archieven van het ministerie. De inschatting van Treadstone71 is dat hiervoor “penetratie in de binnenste lagen van dit overheidsorgaan nodig was. De aard van de gelekte documenten geeft aan dat dergelijke documenten niet toegankelijk zouden zijn vanaf internet, wat de vermoedens van betrokkenheid van insiders verder ondersteunt.”

Het deskundige oordeel van Treadstone71 concludeerde dat “de overdracht van 50 TB data niet mogelijk zou zijn op afstand – en op een gefilterd netwerk zoals dat van Iran,” en voegde eraan toe dat de enorme omvang van de hack ook onthullend is over hoe deze werd uitgevoerd.

“De normale downloadsnelheid van het Iraanse internet is 11.8 megabit per seconde. Het met deze snelheid downloaden van 50 terabytes aan gegevens van het Iraanse ministerie van Buitenlandse Zaken zou meer dan 392 dagen of meer dan een jaar ononderbroken downloadtijd vergen, en het Iraanse internet valt regelmatig weg, wordt afgeremd door de overheid en ervaart regelmatig door de overheid veroorzaakte black-outs. ', aldus het rapport.

“Op basis van deze cijfers is het zeer waarschijnlijk dat een dergelijke aanval plaatsvond via directe toegang tot de gegevens.”

In verband met de aanval op de website van het presidentiële kantoor hebben de hackers inbreuk gemaakt op de veiligste communicatiesystemen van de overheid en tienduizenden documenten verkregen die niet ouder waren dan een paar maanden.

Volgens een Iraanse expert gebruikte deze site “een speciaal IP-adres dat ondoordringbaar was.”

“Het feit dat de hackers toegang kregen tot tienduizenden documenten van nog geen paar maanden oud suggereert ook dat insiders de aanval hebben uitgevoerd. Deze documenten zouden zijn opgeslagen op computers met beperkte toegang tot internet, en het zou moeilijk zijn geweest zodat een buitenstaander er toegang toe heeft”, aldus Treadstone71.

Het rapport concludeerde met de woorden: “De Iraanse regering gaf aanvankelijk de schuld aan buitenlandse tegenstanders. Cybersecurity-experts en steeds meer bewijs wijzen echter op betrokkenheid van insiders.”

Deel dit artikel: