Gruppo di sicurezza informatica: operazioni contro siti governativi iraniani sono state eseguite internamente all'Iran

Un importante gruppo di sicurezza informatica ha indagato sulle operazioni contro i siti Web governativi in ​​Iran e ha concluso che, a causa della struttura di Internet iraniana e della sua separazione dall'Internet globale, le operazioni contro i siti Web governativi, compresi quelli appartenenti alla radio e alla televisione statale, il 27 gennaio 2022, il Ministero degli Affari Esteri il 7 maggio 2023 e l’ufficio del presidente il 29 maggio 2023 sono stati gestiti tramite infiltrazione e non avrebbero potuto essere il risultato di una penetrazione dall’esterno dell’Iran.

Negli ultimi anni, il gruppo di sicurezza informatica Treadstone71 ha pubblicato diversi rapporti sul governo iraniano e sui suoi attacchi informatici ed è diventato un’autorità in questo campo.

Il rapporto Treadstone71 sottolinea che i maggiori attacchi contro i siti governativi iraniani sono stati molto probabilmente effettuati tramite penetrazioni dall’interno dell’Iran, in particolare da parte di addetti ai lavori che avevano accesso a questi sistemi.

Decine dei più importanti siti web del governo iraniano, così come i sistemi online del comune di Teheran e delle reti radiofoniche e televisive nazionali, sono stati sottoposti a massicci attacchi dal gennaio 2022.

Il gruppo "Gyamsarnegouni ("Rivolta fino al rovesciamento") si è assunto la responsabilità dei principali attacchi e ha divulgato ampi documenti interni del governo iraniano sul suo account Telegram. Il gruppo ha deturpato le home page di numerosi siti web, pubblicando immagini cancellate del leader supremo Ali Khamenei e posizionando immagini dei leader dell'opposizione iraniana.

Nel 2022, le strutture e i servizi Internet del governo albanese sono stati presi di mira da un massiccio attacco informatico, che ha causato molti problemi. Un’ampia indagine condotta da Microsoft e altri ha puntato il dito contro Teheran.

Secondo la valutazione di Treadstone71, "L'Iran ha una lunga storia di attacchi alla sicurezza informatica e, secondo alcune statistiche, è al quinto posto tra le nazioni note per aver preso di mira i propri avversari attraverso la guerra informatica".

pubblicità

"Come precauzione di sicurezza", nota Treadstone71 nel suo rapporto, "l'Iran ha deciso di spostare i suoi siti web governativi dai server di hosting europei alle società di hosting nazionali, come parte della sua 'Internet nazionale'," e di conseguenza, "Tutti i governi e gli stati I siti Web controllati dal governo sono stati trasferiti dai server di hosting europei e americani agli host nazionali" e "l'accesso a determinati siti Web controllati dal governo e dallo stato è stato limitato all'"Internet nazionale", rendendoli inaccessibili tramite l'Internet globale."

Il rapporto di Treadstone71 ha sottolineato che “abbiamo anche assistito a un diverso tipo di attacco, separato da quelli che si sono infiltrati nei siti web governativi sui vulnerabili servizi di hosting iraniani; quelli realizzati da Gyamsarnegouni ("Rivolta fino al rovesciamento"). Gli attacchi compiuti da questo gruppo sono tra le infiltrazioni più profonde contro le reti del governo iraniano”.

Il rapporto osserva:

Questi attacchi si sono distinti per tre caratteristiche chiave:

1. L’entità dell’infiltrazione nelle reti governative più sicure, paragonabile solo all’attacco Stuxnet (che utilizzava una chiavetta USB).

2. Il volume dei documenti esfiltrati.

3. L'accesso diffuso a server e computer.

Il rapporto Treadstone71 sottolinea che le reti radiofoniche e televisive statali, in particolare nei paesi non democratici come l’Iran, “sono tra le reti più isolate e più protette”. Dice inoltre: “La rete di trasmissione interna dell'Iran non è connessa a Internet ed è gravemente isolata; il che significa che è fisicamente isolato da Internet ed è possibile accedervi solo dall’interno… L’unico modo per un estraneo di ottenere l’accesso alla rete sarebbe attraverso l’infiltrazione fisica”

Nel gennaio 2022, i media iraniani hanno sottolineato che le istituzioni governative ritengono che questo attacco sia stato effettuato da individui che avevano informazioni privilegiate sui sistemi radiofonici e televisivi statali iraniani.

L’attacco ai siti web del comune di Teheran del 2 giugno 2022 prevedeva l’irruzione in 5,000 telecamere utilizzate per il controllo del traffico e il riconoscimento facciale. Secondo Treadstone71, gli hacker “avrebbero saputo che le telecamere non erano connesse a Internet e che avrebbero dovuto ottenere l’accesso fisico alle telecamere per hackerarle”.

Ma le scoperte più sorprendenti di Treadstone71 sono legate ai due attacchi di alto profilo e che attirano l'attenzione di Gyamsarnegouni Maggio 2023.

Durante l'attacco al sito web del Ministero degli Affari Esteri iraniano, gli hacker hanno avuto accesso a 50 terabyte di dati provenienti dagli archivi del Ministero. La valutazione di Treadstone71 è che ciò ha richiesto "la penetrazione negli strati più interni di questo ente governativo. La natura dei documenti trapelati indica che tali documenti sarebbero inaccessibili da Internet, supportando ulteriormente i sospetti di coinvolgimento interno."

La valutazione degli esperti di Treadstone71 ha concluso che "il trasferimento di 50 TB di dati non sarebbe possibile da remoto - e su una rete filtrata come quella iraniana", e ha aggiunto che la vastità dell'hacking è anche rivelatrice di come è stato eseguito.

“La normale velocità di download di Internet in Iran è di 11.8 megabit al secondo. Per scaricare 50 terabyte di dati dal Ministero degli Affari Esteri iraniano a questa velocità ci vorrebbero più di 392 giorni o più di un anno di download ininterrotto, e Internet iraniano spesso si interrompe, viene limitato dal governo e subisce regolari blackout indotti dal governo, " si legge nel rapporto.

"Sulla base di questi numeri, è molto probabile che un simile attacco sia avvenuto tramite l'accesso diretto ai dati."

In relazione all'attacco al sito web dell'ufficio presidenziale, gli hacker hanno violato i sistemi di comunicazione più sicuri del governo e hanno ottenuto decine di migliaia di documenti risalenti a non più di pochi mesi fa.

Secondo un esperto iraniano, questo sito “usava un indirizzo IP dedicato che era impenetrabile”.

"Il fatto che gli hacker abbiano avuto accesso a decine di migliaia di documenti risalenti a non più di pochi mesi fa pensare anche che l'attacco sia stato condotto da interni. Questi documenti sarebbero stati archiviati su computer con accesso limitato a Internet e sarebbe stato difficile affinché un estraneo possa accedervi," ha affermato Treadstone71.

Il rapporto conclude affermando: “Il governo iraniano inizialmente ha attribuito la colpa agli avversari stranieri. Tuttavia, gli esperti di sicurezza informatica e le prove crescenti suggeriscono un coinvolgimento interno”.

Condividi questo articolo: