Iran
Gruppo di sicurezza informatica: operazioni contro siti governativi iraniani sono state eseguite internamente all'Iran
Un importante gruppo di sicurezza informatica ha indagato sulle operazioni contro i siti Web governativi in Iran e ha concluso che, a causa della struttura di Internet iraniana e della sua separazione dall'Internet globale, le operazioni contro i siti Web governativi, compresi quelli appartenenti alla radio e alla televisione statale, il 27 gennaio 2022, il Ministero degli Affari Esteri il 7 maggio 2023 e l’ufficio del presidente il 29 maggio 2023 sono stati gestiti tramite infiltrazione e non avrebbero potuto essere il risultato di una penetrazione dall’esterno dell’Iran.
Negli ultimi anni, il gruppo di sicurezza informatica Treadstone71 ha pubblicato diversi rapporti sul governo iraniano e sui suoi attacchi informatici ed è diventato un’autorità in questo campo.
Il rapporto Treadstone71 sottolinea che i maggiori attacchi contro i siti governativi iraniani sono stati molto probabilmente effettuati tramite penetrazioni dall’interno dell’Iran, in particolare da parte di addetti ai lavori che avevano accesso a questi sistemi.
Decine dei più importanti siti web del governo iraniano, così come i sistemi online del comune di Teheran e delle reti radiofoniche e televisive nazionali, sono stati sottoposti a massicci attacchi dal gennaio 2022.
Il gruppo "Gyamsarnegouni ("Rivolta fino al rovesciamento") si è assunto la responsabilità dei principali attacchi e ha divulgato ampi documenti interni del governo iraniano sul suo account Telegram. Il gruppo ha deturpato le home page di numerosi siti web, pubblicando immagini cancellate del leader supremo Ali Khamenei e posizionando immagini dei leader dell'opposizione iraniana.
Nel 2022, le strutture e i servizi Internet del governo albanese sono stati presi di mira da un massiccio attacco informatico, che ha causato molti problemi. Un’ampia indagine condotta da Microsoft e altri ha puntato il dito contro Teheran.
Secondo la valutazione di Treadstone71, "L'Iran ha una lunga storia di attacchi alla sicurezza informatica e, secondo alcune statistiche, è al quinto posto tra le nazioni note per aver preso di mira i propri avversari attraverso la guerra informatica".
"Come precauzione di sicurezza", nota Treadstone71 nel suo rapporto, "l'Iran ha deciso di spostare i suoi siti web governativi dai server di hosting europei alle società di hosting nazionali, come parte della sua 'Internet nazionale'," e di conseguenza, "Tutti i governi e gli stati I siti Web controllati dal governo sono stati trasferiti dai server di hosting europei e americani agli host nazionali" e "l'accesso a determinati siti Web controllati dal governo e dallo stato è stato limitato all'"Internet nazionale", rendendoli inaccessibili tramite l'Internet globale."
Il rapporto di Treadstone71 ha sottolineato che “abbiamo anche assistito a un diverso tipo di attacco, separato da quelli che si sono infiltrati nei siti web governativi sui vulnerabili servizi di hosting iraniani; quelli realizzati da Gyamsarnegouni ("Rivolta fino al rovesciamento"). Gli attacchi compiuti da questo gruppo sono tra le infiltrazioni più profonde contro le reti del governo iraniano”.
Il rapporto osserva:
Questi attacchi si sono distinti per tre caratteristiche chiave:
1. L’entità dell’infiltrazione nelle reti governative più sicure, paragonabile solo all’attacco Stuxnet (che utilizzava una chiavetta USB).
2. Il volume dei documenti esfiltrati.
3. L'accesso diffuso a server e computer.
Il rapporto Treadstone71 sottolinea che le reti radiofoniche e televisive statali, in particolare nei paesi non democratici come l’Iran, “sono tra le reti più isolate e più protette”. Dice inoltre: “La rete di trasmissione interna dell'Iran non è connessa a Internet ed è gravemente isolata; il che significa che è fisicamente isolato da Internet ed è possibile accedervi solo dall’interno… L’unico modo per un estraneo di ottenere l’accesso alla rete sarebbe attraverso l’infiltrazione fisica”
Nel gennaio 2022, i media iraniani hanno sottolineato che le istituzioni governative ritengono che questo attacco sia stato effettuato da individui che avevano informazioni privilegiate sui sistemi radiofonici e televisivi statali iraniani.
L’attacco ai siti web del comune di Teheran del 2 giugno 2022 prevedeva l’irruzione in 5,000 telecamere utilizzate per il controllo del traffico e il riconoscimento facciale. Secondo Treadstone71, gli hacker “avrebbero saputo che le telecamere non erano connesse a Internet e che avrebbero dovuto ottenere l’accesso fisico alle telecamere per hackerarle”.
Ma le scoperte più sorprendenti di Treadstone71 sono legate ai due attacchi di alto profilo e che attirano l'attenzione di Gyamsarnegouni Maggio 2023.
Durante l'attacco al sito web del Ministero degli Affari Esteri iraniano, gli hacker hanno avuto accesso a 50 terabyte di dati provenienti dagli archivi del Ministero. La valutazione di Treadstone71 è che ciò ha richiesto "la penetrazione negli strati più interni di questo ente governativo. La natura dei documenti trapelati indica che tali documenti sarebbero inaccessibili da Internet, supportando ulteriormente i sospetti di coinvolgimento interno."
La valutazione degli esperti di Treadstone71 ha concluso che "il trasferimento di 50 TB di dati non sarebbe possibile da remoto - e su una rete filtrata come quella iraniana", e ha aggiunto che la vastità dell'hacking è anche rivelatrice di come è stato eseguito.
“La normale velocità di download di Internet in Iran è di 11.8 megabit al secondo. Per scaricare 50 terabyte di dati dal Ministero degli Affari Esteri iraniano a questa velocità ci vorrebbero più di 392 giorni o più di un anno di download ininterrotto, e Internet iraniano spesso si interrompe, viene limitato dal governo e subisce regolari blackout indotti dal governo, " si legge nel rapporto.
"Sulla base di questi numeri, è molto probabile che un simile attacco sia avvenuto tramite l'accesso diretto ai dati."
In relazione all'attacco al sito web dell'ufficio presidenziale, gli hacker hanno violato i sistemi di comunicazione più sicuri del governo e hanno ottenuto decine di migliaia di documenti risalenti a non più di pochi mesi fa.
Secondo un esperto iraniano, questo sito “usava un indirizzo IP dedicato che era impenetrabile”.
"Il fatto che gli hacker abbiano avuto accesso a decine di migliaia di documenti risalenti a non più di pochi mesi fa pensare anche che l'attacco sia stato condotto da interni. Questi documenti sarebbero stati archiviati su computer con accesso limitato a Internet e sarebbe stato difficile affinché un estraneo possa accedervi," ha affermato Treadstone71.
Il rapporto conclude affermando: “Il governo iraniano inizialmente ha attribuito la colpa agli avversari stranieri. Tuttavia, gli esperti di sicurezza informatica e le prove crescenti suggeriscono un coinvolgimento interno”.
Condividi questo articolo:
-
World5 giorni fa
Denuncia dell'ex emiro del movimento dei moujahidines del Marocco delle accuse formulate da Luk Vervae
-
Moldavia5 giorni fa
Ex funzionari del Dipartimento di Giustizia degli Stati Uniti e dell'FBI gettano ombra sul caso contro Ilan Shor
-
Cina-UE4 giorni fa
CMG ospita il 4° Festival internazionale dei video in lingua cinese per celebrare la Giornata della lingua cinese delle Nazioni Unite del 2024
-
Parlamento europeo4 giorni fa
Una soluzione o una camicia di forza? Nuove regole fiscali dell’Ue