Nhóm An ninh mạng: Các hoạt động nhắm mục tiêu vào các trang web của Chính phủ Iran đã được thực hiện nội bộ ở Iran

Một nhóm an ninh mạng nổi tiếng đã điều tra các hoạt động chống lại các trang web của chính phủ ở Iran và kết luận rằng do cấu trúc Internet của Iran và sự tách biệt khỏi Internet toàn cầu, các hoạt động chống lại các trang web của chính phủ, bao gồm cả các trang web thuộc Đài Phát thanh và Truyền hình nhà nước vào ngày 27 tháng 2022 năm 7, Bộ Ngoại giao vào ngày 2023 tháng 29 năm 2023 và văn phòng tổng thống vào ngày XNUMX tháng XNUMX năm XNUMX được tiến hành bằng sự xâm nhập và không thể là kết quả của sự xâm nhập từ bên ngoài Iran.

Trong những năm gần đây, nhóm an ninh mạng Treadstone71 đã công bố một số báo cáo về chính phủ Iran và các cuộc tấn công mạng của nước này và đã phát triển thành một tổ chức có thẩm quyền trong lĩnh vực này.

Báo cáo của Treadstone71 nhấn mạnh rằng các cuộc tấn công lớn vào các cơ sở của chính phủ Iran rất có thể được thực hiện bởi sự xâm nhập từ bên trong Iran, đặc biệt là bởi những người trong nội bộ có quyền truy cập vào các hệ thống này.

Nhiều trang web quan trọng nhất của chính phủ Iran, cũng như các hệ thống trực tuyến của Thành phố Tehran và các mạng phát thanh và truyền hình quốc gia, đã bị tấn công lớn kể từ tháng 2022 năm XNUMX.

nhóm "Gyamsarnegouni ("Nổi dậy đến lật đổ") đã nhận trách nhiệm về các cuộc tấn công chính và đã tiết lộ nhiều tài liệu nội bộ chính phủ của chính phủ Iran trên tài khoản Telegram của mình. Nhóm này đã phá hủy trang chủ của một số trang web, đăng hình ảnh bị gạch bỏ của Lãnh đạo tối cao Ali Khamenei và đăng hình ảnh các thủ lĩnh phe đối lập Iran.

Vào năm 2022, các cơ cấu và dịch vụ internet của chính phủ Albania là mục tiêu của một cuộc tấn công mạng quy mô lớn, gây ra nhiều vấn đề. Cuộc điều tra mở rộng của Microsoft và những người khác đã chỉ tay vào Tehran.

Theo đánh giá của Treadstone71, “Iran có lịch sử lâu đời trong việc tham gia vào các cuộc tấn công an ninh mạng và theo một số thống kê, đứng thứ năm trong số các quốc gia được biết đến với việc nhắm mục tiêu vào đối thủ của họ thông qua chiến tranh mạng”.

quảng cáo

"Để đề phòng an toàn," Treadstone71 lưu ý trong báo cáo của mình, "Iran đã quyết định chuyển các trang web của chính phủ từ máy chủ lưu trữ châu Âu sang các công ty lưu trữ trong nước, như một phần của 'Internet quốc gia'" và kết quả là, "Tất cả chính phủ và tiểu bang đều các trang web do chính phủ kiểm soát đã được chuyển từ máy chủ lưu trữ ở Châu Âu và Mỹ sang máy chủ trong nước,” và “quyền truy cập vào một số trang web do chính phủ và nhà nước kiểm soát bị hạn chế đối với 'Internet Quốc gia', khiến chúng không thể truy cập được qua Internet toàn cầu.”

Báo cáo của Treadstone71 nhấn mạnh, “chúng tôi cũng chứng kiến ​​một kiểu tấn công khác, tách biệt với những cuộc tấn công xâm nhập vào các trang web của chính phủ trên các dịch vụ lưu trữ dễ bị tấn công của Iran; những thứ được thực hiện bởi Gyamsarnegouni ("Nổi dậy cho đến khi bị lật đổ"). Các cuộc tấn công do nhóm này thực hiện là một trong những cuộc xâm nhập sâu nhất vào mạng lưới của chính phủ Iran.”

Báo cáo ghi chú:

Những cuộc tấn công này nổi bật do ba đặc điểm chính:

1. Mức độ xâm nhập vào các mạng an toàn nhất của chính phủ, chỉ có thể so sánh với cuộc tấn công Stuxnet (sử dụng ổ đĩa flash).

2. Khối lượng tài liệu được trích xuất.

3. Khả năng truy cập rộng rãi vào máy chủ và máy tính.

Báo cáo của Treadstone71 nhấn mạnh rằng các mạng phát thanh và truyền hình nhà nước, đặc biệt là ở các quốc gia phi dân chủ như Iran, “nằm trong số những mạng bị cô lập nhất và được bảo vệ nhiều nhất”. Nó nói thêm: “Mạng phát sóng nội bộ của Iran không được kết nối với Internet và bị thiếu hụt nghiêm trọng; có nghĩa là nó bị cô lập về mặt vật lý với Internet và chỉ có thể được truy cập từ bên trong…Cách duy nhất để người ngoài có thể truy cập vào mạng là thông qua xâm nhập vật lý”

Vào tháng 2022 năm XNUMX, các phương tiện truyền thông Iran chỉ ra rằng các tổ chức chính phủ tin rằng cuộc tấn công này được thực hiện bởi những cá nhân có thông tin nội bộ về hệ thống phát thanh và truyền hình nhà nước Iran.

Cuộc tấn công vào các trang web của Thành phố Tehran vào ngày 2 tháng 2022 năm 5,000 bao gồm việc đột nhập vào 71 camera được sử dụng để điều khiển giao thông và nhận dạng khuôn mặt. Theo TreadstoneXNUMX, tin tặc “có thể đã biết rằng các camera không được kết nối với Internet và chúng cần có quyền truy cập vật lý vào các camera để hack chúng”.

Nhưng những phát hiện đáng ngạc nhiên nhất của Treadstone71 có liên quan đến hai cuộc tấn công nổi tiếng và thu hút sự chú ý của Gyamsarnegouni Tháng Năm 2023.

Trong cuộc tấn công vào trang web của Bộ Ngoại giao Iran, tin tặc đã giành được quyền truy cập vào 50 terabyte dữ liệu từ kho lưu trữ của Bộ. Đánh giá của Treadstone71 là điều này đòi hỏi "sự thâm nhập vào các lớp bên trong nhất của cơ quan chính phủ này. Bản chất của các tài liệu bị rò rỉ chỉ ra rằng những tài liệu đó sẽ không thể truy cập được từ Internet, càng củng cố thêm những nghi ngờ về sự tham gia của nội bộ."

Đánh giá của chuyên gia Treadstone71 kết luận rằng “việc truyền 50 TB dữ liệu sẽ không thể thực hiện được từ xa – và trên một mạng được lọc như của Iran,” đồng thời nói thêm rằng quy mô tuyệt đối của vụ hack cũng tiết lộ về cách nó được thực hiện.

“Tốc độ tải xuống Internet bình thường của Iran là 11.8 megabit/giây. Để tải xuống 50 terabyte dữ liệu từ Bộ Ngoại giao Iran với tốc độ này sẽ mất hơn 392 ngày hoặc hơn một năm tải xuống không bị gián đoạn và Internet của Iran thường xuyên bị gián đoạn, bị chính phủ hạn chế và thường xuyên bị mất điện do chính phủ gây ra, báo cáo nêu rõ.

“Dựa trên những con số này, một cuộc tấn công như vậy rất có thể xảy ra do truy cập trực tiếp vào dữ liệu.”

Liên quan đến vụ tấn công vào trang web của văn phòng tổng thống, tin tặc đã xâm phạm hệ thống liên lạc an toàn nhất của chính phủ và lấy được hàng chục nghìn tài liệu cách đây không quá vài tháng.

Theo một chuyên gia Iran, trang web này “sử dụng một địa chỉ IP chuyên dụng không thể xuyên thủng”.

“Việc tin tặc giành được quyền truy cập vào hàng chục nghìn tài liệu cách đây không quá vài tháng cũng cho thấy có kẻ nội bộ đã thực hiện cuộc tấn công. Những tài liệu này lẽ ra đã được lưu trữ trên các máy tính có quyền truy cập Internet hạn chế và sẽ rất khó thực hiện được. để người ngoài truy cập chúng", Treadstone71 nêu.

Báo cáo kết luận bằng cách nói: “Chính phủ Iran ban đầu đổ lỗi cho các đối thủ nước ngoài. Tuy nhiên, các chuyên gia an ninh mạng và bằng chứng ngày càng gia tăng cho thấy có sự tham gia của nội bộ.”

Chia sẻ bài viết này: