קבוצת אבטחת סייבר: פעולות המכוונות לאתרי ממשל איראני בוצעו באופן פנימי בתוך איראן

קבוצת אבטחת סייבר בולטת חקרה פעולות נגד אתרים ממשלתיים באיראן והגיעה למסקנה כי בשל מבנה האינטרנט של איראן והפרדתו מהאינטרנט העולמי, פעולות נגד אתרי ממשלה, לרבות אלה השייכים לרדיו ולטלוויזיה הממלכתיים ב-27 בינואר 2022, משרד החוץ ב-7 במאי 2023 ומשכת הנשיא ב-29 במאי 2023 התנהלו בהסתננות ולא יכלו להיות תוצאה של חדירה מחוץ לאיראן.

בשנים האחרונות פרסמה קבוצת אבטחת הסייבר Treadstone71 מספר דוחות על ממשלת איראן והתקפות הסייבר שלה והתפתחה כסמכות בתחום זה.

הדו"ח של Treadstone71 מדגיש שהתקפות גדולות על אתרי הממשל האיראני בוצעו ככל הנראה על ידי חדירות מתוך איראן, במיוחד על ידי גורמים פנימיים שהייתה להם גישה למערכות אלו.

עשרות אתרי האינטרנט החשובים ביותר של ממשלת איראן, כמו גם מערכות מקוונות של עיריית טהראן ורשתות הרדיו והטלוויזיה הלאומיות, היו נתונים להתקפות מסיביות מאז ינואר 2022.

הקבוצה "גימסארנגוני ("מרד עד ההפלה") לקחה אחריות על התקיפות העיקריות וחשפה מסמכים ממשלתיים פנימיים נרחבים של ממשלת איראן בחשבון הטלגרם שלה. הקבוצה השחיתה את דפי הבית של מספר אתרי אינטרנט, פרסמה תמונות מוצלקות של המנהיג העליון עלי חמינאי והציבה תמונות של מנהיגי האופוזיציה האיראנית.

בשנת 2022, מבני האינטרנט והשירותים של ממשלת אלבניה היו ממוקדים למתקפת סייבר מסיבית, שגרמה לבעיות רבות. חקירה מקיפה של מיקרוסופט ואחרות הפנתה אצבע לטהרן.

לפי הערכתו של Treadstone71, "לאיראן יש היסטוריה ארוכת שנים של מעורבות במתקפות אבטחת סייבר, ולפי כמה סטטיסטיקות, היא מדורגת במקום החמישי מבין המדינות הידועות כמי שמכוונות את יריביהן באמצעות לוחמת סייבר".

פרסומת

"כאמצעי זהירות", מציינת Treadstone71 בדוח שלה, "איראן החליטה להעביר את אתרי האינטרנט הממשלתיים שלה משרתי אירוח אירופאים לחברות אירוח מקומיות, כחלק מה'אינטרנט הלאומי' שלה", וכתוצאה מכך, "כל הממשלה והמדינה -אתרי אינטרנט בשליטה הועברו משרתי אירוח אירופאים ואמריקאים למארחים מקומיים, ו"הגישה לאתרים נבחרים של הממשלה והמדינה הוגבלה ל'אינטרנט הלאומי', מה שהפך אותם לבלתי נגישים דרך האינטרנט העולמי."

דו"ח Treadstone71 הדגיש, "היינו עדים גם לסוג אחר של מתקפה, נפרדת מאלה החודרים לאתרים ממשלתיים על שירותי אירוח איראניים פגיעים; אלה שנעשו על ידי Gyamsarnegouni ("מרד עד ההפלה"). התקיפות שביצעה קבוצה זו היו בין ההסתננות העמוקות ביותר נגד הרשתות של ממשלת איראן".

הדו"ח מציין:

התקפות אלו בלטו בשל שלושה מאפיינים מרכזיים:

1. מידת החדירה לרשתות הממשלתיות המאובטחות ביותר, דומה רק למתקפת Stuxnet (שהשתמשה בכונן הבזק).

2. נפח המסמכים שחולצו.

3. הגישה הנרחבת לשרתים ומחשבים.

הדו"ח של Treadstone71 מדגיש שרשתות הרדיו והטלוויזיה הממלכתיות, במיוחד במדינות לא דמוקרטיות כמו איראן, "הן בין הרשתות המבודדות והמוגנות ביותר". עוד נכתב: "רשת השידור הפנימית של איראן אינה מחוברת לאינטרנט ונמצאת בפערי אוויר חמורים; כלומר הוא מבודד פיזית מהאינטרנט וניתן לגשת אליו רק מבפנים... הדרך היחידה של גורם חיצוני לקבל גישה לרשת תהיה באמצעות הסתננות פיזית"

בינואר 2022, הצביעו כלי התקשורת האיראניים על כך שמוסדות ממשלתיים מאמינים שמתקפה זו בוצעה על ידי אנשים שיש להם מידע פנימי על מערכות הרדיו והטלוויזיה הממלכתיות של איראן.

המתקפה על אתרי האינטרנט של עיריית טהראן ב-2 ביוני 2022 כללה פריצה ל-5,000 מצלמות שהופעלו עבור בקרת תנועה וזיהוי פנים. לפי Treadstone71, ההאקרים "היו יודעים שהמצלמות אינן מחוברות לאינטרנט ושהם יצטרכו לקבל גישה פיזית למצלמות כדי לפרוץ אותן".

אבל הממצאים המדהימים ביותר של Treadstone71 קשורים לשתי ההתקפות המתוקשרות ומושכות תשומת לב של גימסארנגוני מאי 2023.

במהלך התקיפה באתר משרד החוץ האיראני, האקרים זכו לגישה ל-50 טרה-בייט של נתונים מארכיון המשרד. ההערכה של Treadstone71 היא שהדבר דרש "חדירה לשכבות הפנימיות ביותר של הגוף הממשלתי הזה. אופי המסמכים שהודלפו מצביע על כך שמסמכים כאלה לא יהיו נגישים מהאינטרנט, מה שמעיד על חשד למעורבות פנימית".

הערכת המומחים של Treadstone71 הגיעה למסקנה ש"העברה של נתוני 50 TB לא תתאפשר מרחוק - וברשת מסוננת כמו זו של איראן", והוסיפה כי גודלה העצום של הפריצה חושפת גם כיצד היא בוצעה.

"מהירות הורדת האינטרנט הרגילה של איראן היא 11.8 מגה-ביט לשנייה. הורדת 50 טרה-בייט של נתונים ממשרד החוץ של איראן במהירות זו ייקח יותר מ-392 ימים או יותר משנה של זמן הורדה רצוף, והאינטרנט של איראן נופל לעיתים תכופות, מצטמצם על ידי הממשלה וחווה הפסקות חשמל רגילות שנגרמו על ידי הממשלה, " נכתב בדו"ח.

"בהתבסס על המספרים הללו, סביר להניח שהתקפה כזו התרחשה מגישה ישירה לנתונים."

ביחס למתקפה באתר משרד הנשיאות פרצו ההאקרים את מערכות התקשורת המאובטחות ביותר של הממשלה והשיגו עשרות אלפי מסמכים בני לא יותר מכמה חודשים.

לדברי מומחה איראני, אתר זה "השתמש בכתובת IP ייעודית שהייתה בלתי חדירה".

"העובדה שההאקרים זכו לגישה לעשרות אלפי מסמכים בני לא יותר מכמה חודשים מעידה גם על כך שמקורבים ביצעו את המתקפה. המסמכים הללו היו נשמרים במחשבים בעלי גישה מוגבלת לאינטרנט, והיה קשה לגורם מבחוץ לגשת אליהם", קבע Treadstone71.

הדו"ח הסתיים באומרו: "ממשלת איראן ייחסה בתחילה את האשמה ליריבים זרים. עם זאת, מומחי אבטחת סייבר וראיות מתגברות מצביעים על מעורבות פנימית".

שתף מאמר זה: