Албания объявила в среду, что разрывает связи с Ираном и высылает иранских дипломатов из- за кибератаки , которая, по ее словам, была проведена иранцами в июле с целью разрушить цифровую инфраструктуру Албании.
В заявлении премьер-министр Албании Эди Рама заявил, что после тщательного расследования было подтверждено «неоспоримыми доказательствами», что нападение было совершено Ираном.
Рама добавил, что атака была осуществлена четырьмя хакерскими группами, которые действовали согласованно, включая «печально известную международную кибертеррористическую группу», которая, по его словам, осуществила атаки на Израиль, Саудовскую Аравию, ОАЭ, Иорданию, Кувейт и Кипр. Названия групп премьер не назвал.
В августе компания по кибербезопасности Mandiant сообщила, что связала кибератаку на Албанию с иранскими хакерами.
Кто взял на себя ответственность за нападение?
Хотя Рама не назвал конкретных групп, ответственных за атаку, группа, называющая себя «HomeLand Justice», опубликовала заявления, скриншоты и информацию в канале Telegram и на веб-сайте, используя российский домен, связав себя с кибератакой в июле.
«Мы провели кибератаки, чтобы выразить нашу ненависть и гнев по отношению к албанскому правительству. Иностранные (так в оригинале) террористы и отмыватели денег (так в оригинале) не принадлежат нашей (так в оригинале) священной земле. Наша земля нуждается в пестицидах, чтобы быть очищены», — написала группа в Telegram-посте.
Группа, представившаяся албанской, в своих сообщениях ссылалась на иранскую оппозиционную группу «Муджахедин-и-Халк» (MEK), жалуясь на то, что албанское правительство поддерживает MEK.
HomeLand Justice также опубликовала файлы, которые, по его словам, содержали данные из почтовых ящиков албанских правительственных чиновников и офисов.
Как Министерство внутренних дел связано с Ираном?
Согласно Mandiant, программа-вымогатель под названием ROADSWEEP отображала примечание о выкупе, в котором говорилось: «Почему наши налоги должны быть потрачены на благо террористов DURRES?» на компьютерах, зараженных в результате атаки. Всемирный саммит Свободного Ирана МЕК должен был состояться в июле в городе Манез округа Дуррес.
Логотип группы HomeLand Justice выглядел идентично обоям, используемым программой-вымогателем ROODSWEEP. На рисунке показан круг, состоящий из линий, похожих на контуры, и контур звезды Давида, а также орел с когтями, направленными к звезде.
Непонятно, почему на логотипе использовалась Звезда Давида, поскольку группа не упоминала евреев или Государство Израиль в своих сообщениях.
Mandiant обнаружил, что в атаке также использовался бэкдор под названием CHIMNEYSWEEP, который, вероятно, использовался в атаках на фарси и арабоязычных с 2012 года. CHIMNEYSWEEP и ROADSWEEP имеют ряд общих фрагментов кода.
CHIMNEYSWEEP работает через самораспаковывающийся архив, который содержит его и приманку Excel, Word или видеофайл.
По словам Mandiant, в атаке также мог быть использован инструмент под названием ZEROCLEARE, который повреждает файловые системы.
Согласно многочисленным сообщениям , в последние годы ZEROCLEARE несколько раз использовался иранскими хакерами . Другой пылесос под названием Dustman, который был идентифицирован как очень похожее ответвление ZEROCLEARE, использовался при нападении на бахрейнскую национальную нефтяную компанию Bapco в 2019 году. Хотя они очень похожи, неясно, был ли Dustman создан и использовался те же группы, использующие ZEROCLEARE.
По оценкам Mandiant, к кибератаке на Албанию были причастны один или несколько злоумышленников, работающих на Иран, из-за времени атаки перед запланированной конференцией MEK, содержания группы Telegram, посвященной MEK, и долгой истории использования CHIMNEYSWEEP. для таргетинга на носителей фарси и арабского языка.
Компания по кибербезопасности подчеркнула, что атака была «значительно более сложной», чем предыдущие операции CHIMNEYSWEEP, добавив, что это может указывать на сотрудничество между командами или другие сценарии.
«Использование программы-вымогателя для проведения политически мотивированной подрывной операции против правительственных веб-сайтов и гражданских служб государства-члена НАТО в ту же неделю, когда должна была состояться конференция иранских оппозиционных групп, было бы особенно наглой операцией со стороны угрозы Иран-нексус. актеры», — сказал Мэндиант в отчете.
«Поскольку переговоры по ядерной сделке с Ираном продолжают буксуть, эта деятельность указывает на то, что Иран может чувствовать себя менее сдержанным в проведении киберсетевых атак в будущем. Эта деятельность также является географическим расширением иранских подрывных киберопераций, проводимых против государства-члена НАТО . может указывать на повышенную терпимость к риску при использовании разрушительных инструментов против стран, которые, как считается, действуют против интересов Ирана».
Так какое это имеет отношение к Израилю и другим странам Ближнего Востока?
Согласно отчету IBM X-Force IRIS, ZEROCLEARE использовался в разрушительной кибератаке на Ближнем Востоке. По оценкам X-Force IRIS, к этой атаке причастна иранская группа, известная как группа угроз ITG13 или APT34/OilRig, и по крайней мере еще одна группа, базирующаяся в Иране.
По данным израильской компании по кибербезопасности CheckPoint, в атаках APT34 также использовались ложные документы Word для заражения компьютерных систем в прошлых атаках.
По данным X-Force IRIS, у российского злоумышленника под названием ITG12 или Turla также есть доступ к инструментам, используемым APT34. По данным Агентства национальной безопасности США (АНБ) и Национального центра кибербезопасности GCHQ, Turla использовала инфраструктуру APT34 для проведения собственных атак, по-видимому, без явного сотрудничества или согласия со стороны иранской группы.
Хотя до сих пор неясно, была ли APT34 группой, стоящей за атакой на Албанию, инструменты, с которыми она была связана, использовались в атаке, которая была связана с Ираном.
APT34 атаковал цели в ряде стран, в том числе в Ливане, Иордании и Израиле, согласно множеству отчетов компаний, занимающихся кибербезопасностью.
Страны, на которые нацелены ZEROCLEARE и APT34 в прошлом, по-видимому, в значительной степени совпадают со списком целевых стран, указанным премьер-министром Армении, хотя ни одна публично зарегистрированная атака на Кипре не была связана с APT34 или ZEROCLEARE.
В прошлом иранские кибератаки неоднократно были нацелены на гражданские объекты.
Сообщается, что в 2020 году поддерживаемые Ираном хакеры пытались атаковать и саботировать израильские объекты водоснабжения и канализации. Атаки, приписываемые поддерживаемым Ираном хакерам, также были направлены на медицинские учреждения в Израиле.
Как разрыв отношений Албании с Ираном связан с Израилем? — источник (англ) www.jpost.com
