Në Korrik të 2022 aktorët nisën një sulm me ransomware duke lënë mesazhe anti-muxhahedinë në desktopët e administratës.
Agjencia Amerikane e Sigurisë Kibernetike dhe Infrastrukturave (CISA) së bashku me FBI publikuan një analizë të sulmit kibernetik nga hakerët shtetërorë Iranianë ndaj Shqipërisë duke hedhur dritë mbi operacionet kibernetike ku përfshiheshin ransomware dhe disk wiper.
Analiza zbuloi se hakerët Iranianë kishin pasur akses në rrjetin e Shqipërisë 14 muaj përpara se të nisnin sulmin shkatërrues duke aksesuar në mënyrë periodike e-mailet.
Në Korrik të 2022, hakerët shtetërorë Iranianë identifikuar si “HomeLand Justice” lançuan një sulm kibernetik shkatërrues kundrejt Qeverisë së Shqipërisë duke nxjerrë uebsajtet dhe shërbimet offline.
Një hetim i FBI zbuloi se hakerët Iranianë kishin fituar akses prej disa muajsh përpara sulmit me ransomware dhe maluerë që fshinin të dhënat.
Ata mbajtën akses të vazhdueshëm në rrjet ndërsa mes periudhës Maj-Qershor 2022 ata kryen lëvizje të ndryshme si hetimi i rrjetit dhe vjedhja e kredencialeve nga rrjetet shtetërore Shqiptare.
Në Korrik të 2022 aktorët nisën një sulm me ransomware duke lënë mesazhe anti-muxhahedinë në desktopët e administratës.
Kur rrjetet identifikuan sulmin dhe filluan ti përgjigjen aktivitetit me ransomware, aktorët filluan të implementonin maluerin shkatërrues ZeroCleare.
Në Qershor të 2022 HomeLand Justice krijoi një uebsajt dhe disa profile të medias sociale duke postuar mesazhe kundër muxhahedinëve. Më 18 Korrik HomeLand Justice mori përgjegjësinë e sulmit ndaj infrastrukturave shtetërore të Shqipërisë ndërsa më 23 Korrik 2022 postoi video që provonin sulmin.
Nga Korriku deri në mesin e muajit Gusht 2022, llogaritë e medias sociale që kishin lidhje me HomeLand Justice publikuan informacionet e qeverisë Shqiptare e madje anketa ku kërkonin mendimin e ndjekësve se çfarë informacionesh duhet të publikonin.
Në Shtator aktorët kibernetikë Iranianë filluan një valë të re sulmesh kundër qeverisë Shqiptare duke përdorur teknika të ngjashme me ato të Korrikut. Ky sulm erdhi pasi Shqipëria shkëputi marrëdhëniet diplomatike me Iranin dhe mbylli ambasadën në Tiranë.
Si u realizua sulmi?
Aksesi në rrjetet shtetërore erdhi përmes shfrytëzimit të një problemi sigurie në Microsoft SharePoint njohur si CVE-2019-0604.
Pasi morën akses në rrjetet, aktorët përdorën disa webshell .aspx për të ruajtur aksesin. Gjatë kësaj periudhe, thuajse dy muaj nga sulmi i parë, aktorët përdorën RDP, SMB dhe FTP për të lëvizur në rrjetet e qeverisë Shqiptare.
Pothuajse 6 muaj nga kompromentimi fillestar, aktorët morën nën kontroll Microsoft Exchange përfshirë llogaritë e administratorëve. Gjatë kësaj periudhe ata përdoren llogarinë e kompromentuar Exchange për të krijuar një llogari të re Exchange dhe shtuar atë në grupin e menaxhimit të organizatës.
8 muaj pas kompromentimit fillestar, aktorët bënë mijëra kërkesa HTTP POST në serverët Exchange të qeverisë shqiptare. FBI vëzhgoi një klient që transferonte 70-160MB të dhëna ndërsa serveri në total deri në 20GB.
14 muaj pasi hakerët kishin penetruar rrjetet Shqiptare, ata krijuan lidhje me adresat IP të Rrjeteve Virtuale Private. Ata ekzekutuan “Advanced Port Scanner”. FBI-ja gjeti prova të përdorimit të Mimikatz dhe LSASS.
Sulmi i parë erdhi me File Cryptor, një enkriptues të dhënash i ngjashëm me ransomware. Hakerët hyn në serverin e printimit të qeverisë Shqiptare dhe aktivizuan procesin Mellona.exe që do të përhapte enkriptuesin GoXml.exe në kompjuterët e lidhur në rrjetin e brendshëm së bashku me skriptin win.bat. Me tu aktivizuar, GoXml.exe enkriptoi të gjitha të dhënat në sistem me përjashtim të atyre .exe, .dll, .sys, .ink dhe .ick duke lënë pas një shënim “How_To_Unlock_MyFiles.txt.”
Po gjatë këtij sulmi aktorët filluan të fshinin të dhënat me mjetin Disk Wiper (cl.exe) përgjatë tetë orëve ndërsa shumë dhjetëra lidhje RDP ishin krijuar nga një serverë i viktimës me servera të tjerë në rrjet.
GoXML.exe është një enkriptues të dhënash i stilit të ransomware. Ekzekutohet në Windows dhe është e nënshkruar në mënyrë dixhitale me një certifikatë lëshuar nga kompania e telekomunikacionit të Kuvajtit, një filial i Saudi Telecom Company.
Ndërsa Disk Wiper është një mjet që siguron akses në hardisqe me qëllimin e fshirjet së përhershme të të dhënave.
/PCWorld Albanian
