LIVE UPDATES
Aktualitet

RAPORTI i FBI&CISA: Hakerët hynë në sistemet e Shqipërisë 14 muaj para sulmit kibernetik

Një hetim i FBI-së tregon se aktorët kibernetikë shtetërorë iranianë morën akses fillestar në rrjetin e viktimës afërsisht 14 muaj përpara se të fillonin sulmin shkatërrues kibernetik, i cili përfshinte një kodues skedarësh të stilit ransomware dhe një malware që fshinte disqet.

22 Shtator 2022, 08:24 Nga DOSJA
RAPORTI i FBI&CISA: Hakerët hynë në sistemet e
Hacker

TIRANË-Byroja Federale e Hetimit (FBI) dhe Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) kanë bërë publik një raport për Sigurinë Kibernetike, duke dhënë informacion mbi operacionet e fundit kibernetike kundër Qeverisë së Shqipërisë në korrik dhe shtator. Ky raport ofron një afat kohor të aktivitetit të vëzhguar, nga qasja fillestare deri te ekzekutimi i kriptimit dhe sulmeve. 

Raporti bën të ditur se në korrik 2022, aktorët kibernetikë shtetërorë iranianë, të identifikuar si “Drejtësia e Atdheut” nisën një sulm kibernetik shkatërrues kundër Qeverisë së Shqipërisë, i cili i bëri faqet e internetit dhe shërbimet të padisponueshme. Një hetim i FBI-së tregon se aktorët kibernetikë shtetërorë iranianë morën akses fillestar në rrjetin e viktimës afërsisht 14 muaj përpara se të fillonin sulmin shkatërrues kibernetik, i cili përfshinte një kodues skedarësh të stilit ransomware dhe një malware që fshinte disqet. Aktorët mbajtën akses të vazhdueshëm në rrjet për afërsisht një vit, duke aksesuar dhe shfrytëzuar periodikisht përmbajtjen e postës elektronike.

Midis majit dhe qershorit 2022, aktorët kibernetikë shtetërorë iranianë kryen lëvizje anësore, zbulimin e rrjetit dhe marrjen e kredencialeve nga rrjetet e qeverisë shqiptare. Në korrik 2022, aktorët lansuan ransomware në rrjete, duke lënë një mesazh anti-muxhahid E-Khalq (MEK) në desktop. Kur mbrojtësit e rrjetit identifikuan dhe filluan t'i përgjigjen aktivitetit të ransomware, aktorët kibernetikë vendosën një version të malware shkatërrues ZeroCleare.

Në qershor 2022, HomeLand Justice krijoi një faqe interneti dhe profile të shumta të mediave sociale që postonin mesazhe anti-MEK. Më 18 korrik 2022, Homeland Justice pretendoi meritën për sulmin kibernetik ndaj infrastrukturës së qeverisë shqiptare. 

Më 23 korrik 2022, Drejtësia e Atdheut postoi video të sulmit kibernetik në faqen e tyre të internetit. Nga fundi i korrikut deri në mesin e gushtit 2022, llogaritë e mediave sociale të lidhura me HomeLand Justice demonstruan një model të përsëritur të reklamimit të informacionit të Qeverisë Shqiptare për publikim, duke postuar një sondazh ku u kërkon të anketuarve të zgjidhnin informacionin e qeverisë që do të publikohej nga HomeLand Justice, dhe më pas duke e lëshuar atë informacion ose në një skedar zip ose në një video të një regjistrimi në ekran me dokumentet e shfaqura.

Në shtator 2022, aktorët kibernetikë iranianë nisën një valë tjetër sulmesh kibernetike kundër Qeverisë së Shqipërisë, duke përdorur TTP dhe malware të ngjashëm si sulmet kibernetike në korrik. Këto ka të ngjarë të jenë bërë si hakmarrje për atribuimin publik të sulmeve kibernetike në korrik dhe ndërprerjen e marrëdhënieve diplomatike midis Shqipërisë dhe Iranit.

RAPORTI I PLOTË KËTU

DETAJE TEKNIKE:

Qasja fillestare

Afati kohor: Përafërsisht 14 muaj para sulmeve të kriptimit dhe fshirësit.

Detaje: Qasja fillestare u mor nëpërmjet shfrytëzimit të një Microsoft SharePoint që përballet me internetin, duke shfrytëzuar CVE-2019-0604.

Qëndrueshmëria dhe lëvizja anësore

Afati kohor: Përafërsisht disa ditë deri në dy muaj pas kompromisit fillestar.

Detaje: Pas marrjes së aksesit në mjedisin e viktimës, aktorët përdorën disa .aspx webshells, pickers.aspx, error4.aspx, dhe ClientBin.aspx, për të ruajtur qëndrueshmërinë. Gjatë kësaj periudhe kohore, aktorët përdorën gjithashtu RDP (kryesisht), SMB dhe FTP për lëvizje anësore në të gjithë mjedisin e viktimës.

Kompromis me Exchange Server

Afati kohor: Përafërsisht 1-6 muaj pas kompromisit fillestar.

Detaje: Aktorët përdorën një llogari të komprometuar të Microsoft Exchange për të kryer kërkime (nëpërmjet CmdLets New-MailboxSearch dhe Get-Recipient) në kuti postare të ndryshme, duke përfshirë për llogaritë e administratorit. Në këtë afat kohor, aktorët përdorën llogarinë e komprometuar për të krijuar një llogari të re Exchange dhe për ta shtuar atë në grupin e roleve të Menaxhimit të Organizatës.

Eksfiltrimi i mundshëm i emailit

Afati kohor: Përafërsisht 8 muaj pas kompromisit fillestar.

Detaje: Aktorët bënë mijëra kërkesa HTTP POST në serverët Exchange të organizatës viktimë. FBI vëzhgoi klientin duke transferuar afërsisht 70-160 MB të dhëna dhe serveri që transferonte afërsisht 3-20 GB të dhëna.

Aktiviteti VPN

Afati kohor: Përafërsisht 12-14 muaj pas kompromisit fillestar.

Detaje: Përafërsisht dymbëdhjetë muaj pas hyrjes fillestare dhe dy muaj përpara nisjes së sulmit shkatërrues kibernetik, aktorët bënë lidhje me adresat IP që i përkisnin pajisjes Virtual Private Network (VPN) të organizatës së viktimës. Veprimtaria e aktorëve përfshinte kryesisht dy llogari të komprometuara. Aktorët ekzekutuan “Advanced Port Scanner” (advanced_port_scanner.exe). FBI gjeti gjithashtu prova të përdorimit të Mimikatz dhe hedhjes së LSASS.

File Cryptor (kriptori i skedarëve në stilin e ransomware)

Afati kohor: Përafërsisht 14 muaj pas kompromisit fillestar.

Detajet: Për komponentin e kriptimit të sulmit kibernetik, aktori u identifikua në një server printimi të organizatës së viktimës nëpërmjet RDP dhe nisi një proces (Mellona.exe) i cili do të përhapte enkriptuesin GoXml.exe në një listë makinerish të brendshme, së bashku me një skenar këmbënguljeje i quajtur win.bat. Siç ishte vendosur, GoXML.exe kodoi të gjithë skedarët (përveç atyre që kishin shtesa .exe, .dll, .sys, .lnk ose .lck) në sistemin e synuar, duke lënë pas një shënim shpërblesëje të titulluar How_To_Unlock_MyFiles.txt në çdo dosje të prekur.

Sulmi me fshirëse

Afati kohor: Përafërsisht 14 muaj pas kompromisit fillestar.

Detaje: Në të njëjtën periudhë kohore me sulmin e kriptimit, aktorët filluan veprimet që rezultuan në fshirjen e disqeve të papërpunuara të diskut me mjetin Disk Wiper (cl.exe) të përshkruar në Shtojcën A. Përafërsisht gjatë tetë orëve të ardhshme, u regjistruan lidhje të shumta RDP nga një server i identifikuar i viktimës te hostet e tjerë në rrjetin e viktimës. Ekzekutimi i linjës së komandës së cl.exe u vu re në skedarët bitmap të memorizuar nga këto sesione RDP në serverin e viktimës.

cia irani sulmon shqiperine cisa

Sondazh

Poll

VIDEO-VIRALE/ Po fliste në Rrugën e Salës, demokrati 'kapet mat' nga gruaja

VIDEO-VIRALE/ Po fliste në Rrugën e Salës, demokrati 'kapet mat' nga gruaja

"Injoranca nuk është argument" Nuk i pëlqeu pyetja, Rama prek në faqe gazetaren Ambrozia Meta

Del VIDEOJA, Elia godet Princ Lekën: Familja ime të ka mbajtur me bukë

VIDEO/ Noka i jep Spiropalit pankartën, Ministrja ofrohet ta mbaj para fytyrës

Publikohen pamjet nga brenda bazës ajrore të Kuçovës, Komandanti: E gatshme për stërvitjen e trupave

Tempulli 2/ Me kanabis gati për shitje dhe shuma parash, arrestohen 4 të rinj në Tiranë

Dalin pamjet nga kasollja ku u vra 50-vjeçari në Durrës

Kontrabandonin ilaçe dhe telefona, arrestohen dy persona në Tiranë, sekuestrohen 47 iPhone

I vunë flakën eskavatorit me vlerë 150 mijë euro, arrestohen 2 autorët e ngjarjes

Reshjet e shiut dhe borës në vend, policia: Moderoni shpejtësinë e mos kryeni parakalime të gabuara

Kampioni Alvin Karaqi mes lotësh: Për besë u ndjeva si Gjergj Kastrioti kur mora flamurin

'Dokumentar horror'/ Berisha publikon pamjet: Do ju paraqes terrorin që Bajrajt ushtruan më 14 maj

Krimi në Bulqizë/ Fqinji: Po hante bukë në banesë kur erdhën dy makina!

Dosja "Gjici"/ Zv.kryetari i bashkisë së Kukësit shkon në SPAK

Newsroom 11 |XAMA: LAJMI I FUNDIT FAKE QË PASHË, ISHTE PËR MUA

Newsroom 11 |XAMA: KËSHILLË QYTETARËVE- MOS LEXONI VETËM NJË BURIM

Newsroom 11 | XAMA: GAZETARËT NUK SHKRUAJNË ME EMËR, KJO S'ËSHTË ETIKE

Xama në Newsroom: Lajmet e rreme përhapin panik! Më akuzuan se kisha marrë para për një shkrim

Muka në Newsroom: Në Shqipëri ka portale gjobaxhie, u bëjnë shantazh njerëzve

Xama në Newsroom: Fake News shpërndahet më shumë në Facebook e Tik Tok! Gazetarët të shkruajnë emrin

Newsroom 11 |Kush prodhon lajme të rreme në Shqipëri

Newsroom 10 |SENJA: NE S'REAGOJMË NDAJ GJUHËS SË URREJTJES

Newsroom 10 |HAZIZAJ: 'ÇOHU ENVER', PJESË E GJUHËS SË URREJTJES

Newsroom 10 | HAZIZAJ KEMI MARRËVESHJE PËR TË MBROJTUR 'VIKTIMAT'

Newsroom 10 |HAZIZAJ: GJUHA E URREJTJES KA SHKAKTUAR DHE KRIME

Newsroom 10 |GAZETARI: GJUHA E URREJTJES, PJESË E SHOQËRISË

Newsroom 10 |HAZIZAJ: GJUHA E URREJTJES, E FRIKSHME NË SHQIPËRI

Vidhnin në banesa duke përdorur çelësa të klonuar, vihet në pranga 1 person,nje tjeter në kërkim

Newsroom 10 |GJUHA E URREJTJES PËRDORET NGA POLITIKA, AMA TË KONTROLLOJË GJUHËN E URREJTJES

Newsroom 10 | HAZIZAJ: STEREOTIPET NXISIN GJUHËN E URREJTJES

Newsroom 10 | HAZIZAJ: GJUHA E URREJTJES LUFTOHET ME EDUKIM

Newsroom 10 | Gjuha e urrejtjes në media, si dhe kush e shpërndan?

Ndryshimet në PS/ Gjiknuri: S'është fundi, por fillimi i diçkaje të re.

Inceneratorët/ S’kam dhënë asnjë kontratë pa garë, ato janë publike!

Ndihet 'i shitur' nga Rama? Gjiknuri: Nuk ndjej braktisje, kam komunikim me të prej 20 vitesh

Klosi: Kemi primare reformimin e partisë, PS synon mandatin e katërt

U shkarkua si Sekretar i Përgjithshëm, Gjiknuri: PS edhe kur fiton, refekton!

Digjet shtëpia në Shkodër, në banesë ndodhej një i moshuar, përfundon në spital

Vazhdon përplasja në PD! Basha kërkon mbledhjen e Komisionit të Etikës për të, Bardhi: Shenjë humbje

Vrasja e Jetmirës/ Autori u dënua me 28 vite burg, nëna e viktimës: Duhet dënim përjetë!

Newsroom 9 | Kallanxhi: Threads? S`besoj se do zgjasë shumë

Newsroom 9 | Eksperti i IT: Mos merrni për bazë asgjë thuhet në rrjet

Newsroom 9 | Gazetarja: po ndodhin vrasje nga tik tok

Newsroom 9 | Eksperti i IT: Fake News dallohet vetëm po të jemi kritikë

Newsroom 9 | Kallanxhi: Shqiptarët besojnë gjithçka shohin në rrjet

Newsroom 9 | Eksperti i IT, Tomi Kallanxhi: Tik Tok ka "fake news" sepse s'ka censurë

Newsroom 9 | Gazetarja: Shqipëria do kohë të përshtatet me Tik Tok

Newsroom 9| Eksperti i IT: Çdo rrjet është i përkohshëm, duhet të kujdesemi për vlerat

A mund të mbyllet TikTok për Shqipërinë? Flet për Newsroom eksperi i IT

Fëmija mbyllet brenda në shtëpi, nëna e alarmuar njofton zjarrfikësit, NDËRHYRJA nga ballkoni