"Rama do organizojnë antimiting në Vlorë", Balla i përgjigjet Berishës: Kemi festën e PS, por ti nuk je i ftuar! ...
Ish-ushtarak dhe njohës i armëve/ Kush është Violand Braçellari, 43-vjeçari që vrau një polic e...
Pas më shumë se tre orësh, mbyllet protesta para Kryeministrisë/ Qytetarët thirrje: Nesër sërish në...
Tragjedia me dy viktima në Shëngjin, policia jep detaje: Të gjithë shtetas nga Kosova, tre persona në spital 3 Qersho...
Ky blog tregon detaje lidhur me hetimin. Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike.
SHBA- Sulmi kibernetik i Iranit ndaj sistemeve të vendit tonë ndodhi për faj të një serveri. Pikërisht kjo hapësirë e pa-përditësuar u kthye në një portë hyerëse. "Microsoft" i ka kushtuar një raport të detajuar sulmit kibernetit të Iranit, me të cilin u përball Shqipëria në 15 Korrik të këtij viti.
“Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e qeverisë shqiptare që në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.”
Fillimisht janë instaluar në serverat shqiptarë viruse malware që inkripton sistemet dhe ato Wiper malware për fshirje të dhënash. Pastaj transferuan të dhënat dhe vodhën të dhënat e AKSHIT. Pasi ndaloi rrjedhjen dhe më pas shkatërrimin e të dhënave, Microsoft nisi hetimet për të gjetur shkaktarët. Ata janë 4, por ende nuk janë identifikuar se cilët janë. Megjithatë mendohet se mbështeten nga Irani.
HETIMI I PLOTË I SHPJEGUAR ME DETAJE-
Menjëherë pas sulmeve kibernetike kundër qeverisë shqiptare në mes të korrikut, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet. Në kohën e sulmeve dhe angazhimit tonë nga qeveria shqiptare, Microsoft deklaroi publikisht se “Kompania është i përkushtuar të ndihmojë klientët tanë të jenë të sigurt duke arritur më shumë. Gjatë këtij aktiviteti, ne mobilizuam shpejt Ekipin tonë të Zbulimit dhe Reagimit (DART) për të ndihmuar qeverinë shqiptare që të rimëkëmbet me shpejtësi nga ky sulm kibernetik. Microsoft do të vazhdojë të bashkëpunojë me Shqipërinë për të menaxhuar rreziqet e sigurisë kibernetike, ndërkohë që do të vazhdojë të përmirësojë mbrojtjen nga sulmuesit me qëllim të keq.”
Ky blog tregon detaje lidhur me hetimin. Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike.
Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin ekfiltruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.
Ka pasur disa faza të identifikuara në këtë fushatë:
Ndërhyrja fillestare
Eksfiltrimi i të dhënave
Kriptimi dhe shkatërrimi i të dhënave
Operacionet e informacionit
Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm - me aktorë të ndryshëm përgjegjës për faza të ndryshme: (Pra 4 grupe kanë kryer sulmin)
DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
DEV-0861 fitoi akses fillestar dhe nxori të dhëna
DEV-0166 të dhënat e filtruara
DEV-0133 infrastruktura e hetuar e viktimave
Microsoft përdor emërtimet DEV-#### si një emër të përkohshëm që i jepet një grupi të panjohur, në zhvillim ose një grupi aktivitetesh kërcënimi, duke lejuar MSTIC ta gjurmojë atë si një grup unik derisa të arrijmë të gjejmë origjinën ose identitetin të "aktorit" që qëndron pas aktivitetit. Pasi të plotësojë kriteret, referenca DEV konvertohet në një emër.
Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit. Ne i gjurmojmë ato veçmas bazuar në grupe unike mjetesh dhe/ose TTP; megjithatë, disa prej tyre mund të punojnë për të njëjtën njësi.
Informacioni specifik për Shqipërinë shpërndahet me leje nga qeveria shqiptare.
Një tabelë organizative e aktorëve të ndryshëm të kërcënimit që punuan së bashku për të sulmuar qeverinë shqiptare. Niveli i lartë përmend Ministrinë e Inteligjencës dhe Sigurisë së Iranit si organizatë sponsorizuese. Një tabelë në anën e majtë liston emrat e grupeve të aktorëve të kërcënimit dhe pseudonimet e tyre përkatëse.
"Analiza mjeko-ligjore"
Provat e mbledhura gjatë përgjigjes mjeko-ligjore treguan se aktorët e lidhur me Iranin e kryen sulmin. Kjo dëshmi përfshin, por nuk kufizohet në:
Sulmuesit u vëzhguan duke vepruar jashtë Iranit
Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave përdorën mjete të përdorura më parë nga sulmues të tjerë të njohur iranianë
Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave synuan sektorë dhe vende të tjera që janë në përputhje me interesat iraniane
Kodi i fshirësit është përdorur më parë nga një aktor i njohur iranian ransomware u nënshkrua nga e njëjta certifikatë dixhitale e përdorur për të nënshkruar mjete të tjera të përdorura nga aktorët iranianë
Ndërhyrja dhe eksfiltrimi
Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e qeverisë shqiptare q♪7 në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.
DEV-0861 u vu re se funksiononte nga IP-të e mëposhtme për të eksfiltuar postën:
144[.]76[.]6[.]34
176[.]9[.]18[.]143
148[.]251[.]232[.]252
Analiza e sinjaleve nga këto IP dhe burime të tjera, tregoi se DEV-0861 ka eksploruar në mënyrë aktive postën nga organizata të ndryshme në vendet e mëposhtme që nga prilli 2020:
Një grafik i afatit kohor të periudhave të ndryshme kur aktori i kërcënimit DEV-0861 po ekfilronte emaile nga vende të ndryshme. Janë shtatë periudha kohore të shfaqura si shigjeta, me të gjitha aktivitetet që ndodhin ndërmjet prillit 2020 deri në maj 2022.
Profili gjeografik i këtyre viktimave - Izraeli, Jordania, Kuvajti, Arabia Saudite, Turqia dhe Emiratet e Bashkuara Arabe - përputhet me interesat iraniane dhe historikisht janë shënjestruar nga aktorët shtetërorë iranianë, veçanërisht aktorët e lidhur me MOIS.
DEV-0166 u vu re duke eksfiltruar postën nga viktima midis nëntorit 2021 dhe majit 2022. DEV-0166 ka të ngjarë të përdorte mjetin Jason.exe për të hyrë në kutitë postare të komprometuara. Një analizë publike e Jason.exe mund të gjendet më poshtë. Vini re se ky mjet thuhet se është përdorur nga aktorë të lidhur me MOIS.
Një pamje e ekranit të tastierës së përdoruesit të një mjeti sulmi të quajtur Jason, i përdorur për të nxjerrë emailet nga objektivat. Konsola kërkon informacione të synuara si adresa, emri i përdoruesit, fjalëkalimi dhe të tjera, në mënyrë që të nxjerrë email nga llogaritë e synuara.
Ransomware dhe fshirëse
Sulmi kibernetik ndaj qeverisë shqiptare përdori një taktikë të përbashkët të aktorëve të sponsorizuar nga shteti iranian duke vendosur fillimisht ransomware , e ndjekur nga vendosja e malware-it të fshirësit. Fshirësi dhe ransomware kishin të dy lidhje mjeko-ligjore me shtetin iranian dhe grupet e lidhura me Iranin. Fshirësi që DEV-0842 vendosi në këtë sulm përdori të njëjtin çelës licence dhe drejtues EldoS RawDisk si ZeroCleare, një fshirëse që aktorët shtetërorë iranianë përdorën në një sulm ndaj një kompanie energjie në Lindjen e Mesme në mesin e 2019. Në atë rast, IBM X-Force vlerësoi se aktorët e lidhur me EUROPIUM fituan akses fillestar gati një vit përpara sulmit me fshirëse. Sulmi me fshirëse u krye më pas nga një aktor i veçantë dhe i panjohur iranian. Kjo është e ngjashme me zinxhirin e ngjarjeve që Microsoft zbuloi kundër qeverisë shqiptare.
Kodi i përdorur në këtë sulm kishte këto karakteristika:
Emri i skedarit SHA-256 cl.exe e1204ebbd8f15dbf5f2e41dddc5337e3182fc4daf75b05acc948b8b965480ca0 rwdsk.sys 3c9dc8ada56adf9cebfc501a2d3946680dcb0534a137e2e27a7fcb5994cd9de6
I ngulitur në fshirësin cl.exe ishte vargu gjashtëkëndor
'B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D', i cili ishte i njëjti çelës i licencës i përdorur për mjetin El93C911E2287A4B906D47D. Ndërsa ZeroCleare nuk përdoret gjerësisht, ky mjet po ndahet mes një numri më të vogël aktorësh të lidhur duke përfshirë aktorë në Iran me lidhje me MOIS.
Ngarkesa e ransomware e përdorur në këtë sulm nga operatori DEV-0842 kishte këto karakteristika:
Emri i skedarit SHA-256
GoXml.exe f116acc6508843f59e59fb5a8d643370dce82f492a217764521f46a856cc4cb5
Ky mjet është nënshkruar me një certifikatë dixhitale të pavlefshme nga Kuwait Telecommunications Company KSC. Kjo certifikatë kishte një gjurmë gishti SHA-1 prej 55d90ec44b97b64b6dd4e3aee4d1585d6b14b26f.
Telemetria e Microsoft tregon se kjo certifikatë është përdorur vetëm për të nënshkruar 15 skedarë të tjerë - një gjurmë shumë e vogël, që sugjeron se certifikata nuk ishte e shpërndarë gjerësisht midis grupeve të aktorëve të palidhur. Shumë binare të tjera me të njëjtën certifikatë dixhitale janë parë më parë në skedarë me lidhje me Iranin, duke përfshirë një viktimë të njohur DEV-0861 në Arabinë Saudite në qershor 2021:
Emri i skedarit SHA-256
Read.exe ea7316bbb65d3ba4efc7f6b488e35db26d3107c917b665dc7a81e327470cb0c1
Nuk është e qartë nëse Read.exe u hoq nga DEV-0861 në këtë viktimë saudite ose nëse DEV-0861 ia dorëzoi gjithashtu aksesin viktimës saudite në DEV-0842.
Indikacione shtesë për sponsorizimin shtetëror iranian
Mesazhet, koha dhe përzgjedhja e objektivave të sulmeve kibernetike forcuan besimin tonë se sulmuesit po vepronin në emër të qeverisë iraniane. Mesazhet dhe përzgjedhja e objektivit tregojnë se Teherani ka të ngjarë të përdorë sulmet si hakmarrje për sulmet kibernetike që Irani percepton se janë kryer nga Izraeli dhe Mujahedin-e Khalq (MEK), një grup disident iranian me bazë kryesisht në Shqipëri që kërkon të përmbysë Republikën Islamike të Iranit.
Mesazhimi
Logoja e sulmuesit është një shqiponjë që pre në simbolin e grupit haker "Predatory Sparrow" brenda Yllit të Davidit (Figura 4). Kjo sinjalizon se sulmi ndaj Shqipërisë ishte hakmarrje për operacionet e Predatory Sparrow kundër Iranit , të cilat Teherani e percepton se përfshin Izraelin. Predatory Sparrow ka marrë përgjegjësinë për disa sulme kibernetike të profilit të lartë dhe shumë të sofistikuar kundër subjekteve të lidhura me Iraninqë nga korriku 2021. Kjo përfshinte një sulm kibernetik që ndërpreu programet televizive të Transmetimit të Republikës Islamike të Iranit (IRIB) me imazhe që përshëndesin udhëheqësit e MEK në fund të janarit. Predatory Sparrow paralajmëroi për sulmin disa orë përpara kohe dhe pretendoi se ata e mbështetën dhe paguanin për të, duke treguar se të tjerët ishin të përfshirë. Zyrtarët iranianë fajësuan MEK për këtë sulm kibernetik dhe gjithashtu fajësuan MEK dhe Izraelin për një sulm kibernetik që përdori të njëjtat imazhe dhe mesazhe kundër bashkisë së Teheranit në qershor.
Mesazhi në imazhin e shpërblesës tregon se MEK, një kundërshtar i gjatë i regjimit iranian, ishte objektivi kryesor pas sulmit të tyre ndaj qeverisë shqiptare. Imazhi i shpërblesës, si disa postime të Drejtësisë së Atdheut, grupi që shtynte haptazi mesazhe dhe nxirrte të dhëna të lidhura me sulmin, pyeti "pse duhet të shpenzohen taksat tona për terroristët e Durrësit". Kjo është një referencë për MEK-un, të cilin Teherani i konsideron terroristë , të cilët kanë një kamp të madh refugjatësh në qarkun e Durrësit në Shqipëri.
Një foto e logos së aktorit kërcënues, një shqiponjë që pret një harabeli brenda Yllit të Davidit. Ka tekst në fund të logos, me dorezën në Twitter @homelandjustice. Në të dyja anët e logos ka tekst, ku të dyja shkruhet "Pse duhet të shpenzohen taksat tona për terroristët e Durrësit?".
Numrat e kontaktit të aktorëve të kërcënimit renditen më pas në fund të tekstit.
Mesazhet e lidhura me sulmin pasqyronin nga afër mesazhet e përdorura në sulmet kibernetike kundër Iranit, një taktikë e zakonshme e politikës së jashtme iraniane që sugjeron një qëllim për të sinjalizuar sulmin si një formë hakmarrjeje. Niveli i detajeve të pasqyruara në mesazhe gjithashtu zvogëlon gjasat që sulmi të ishte një operacion i rremë nga një vend tjetër përveç Iranit.
Numrat e kontaktit të renditur në imazhin e shpërblesës (Figura 4), për shembull, ishin të lidhur me shumë drejtues të lartë shqiptarë, duke pasqyruar sulmet kibernetike në hekurudhat e Iranit dhe pompat e karburantit, të cilat përfshinin një numër telefoni kontakti që i përkiste Zyrës së Udhëheqësit Suprem iranian .
Mesazhet në operacionet e informacionit theksonin gjithashtu shënjestrimin e politikanëve të korruptuar të qeverisë dhe mbështetjen e tyre për terroristët dhe interesin për të mos dëmtuar popullin shqiptar (Figura 5). Në mënyrë të ngjashme, sulmi ndaj kompanive iraniane të çelikut pretendoi se synonte fabrikat e çelikut për lidhjet e tyre me Korpusin e Gardës Revolucionare Islamike (IRGC) duke shmangur dëmtimin e iranianëve. Një tjetër sulm kibernetik ndaj një linje ajrore iraniane në fund të vitit 2021, i cili u pretendua nga Hooshyaran-e Vatan (që do të thotë "Vëzhguesit e Atdheut" në farsi), theksoi korrupsionin e Teheranit dhe shpërdorimin e parave për aktivitetet e IRGC jashtë vendit.
Një pamje nga ekrani i një postimi në Twitter nga përdoruesi @homelandjustice. Postimi përbëhet nga teksti ku thuhet: Ne, grupi i drejtësisë së atdheut, nuk kemi bërë dhe nuk duam të cenojmë interesat e popullit shqiptar. Por kur bëhet fjalë për qeverinë dhe politikanët e korruptuar të Shqipërisë, kjo është një histori tjetër. Shqipëria nuk është shtëpi për terroristët dhe mashtruesit.
Koha
Sulmi kibernetik i 15 korrikut ndodhi disa javë pas një vargu sulmesh kibernetike ndaj Iranit, një javë përpara Samitit Botëror të Iranit të Lirë të sponsorizuar nga MEK dhe në linjë me lëvizjet e tjera të politikës iraniane kundër MEK, duke forcuar më tej gjasat e përfshirjes iraniane. Më 16 korrik, një ditë pas sulmit kibernetik, Ministria e Punëve të Jashtme e Iranit lëshoi një deklaratë duke caktuar politikanë aktualë dhe ish-amerikanë për mbështetjen e MEK. Samiti Botëror i Iranit të Lirë, të cilin regjimi iranian e kundërshton në mënyrë aktive, u anulua këtë vit pas paralajmërimeve për kërcënime të mundshme terroristenë Samitin e 21 korrikut. Disa ditë pas Samitit të planifikuar Botëror të Iranit të Lirë, shtypi zyrtar iranian publikoi një editorial që bënte thirrje për veprim ushtarak kundër MEK-ut në Shqipëri. Kjo varg ngjarjesh sugjeron se mund të ketë pasur një përpjekje të gjithë qeverisë iraniane për t'iu kundërvënë MEK-ut nga Ministria e Punëve të Jashtme të Iranit, agjencitë e inteligjencës dhe organet zyrtare të shtypit.
Zgjedhja e objektivit
Disa nga organizatat shqiptare të shënjestruara në sulmin shkatërrues ishin organizatat dhe agjencitë qeveritare ekuivalente në Iran që përjetuan sulme kibernetike të mëparshme me mesazhe të lidhura me MEK. Kjo sugjeron që qeveria iraniane zgjodhi ato objektiva për të sinjalizuar sulmet kibernetike si një formë hakmarrjeje të drejtpërdrejtë dhe proporcionale, një taktikë e zakonshme e regjimit.
Operacionet paralele të informacionit dhe amplifikimi
Përpara dhe pas nisjes së fushatës së mesazheve “Atland Justice”, llogaritë e personave të mediave sociale dhe një grup shtetasish iranianë dhe shqiptarë të jetës reale të njohur për pikëpamjet e tyre pro Iranit, anti-MEK, promovuan pikat e përgjithshme të bisedës së fushatës dhe përforcuan rrjedhjet e publikuara nga llogaritë e Drejtësisë së Atdheut në internet. Promovimi paralel i fushatës “Drejtësia e Atdheut” dhe temave të saj qendrore nga këto subjekte në hapësirën online – para dhe pas sulmit kibernetik – sugjeron një operacion informacioni me bazë të gjerë që synon të përforcojë ndikimin e sulmit.
Përpara sulmit kibernetik, më 6 qershor, Ebrahim Khodabandeh, një ish-anëtar i pakënaqur i MEK-ut postoi një letër të hapur drejtuar kryeministrit shqiptar Edi Rama duke paralajmëruar pasojat e përshkallëzimit të tensioneve me Iranin. Duke thirrur "pushimin e sistemeve komunale të Teheranit" dhe " stacionet e benzinës ", Khodabandeh pretendoi se MEK ishte burimi i "akteve sabotuese kundër interesave të popullit iranian [sic]" dhe argumentoi se këto përbënin "punën armiqësore të qeverinë tuaj” dhe ka shkaktuar “armiqësi të dukshme me kombin iranian [sic]”.
Katër ditë më vonë, më 10 qershor, Khodabandeh dhe Shoqëria Nejat, një OJQ anti-MEK që ai drejton, pritën një grup shtetasish shqiptarë në Iran. Grupi përfshinte anëtarë të një organizate tjetër anti-MEK të quajtur Shoqata për Mbështetjen e Iranianëve që jetojnë në Shqipëri (ASILA) – Gjergji Thanasi, Dashamir Mersuli dhe Vladimir Veis. Duke pasur parasysh natyrën shumë politike të punës së ASILA-s për çështje që lidhen me një grup që Teherani e konsideron organizatë terroriste (MEK), ka shumë mundësi që kjo vizitë të jetë kryer me sanksion nga shteti. Pas kthimit të tyre nga Irani, më 12 korrik, Shoqëria Nejat tha se policia shqiptare bastisi zyrat e tyre dhe arrestoi disa anëtarë të ASILA-s. Ndërsa Shoqëria Nejat tha se ky bastisje ishte rezultat i "akuzave të rreme dhe të pabaza", sipas mediave lokale.bastisja erdhi nga lidhjet e mundshme me shërbimet e inteligjencës iraniane.
Në vazhdën e sulmit kibernetik, më 23 korrik, Thanasi dhe Olsi Jazexhi, një tjetër shtetas shqiptar që shfaqet shpesh në median e sponsorizuar nga shteti iranian PressTV duke përkrahur pozicione anti-MEK, kanë shkruar një letër të dytë të hapur drejtuar presidentit të atëhershëm shqiptar Ilir Meta. publikuar edhe në faqen e internetit të Shoqërisë Nejat. Kjo letër i bënte jehonë pretendimit qendror të Drejtësisë së Atdheut – domethënë se vazhdimi i Shqipërisë për të pritur MEK-un përbënte një rrezik për popullin shqiptar. Jazexhi dhe Thanasi i bënë thirrje Metës që të mbledhë Këshillin e Sigurisë Kombëtare të Shqipërisë për të “shqyrtuar nëse Shqipëria ka hyrë në një konflikt kibernetik dhe ushtarak me Republikën Islamike të Iranit”.
Në maj të vitit 2021, afërsisht në të njëjtën kohë kur aktorët iranianë filluan ndërhyrjen e tyre në sistemet e viktimave të qeverisë shqiptare, llogari për dy persona të mediave sociale anti-MEK , të cilat duket se nuk korrespondojnë me njerëz të vërtetë, u krijuan në Facebook dhe Twitter. Llogaritë kryesisht postojnë përmbajtje anti-MEK dhe angazhohen me llogaritë e mediave sociale të disa prej individëve të detajuar më lart. Këto dy llogari së bashku me një llogari të tretë, më të vjetër, ishin ndër të parat që promovuan postime nga llogaritë e Drejtësisë së Atdheut në Twitter dhe të treja rritën në mënyrë dramatike shkallën e postimeve anti-MEK pasi sulmi kibernetik i mesit të korrikut 2022 u bë publik.
Ekzistojnë disa prova shtesë që roli i këtyre personave shtrihej përtej amplifikimit të thjeshtë të mediave sociale dhe në prodhimin e përmbajtjes. Një nga personat që postonte në mënyrë të përsëritur përmbajtjen e Drejtësisë së Atdheut kishte shkruar më parë për American Herald Tribune të lidhur me IRGC- në tashmë të zhdukur dhe faqe të tjera lajmesh, shpesh në terma negativë për MEK-un. Ndërkohë, një llogari e dytë e personazhit mund të ketë tentuar të kontaktojë të paktën një gazetë shqiptare përpara hakimit, duke kërkuar "bashkëpunim" dhe aftësinë për të botuar me median.
Promovimi paralel i fushatës "Drejtësia në Atdhe" dhe temave të saj qendrore nga këta individë dhe persona në internet, si para ashtu edhe pas sulmit kibernetik, i shton një dimension njerëzor imponues përpjekjes më të gjerë të ndikimit të Drejtësisë së Atdheut. Ndërkohë që nuk ka pasur marrëdhënie të drejtpërdrejta të vëzhguara midis aktorëve të kërcënimit përgjegjës për sulmin shkatërrues dhe këtyre aktorëve të mesazheve, veprimet e tyre ngrenë pyetje të denja për shqyrtim të mëtejshëm.
Aktiviteti i vëzhguar i aktorit
DART dhe MSTIC mbështetën shfrytëzimin e analizës së sulmit pas shpërblesës dhe fshirësitMicrosoft 365Mbrojtësi dhe mbledhja e objekteve shtesë mjeko-ligjore. Analiza identifikoi përdorimin e dobësive për të implantuar predha uebi për qëndrueshmëri, veprime zbulimi, teknika të zakonshme të grumbullimit të kredencialeve, metoda të shmangies së mbrojtjes për të çaktivizuar produktet e sigurisë dhe një përpjekje përfundimtare të veprimeve për vendosjen objektive të enkriptimit dhe fshirjes së binarëve. Përpjekja e sponsorizuar nga Irani për shkatërrim kishte më pak se 10% ndikim total në mjedisin e klientit.
Akses dhe implant
Bazuar në analizat investigative, duke filluar nga maji 2021, aktorët shfrytëzuan dobësitë e një pike fundore të përballur me publikun për të ekzekutuar kodin arbitrar që implantoi predha uebi në serverin e papatchuar SharePoint (Collab-Web2.*.*), siç u tha më parë. Këto predha të përgjithshme në internet siguruan mundësinë për të ngarkuar skedarë, për të shkarkuar skedarë, për të fshirë skedarët, për të riemërtuar, për të ekzekutuar komanda me një opsion për të ekzekutuar si përdorues specifik.
Një pamje e ekranit të ndërfaqes grafike të përdoruesit të një "predhe" në internet, nga këndvështrimi i një sulmuesi. Konsola ka dy skeda: komanda dhe eksploruesi i skedarëve, ku sulmuesi duhet të futë informacione për të ekzekutuar komanda kundër objektivit të tyre.
Figura 7. Konsola web shell nga këndvështrimi i sulmuesit
"Predhat" e uebit u vendosën në drejtoritë e mëposhtme:
C:\Program Files\Common Files\microsoft shared\Ub Server Extensions\16\TEMPLATE\LAYOUTS\evaluatesiteupgrade.cs.aspx
C:\Program Files\Common Files\microsoft shared\Ueb Server Extensions\16\TEMPLATE\LAYOUTS\Pickers.aspx
C:\ProgramData\COM1\frontend\Error4.aspx
Lëvizja anësore dhe ekzekutimi
Pas aksesit fillestar dhe implantimit, aktori i kërcënimit u vëzhgua duke përdorur Mimikatz për mbledhjen e kredencialeve dhe një kombinim të klientëve Impacket dhe Desktop në distancë për përpjekjet e lëvizjes anësore duke përdorur llogarinë e integruar të administratorit. U identifikuan vegla të pakthyeshme, gjë që sugjeron shumë se përpjekjet e zbulimit ishin të pranishme në formën e emrave të skedarëve të ekzekutivëve, të dhënave të kutisë postare rezidente, bazës së të dhënave dhe detajeve të përdoruesit. Veprime të ngjashme nga aktorët e kërcënimit të vëzhguara nga MSTIC dhe DART detajojnë veglat me porosi dhe ato me burim të hapur të përdorura për këto përpjekje.
Artefaktet e veglave të identifikuara:
IPGeter.exe
FindUser.exe
recdisc.exe
NetE.exe
avancuar_port_scanner.exe
mimikatz.exe
shared.exe
Skedarët e ruajtur CSV dhe TXT
Mbledhja e të dhënave
Gjatë periudhës tetor 2021 - janar 2022, aktorët e kërcënimit përdorën një mjet unik të eksfiltrimit të postës elektronike i cili ndërvepronte me API-të e shërbimeve të internetit të Exchange për të mbledhur email në një mënyrë që maskonte veprimet. Aktorët e kërcënimit i realizuan këto veprime duke krijuar një identitet të quajtur "HealthMailbox55x2yq" për të imituar një llogari të Shërbimit Shëndetësor të Microsoft Exchange duke përdorur komandat e Exchange PowerShell në serverët Exchange. Aktorët e kërcënimit më pas shtuan llogarinë në grupin e roleve të integruara të shkëmbimit shumë të privilegjuar "Menaxhimi i Organizatës" për të shtuar më vonë rolin e "Imitimit të Aplikacionit". Aplikimi Imitimroli i menaxhimit u mundëson aplikacioneve të imitojnë përdoruesit në një organizatë për të kryer detyra në emër të përdoruesit, duke ofruar mundësinë që aplikacioni të veprojë si pronar i një kutie postare.
Evazioni i mbrojtjes
Para fillimit të fazës përfundimtare të sulmit, aktorët e kërcënimit fituan akses administrativ në një zgjidhje të vendosur për zbulimin dhe përgjigjen e pikës fundore (EDR) për të bërë modifikime, duke hequr bibliotekat që preknin agjentët në të gjithë ndërmarrjen. Përveç kësaj, një binar për të çaktivizuar komponentët e Microsoft Defender Antivirus u përhap duke përdorur vegla të personalizuara. Binar i shpërndarë me emrin disable-defender.exepyet për TokenElevation duke përdorur API-në GetTokenInformation dhe kontrollon nëse procesi po funksionon me privilegje të ngritura. Nëse token nuk funksionon me privilegj të ngritur, binar printon "Duhet të ekzekutohet si administrator!\n". Nëse token është ngritur, ai kërkon TokenUser dhe kontrollon nëse SID është "S-1-5-18". Nëse procesi aktual nuk funksionon në kontekstin e sistemit, ai printon "Rinis me privilegje\n" dhe përpiqet të ngrejë privilegjin.
Për të ngritur privilegjin, binar kontrollon nëse shërbimi TrustedInstaller është i aktivizuar. Për ta bërë këtë, ai fillon shërbimin "SeDebugPrivilege" dhe "SeImpersonatePrivilege" për t'i caktuar privilegjet vetes. Më pas kërkon për procesin winlogon.exe , merr tokenin e tij dhe imiton thread-in e thirrjes duke përdorur ImpersonateLoggedOnUser/SetThreadToken. Pas imitimit si winlogon.exe , ai hap procesin TrustedInstaller, merr tokenin e tij për imitim dhe krijon një proces të ri me privilegje të ngritura duke përdorur CreateProcessWithTokenW.
Një grafik i katër hapave kryesorë që sulmuesi ndërmerr për të çaktivizuar komponentët e mbrojtjes së objektivit të tij. Katër kuti teksti janë rreshtuar horizontalisht, me një shigjetë pas çdo kutie. Kutitë e tekstit përmbajnë sa vijon: "Disable-defender.exe si administrator", "Impersonate Winlogon.exe", "Impersonate TrustedInstaller.exe", "Disable-defender.exe me privilegjin TrustedInstaller".
Pasi të krijojë me sukses procesin e vet me privilegjin TrustedInstaller, ai vazhdon të çaktivizojë komponentët e Defender.
Shpërndarja e binareve të enkriptimit dhe fshirjes u realizua me dy metoda nëpërmjet një vegle të personalizuar të kopjimit të skedarëve në distancë SMB Mellona.exe , fillimisht i quajtur MassExecuter.exe. Skedari në distancë i metodës së parë kopjoi skedarin binar të shpërblesës GoXml.exe dhe një skedar bat që shkakton ekzekutimin e shpërblimit ose fshirësit në hyrjen e përdoruesit. Metoda e dytë ishte duke thirrur në distancë binarin e shpërblesës me mjetin Mellona.exe, duke postuar kopjen e skedarit në distancë SMB.
Një pamje nga ekrani i shënimit të ransomware-it të rënë nga ransomware. Ai shfaq tekstin e shkruar në shqip në të djathtë, duke i thënë viktimës se skedarët e tyre janë të koduar dhe se nuk është e mundur të rikuperohen skedarët pa një çelës privat. Numrat e kontaktit jepen nga sulmuesi që viktima të telefonojë për të marrë çelësin privat.
Kryen një vetë-fshirje duke nisur cmd.exe dhe ekzekuton një skript grumbull përmes tubit anonim për të kryer fshirjen e të gjitha informacioneve.
Teknikat e përdorura nga aktori dhe të përshkruara në seksionin e aktivitetit të aktorit të vëzhguar mund të zbuten duke miratuar konsideratat e sigurisë të dhëna më poshtë:
Përdorni treguesit e përfshirë të kompromisit për të hetuar nëse ato ekzistojnë në mjedisin tuaj dhe për të vlerësuar për ndërhyrje të mundshme
Blloko trafikun hyrës nga IP-të e specifikuara në tabelën Treguesit e kompromis
Rishikoni të gjithë aktivitetin e vërtetimit për infrastrukturën e aksesit në distancë, me një fokus të veçantë në llogaritë e konfiguruara me vërtetim me një faktor të vetëm, për të konfirmuar vërtetësinë dhe për të hetuar çdo aktivitet anormal
Aktivizo vërtetimin me shumë faktorë (MFA) për të zbutur kredencialet potencialisht të komprometuara dhe për të siguruar që MFA të zbatohet për të gjithë lidhjen në distancë
SHËNIM: Microsoft fuqimisht inkurajon të gjithë klientët të shkarkojnë dhe përdorin zgjidhje pa fjalëkalim si Microsoft Authenticator për të siguruar llogaritë tuaja
*Përshtatur nga analiza e publikuar në Microsoft
Foto ilustruese Prokurori i Tiranës, Julian Xhengo u përball të premten më 9 shtator me Komisionin e Pavarur të Kualifikimit, KPK,...
Meledin Adili KUKËS- 5 ditë kanë kaluar dhe ende nuk ka asnjë shenjë për Meledin Adilin, 26-vjeçarin e zhdukur në...
Protesta TIRANË- Aktivistët e ‘Qëndresës Qytetare’ kanë organizuar ditën e sotme një protestë para...
Apeli TIRANË- Apeli i Posaçëm ka dënuar me 10 vite e 8 muaj burg Bashkim Muratajn me akuzën e trafikut të lënd&eu...
Pjerin Xhuvani ELBASAN- Është shtyrë seanca e njoftuar për ditën e sotme ndaj Arbër Paplekajt, i cili është i akuzu...
Foto ilustruese TIRANË- Nga 1 tetori deri më 31 dhjetor të këtij vitit familjet do të paguajnë ndryshe faturën e energji...
Pamje nga aksioni i IMT DURRËS- Aksion në lokalet në hyrje të Durrësit. Inspektoriati i Mbrojtjes së Territorit ka nisu...
Foto ilustruese GREQI- Një ngjarje ka ndodhur në Greqi, ku një burrë ka tentuar që të djegë të gjallë bashk&eu...
Foto ilustruese NJOFTIMI I PLOTË: Tiranë Vihen në pranga 8 shtetas, për vepra të ndryshme penale. Specialistët për H...
BE BRUKSEL- Bashkimi Evropian në Shqipëri ka reaguar në lidhje me sulmet kibernetike të Iranit ndaj Shqipërisë. BE dënon...
