Menjëherë pas sulmeve shkatërruese kibernetike kundër qeverisë shqiptare në mes të korrikut, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet. Pas disa muajsh investigime, kompania ka publikuar detajet e raportit të cilat ju i gjeni të përmbledhura mëposhtë.
Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka nxjerrë informacione të ndjeshme që ishin tërhequr muaj më parë.
Ka pasur disa faza të identifikuara në këtë fushatë:
- Ndërhyrja fillestare
- Tërheqja e të dhënave
- Kriptimi dhe shkatërrimi i të dhënave
- Operacionet e informacionit
Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:
- DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit e të dhënave
- DEV-0861 fitoi akses fillestar dhe nxori të dhëna
- DEV-0166 të dhënat e filtruara
- DEV-0133 infrastruktura e hetuar e viktimave
Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe tërheqjes së të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit.
Analiza e thelluar
Provat e mbledhura gjatë përgjigjes së thelluar treguan se aktorët e lidhur me Iranin e kryen sulmin. Kjo dëshmi përfshin, por nuk kufizohet në:
- Sulmuesit u vëzhguan duke vepruar jashtë Iranit
- Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave përdorën mjete të përdorura më parë nga sulmues të tjerë të njohur iranianë
- Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave synuan sektorë dhe vende të tjera që janë në përputhje me interesat iraniane
- Kodi fshirës është përdorur më parë nga një aktor i njohur iranian
- ransomware u nënshkrua nga e njëjta certifikatë dixhitale e përdorur për të nënshkruar mjete të tjera të përdorura nga aktorët iranianë
Ndërhyrja dhe eksfiltrimi
Një grup që është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një viktime të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server SharePoint, administrata.al (Collab-Web2 . *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë tërhoqi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.
Profili gjeografik i këtyre viktimave – Izraeli, Jordania, Kuvajti, Arabia Saudite, Turqia dhe Emiratet e Bashkuara Arabe – përputhet me interesat iraniane dhe historikisht janë shënjestruar nga aktorët shtetërorë iranianë, veçanërisht aktorët e lidhur me MOIS.
Mbledhja e të dhënave
Gjatë periudhës tetor 2021 – janar 2022, aktorët e kërcënimit përdorën një mjet unik të eksfiltrimit të postës elektronike i cili ndërvepronte me API-të e shërbimeve të internetit të Exchange për të mbledhur email në një mënyrë që maskonte veprimet. Aktorët kërcënues i realizuan këto veprime duke krijuar një identitet të quajtur “HealthMailbox55x2yq” për të imituar një llogari të Shërbimit Shëndetësor të Microsoft Exchange duke përdorur komandat e Exchange PowerShell në serverët Exchange.
Veprimet në objektiv
Shpërndarja e enkriptimit dhe fshirjes së kodeve binare u realizua me dy metoda nëpërmjet një vegle të personalizuar të kopjimit të skedarëve në distancë SMB Mellona.exe, fillimisht i quajtur MassExecuter.exe. Kodi i metodës së parë kopjoi skedarin binar ransom GoXml.exe dhe një file bat që shkakton ekzekutimin e kodit ransom ose fshirësit në hyrjen fillestare të përdoruesit. Metoda e dytë ishte duke thirrur në distancë kodin ransom me mjetin Mellona.exe.
