Pas sulmeve kibernetike nw Shqipëri në muajin korrik, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet.
Në kohën e sulmeve, Microsoft deklaroi publikisht se; “Microsoft është i përkushtuar të ndihmojë klientët tanë të jenë të sigurt duke arritur më shumë. Gjatë këtij aktiviteti, ne mobilizuam shpejt Ekipin tonë të Zbulimit dhe Reagimit (DART) për të ndihmuar qeverinë shqiptare që të rimëkëmbet me shpejtësi nga ky sulm kibernetik. Microsoft do të vazhdojë të bashkëpunojë me Shqipërinë për të menaxhuar rreziqet e sigurisë kibernetike, ndërkohë që do të vazhdojë të përmirësojë mbrojtjen nga sulmuesit me qëllim të keq.”
Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër Shqipërisë, duke prishur faqet e online të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.
Disa faza e sulmit:
Ndërhyrja fillestare
Eksfiltrimi i të dhënave
Kriptimi dhe shkatërrimi i të dhënave
Operacionet e informacionit
Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:
DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
DEV-0861 fitoi akses fillestar dhe nxori të dhëna
DEV-0166 të dhënat e filtruara
DEV-0133 infrastruktura e hetuar e viktimave
Microsoft përdor emërtimet DEV-#### si një emër të përkohshëm që i jepet një grupi të panjohur, në zhvillim ose një grupi aktivitetesh kërcënimi, duke lejuar MSTIC ta gjurmojë atë si një grup unik informacioni derisa të arrijmë një besim të lartë për origjinën ose identitetin të aktorit që qëndron pas aktivitetit. Pasi të plotësojë kriteret, referenca DEV konvertohet në një tjetër.
Microsoft vlerësoi me besim se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit. Ne i gjurmojmë ato veçmas bazuar në grupe unike mjetesh dhe/ose TTP; megjithatë, disa prej tyre mund të punojnë për të njëjtën njësi.
Analiza
Provat e mbledhura gjatë përgjigjes sw hetimit treguan se aktorët e lidhur me Iranin e kryen sulmin.
Sulmuesit u vëzhguan duke vepruar jashtë Iranit.
Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave përdorën mjete të përdorura më parë nga sulmues të tjerë të njohur iranianë.
Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave synuan sektorë dhe vende të tjera që janë në përputhje me interesat iraniane.
Kodi i fshirësit është përdorur më parë nga një aktor i njohur iranian.
Ndërhyrja dhe eksfiltrimi
Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një viktime të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2.*.*), dhe aksesi i përforcuar deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtare e grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.
DEV-0861 u vu re se funksiononte nga IP-të e mëposhtme për të eksfiltuar postën:
144[.]76[.]6[.]34
176[.]9[.]18[.]143
148[.]251[.]232[.]252
Analiza e sinjaleve nga këto IP dhe burime të tjera, tregoi se DEV-0861 ka eksploruar në mënyrë aktive postën nga organizata të ndryshme në vendet e mëposhtme që nga prilli 2020.
Profili gjeografik i këtyre viktimave – Izraeli, Jordania, Kuvajti, Arabia Saudite, Turqia dhe Emiratet e Bashkuara Arabe – përputhet me interesat iraniane dhe historikisht janë shënjestruar nga aktorët shtetërorë iranianë, veçanërisht aktorët e lidhur me MOIS.
DEV-0166 u vu re duke eksfiltruar postën nga viktima midis nëntorit 2021 dhe majit 2022. DEV-0166 ka të ngjarë të përdorte mjetin Jason.exe për të hyrë në kutitë postare të komprometuara.
