Cyber ​​Security Group: Operationen gegen iranische Regierungsstandorte wurden intern im Iran durchgeführt

Eine bekannte Cybersicherheitsgruppe hat Operationen gegen Regierungswebsites im Iran untersucht und ist zu dem Schluss gekommen, dass aufgrund der Struktur des iranischen Internets und seiner Trennung vom globalen Internet am 27. Januar 2022 Operationen gegen Regierungswebsites, darunter auch solche des staatlichen Radios und Fernsehens, durchgeführt wurden. Das Amt des Außenministeriums am 7. Mai 2023 und das Amt des Präsidenten am 29. Mai 2023 wurden durch Infiltration durchgeführt und können nicht das Ergebnis einer Penetration von außerhalb Irans gewesen sein.

In den letzten Jahren hat die Cybersicherheitsgruppe Treadstone71 mehrere Berichte über die iranische Regierung und ihre Cyberangriffe veröffentlicht und sich zu einer Autorität auf diesem Gebiet entwickelt.

Der Treadstone71-Bericht unterstreicht, dass größere Angriffe auf die Websites der iranischen Regierung höchstwahrscheinlich durch Eindringlinge aus dem Iran heraus durchgeführt wurden, insbesondere durch Insider, die Zugang zu diesen Systemen hatten.

Zahlreiche der wichtigsten Websites der iranischen Regierung sowie Online-Systeme der Stadt Teheran und nationaler Radio- und Fernsehsender sind seit Januar 2022 massiven Angriffen ausgesetzt.

Die Gruppe "Gyamsarnegouni („Aufstand bis zum Sturz“) hat die Verantwortung für die Hauptangriffe übernommen und auf seinem Telegram-Account umfangreiche interne Regierungsdokumente der iranischen Regierung offengelegt. Die Gruppe hat die Homepages mehrerer Websites unkenntlich gemacht, indem sie durchgestrichene Bilder des Obersten Führers Ali Khamenei veröffentlicht und Bilder iranischer Oppositionsführer platziert hat.

Im Jahr 2022 wurden die Internetstrukturen und -dienste der albanischen Regierung von einem massiven Cyberangriff angegriffen, der viele Probleme verursachte. Umfangreiche Untersuchungen von Microsoft und anderen zeigten den Finger auf Teheran.

Nach Einschätzung von Treadstone71 „verfügt der Iran über eine lange Geschichte der Beteiligung an Cybersicherheitsangriffen und liegt einigen Statistiken zufolge an fünfter Stelle unter den Nationen, die dafür bekannt sind, ihre Gegner durch Cyberkriegsführung ins Visier zu nehmen.“

Werbung

„Aus Sicherheitsgründen“, stellt Treadstone71 in seinem Bericht fest, „beschloss der Iran, seine Regierungswebsites von europäischen Hosting-Servern auf inländische Hosting-Unternehmen als Teil seines ‚Nationalen Internets‘ zu verlagern“, und infolgedessen „sämtliche Regierung und Staat.“ „Kontrollierte Websites wurden von europäischen und amerikanischen Hosting-Servern auf inländische Hosts verlagert“, und „der Zugriff auf ausgewählte staatliche und staatlich kontrollierte Websites wurde auf das ‚nationale Internet‘ beschränkt, wodurch sie über das globale Internet nicht zugänglich waren.“

Der Bericht von Treadstone71 betonte: „Wir waren auch Zeugen einer anderen Art von Angriff, abgesehen von der Infiltration staatlicher Websites auf anfällige iranische Hosting-Dienste; die von Gyamsarnegouni („Aufstand bis zum Sturz“). Die von dieser Gruppe durchgeführten Angriffe gehörten zu den tiefgreifendsten Unterwanderungen gegen die Netzwerke der iranischen Regierung.“

Der Bericht stellt fest:

Diese Angriffe zeichneten sich durch drei Hauptmerkmale aus:

1. Das Ausmaß der Infiltration in die sichersten Regierungsnetzwerke, vergleichbar nur mit dem Stuxnet-Angriff (bei dem ein Flash-Laufwerk zum Einsatz kam).

2. Das Volumen der exfiltrierten Dokumente.

3. Der weitverbreitete Zugang zu Servern und Computern.

Der Treadstone71-Bericht unterstreicht, dass staatliche Radio- und Fernsehsender, insbesondere in undemokratischen Ländern wie dem Iran, „zu den isoliertesten und am besten geschützten Netzwerken gehören“. Weiter heißt es: „Das interne Rundfunknetz des Iran ist nicht mit dem Internet verbunden und weist erhebliche Luftlücken auf; Das bedeutet, dass es physisch vom Internet isoliert ist und nur von innen darauf zugegriffen werden kann … Die einzige Möglichkeit für einen Außenstehenden, Zugang zum Netzwerk zu erhalten, wäre die physische Infiltration.“

Im Januar 2022 wiesen iranische Nachrichtenmedien darauf hin, dass Regierungsinstitutionen davon ausgehen, dass dieser Angriff von Personen durchgeführt wurde, die über Insiderinformationen über iranische staatliche Radio- und Fernsehsysteme verfügten.

Der Angriff auf die Websites der Stadtverwaltung von Teheran am 2. Juni 2022 beinhaltete den Einbruch in 5,000 Kameras, die zur Verkehrskontrolle und Gesichtserkennung eingesetzt wurden. Laut Treadstone71 hätten die Hacker „wussten, dass die Kameras nicht mit dem Internet verbunden waren und dass sie sich physischen Zugang zu den Kameras verschaffen mussten, um sie zu hacken.“

Die verblüffendsten Erkenntnisse von Treadstone71 stehen jedoch im Zusammenhang mit den beiden aufsehenerregenden und aufmerksamkeitsstarken Angriffen von Gyamsarnegouni im Mai 2023.

Bei dem Angriff auf die Website des iranischen Außenministeriums verschafften sich Hacker Zugriff auf 50 Terabyte an Daten aus den Archiven des Ministeriums. Die Einschätzung von Treadstone71 ist, dass dies „ein Eindringen in die innersten Schichten dieser Regierungsbehörde erforderte“. Die Art der durchgesickerten Dokumente deutet darauf hin, dass solche Dokumente über das Internet nicht zugänglich wären, was den Verdacht einer Insiderbeteiligung weiter stützt.“

Die Experteneinschätzung von Treadstone71 kam zu dem Schluss, dass „die Übertragung von 50 TB Daten aus der Ferne – und in einem gefilterten Netzwerk wie dem des Iran – nicht möglich wäre“, und fügte hinzu, dass die schiere Größe des Hacks auch Aufschluss darüber gibt, wie er durchgeführt wurde.

„Die normale Internet-Download-Geschwindigkeit von Iranern beträgt 11.8 Megabit pro Sekunde. Das Herunterladen von 50 Terabyte an Daten des iranischen Außenministeriums mit dieser Geschwindigkeit würde über 392 Tage oder über ein Jahr ununterbrochener Downloadzeit dauern, und das iranische Internet bricht häufig aus, wird von der Regierung gedrosselt und kommt es regelmäßig zu von der Regierung verursachten Stromausfällen. “ heißt es in dem Bericht.

„Anhand dieser Zahlen ist es sehr wahrscheinlich, dass ein solcher Angriff durch direkten Zugriff auf die Daten erfolgt ist.“

Im Zusammenhang mit dem Angriff auf die Website des Präsidialamtes drangen die Hacker in die sichersten Kommunikationssysteme der Regierung ein und erbeuteten Zehntausende Dokumente, die nur wenige Monate alt waren.

Laut einem iranischen Experten verwendete diese Website „eine dedizierte IP-Adresse, die undurchdringlich war“.

„Die Tatsache, dass die Hacker Zugriff auf Zehntausende Dokumente erhalten haben, die nicht älter als ein paar Monate sind, deutet auch darauf hin, dass Insider den Angriff durchgeführt haben. Diese Dokumente wären auf Computern mit eingeschränktem Zugang zum Internet gespeichert worden, und es wäre schwierig gewesen.“ dass ein Außenstehender darauf zugreifen kann“, erklärte Treadstone71.

Der Bericht endete mit den Worten: „Die iranische Regierung schob die Schuld zunächst ausländischen Gegnern zu. Cybersicherheitsexperten und zunehmende Beweise deuten jedoch auf eine Beteiligung von Insidern hin.“

Teile diesen Artikel: