Grupo de Segurança Cibernética: Operações visando sites do governo iraniano foram executadas internamente no Irã

Um importante grupo de segurança cibernética investigou operações contra sites do governo no Irã e concluiu que, devido à estrutura da Internet do Irã e à sua separação da Internet global, as operações contra sites do governo, incluindo aqueles pertencentes à Rádio e Televisão estatais em 27 de janeiro de 2022, o Ministério dos Negócios Estrangeiros, em 7 de maio de 2023, e o gabinete do presidente, em 29 de maio de 2023, foram conduzidos por infiltração e não poderiam ter sido o resultado de penetração de fora do Irão.

Nos últimos anos, o grupo de segurança cibernética Treadstone71 publicou vários relatórios sobre o governo iraniano e os seus ataques cibernéticos e evoluiu como uma autoridade neste campo.

O relatório Treadstone71 sublinha que os grandes ataques às instalações do governo iraniano foram provavelmente realizados por infiltrações provenientes do interior do Irão, em particular por pessoas internas que tiveram acesso a estes sistemas.

Dezenas dos websites mais importantes do governo iraniano, bem como os sistemas online do município de Teerão e das redes nacionais de rádio e televisão, foram sujeitos a ataques massivos desde Janeiro de 2022.

o grupo "Gyamsarnegouni ("Revolta até a derrubada") assumiu a responsabilidade pelos principais ataques e divulgou extensos documentos governamentais internos do governo iraniano na sua conta do Telegram. O grupo desfigurou as páginas iniciais de vários websites, publicando imagens riscadas do Líder Supremo Ali Khamenei e colocando fotos de líderes da oposição iraniana.

Em 2022, as estruturas e serviços governamentais de Internet da Albânia foram alvo de um ataque cibernético massivo, que causou muitos problemas. Uma extensa investigação realizada pela Microsoft e outros apontou o dedo para Teerã.

De acordo com a avaliação da Treadstone71, “o Irão tem uma longa história de envolvimento em ataques à segurança cibernética e, de acordo com algumas estatísticas, ocupa o quinto lugar entre as nações conhecidas por atacarem os seus adversários através da guerra cibernética”.

Anúncios

"Como precaução de segurança", observa a Treadstone71 no seu relatório, "o Irão decidiu transferir os seus websites governamentais de servidores de alojamento europeus para empresas de alojamento nacionais, como parte da sua 'Internet Nacional'" e, como resultado, "todos os governos e estados sites controlados pelo Estado foram realocados de servidores de hospedagem europeus e americanos para hosts domésticos”, e “o acesso a sites selecionados do governo e controlados pelo Estado foi restrito à ‘Internet Nacional’, tornando-os inacessíveis através da Internet global”.

O relatório Treadstone71 sublinhou: “também testemunhámos um tipo diferente de ataque, separado daqueles que se infiltraram em websites governamentais em serviços de alojamento iranianos vulneráveis; aqueles feitos por Gyamsarnegouni ("Revolta até a Derrubada"). Os ataques realizados por este grupo estiveram entre as infiltrações mais profundas contra as redes do governo iraniano.”

As notas do relatório:

Esses ataques se destacaram por três características principais:

1. A extensão da infiltração nas redes governamentais mais seguras, comparável apenas ao ataque Stuxnet (que utilizou uma unidade flash).

2. O volume de documentos exfiltrados.

3. O acesso generalizado a servidores e computadores.

O relatório Treadstone71 sublinha que as redes estatais de rádio e televisão, especialmente em países não democráticos como o Irão, “estão entre as redes mais isoladas e mais protegidas”. Afirma ainda: “A rede interna de radiodifusão do Irão não está ligada à Internet e apresenta graves falhas de comunicação; o que significa que está fisicamente isolado da Internet e só pode ser acessado de dentro… A única maneira de alguém de fora obter acesso à rede seria através de infiltração física”

Em Janeiro de 2022, os meios de comunicação iranianos salientaram que as instituições governamentais acreditam que este ataque foi realizado por indivíduos que tinham informações privilegiadas sobre os sistemas estatais de rádio e televisão iranianos.

O ataque aos sites do município de Teerã em 2 de junho de 2022 incluiu a invasão de 5,000 câmeras utilizadas para controle de tráfego e reconhecimento facial. De acordo com Treadstone71, os hackers “teriam sabido que as câmeras não estavam conectadas à Internet e que precisariam obter acesso físico às câmeras para hackeá-las”.

Mas as descobertas mais surpreendentes da Treadstone71 estão relacionadas com os dois ataques de alto perfil e que chamaram a atenção Gyamsarnegouni em maio 2023.

Durante o ataque ao site do Ministério das Relações Exteriores iraniano, os hackers obtiveram acesso a 50 terabytes de dados dos arquivos do Ministério. A avaliação da Treadstone71 é que isso exigia “penetração nas camadas mais internas deste órgão governamental. A natureza dos documentos vazados indica que tais documentos seriam inacessíveis na Internet, apoiando ainda mais as suspeitas de envolvimento interno”.

A avaliação especializada da Treadstone71 concluiu que “a transferência de dados de 50 TB não seria possível remotamente – e numa rede filtrada como a do Irão”, e acrescentou que a simples dimensão do hack também é reveladora sobre a forma como foi realizado.

“A velocidade normal de download da Internet no Irã é de 11.8 megabits por segundo. Baixar 50 terabytes de dados do Ministério das Relações Exteriores do Irã nessa velocidade levaria mais de 392 dias ou mais de um ano de download ininterrupto, e a Internet do Irã cai frequentemente, é restringida pelo governo e sofre apagões regulares induzidos pelo governo. ”, afirmou o relatório.

“Com base nesses números, é muito provável que tal ataque tenha ocorrido a partir do acesso direto aos dados.”

Em relação ao ataque ao site do gabinete presidencial, os hackers violaram os sistemas de comunicação mais seguros do governo e obtiveram dezenas de milhares de documentos com apenas alguns meses de idade.

De acordo com um especialista iraniano, este site “usava um endereço IP dedicado que era impenetrável”.

"O fato de os hackers terem obtido acesso a dezenas de milhares de documentos com menos de alguns meses também sugere que o ataque foi conduzido por pessoas internas. Esses documentos teriam sido armazenados em computadores com acesso limitado à Internet e teria sido difícil para que alguém de fora possa acessá-los", afirmou Treadstone71.

O relatório concluiu dizendo: “O governo iraniano inicialmente atribuiu a culpa a adversários estrangeiros. No entanto, especialistas em segurança cibernética e evidências crescentes sugerem envolvimento interno”.

Compartilhe este artigo: