Gjiganti i sigurisë kibernetike zbulon detaje të reja nga mësymja e hackerëve iranianë në Shqipëri

Shqipëria fajësoi qeverinë iraniane në muajin shtator për një sulm kibernetik kundër sistemeve kompjuterike të përdorura nga Policia e Shtetit – vetëm disa ditë pasi Shtëpia e Bardhë dënoi Teheran-in për një hakmarrje që ndërpreu shërbimet e qeverisë shqiptare në korrik.

Hackerimi i detyroi zyrtarët shqiptarë që të hiqnin përkohësisht Sistemin e tij të Menaxhimit të Informacionit Total (TIMS), një sistem për gjurmimin e të dhënave të atyre që hyjnë dhe dalin nga Shqipëria, sipas një deklarate nga Ministria e Brendshme e Shqipërisë.

Sulmi kibernetik ishte vepër e “të njëjtëve agresorë” që kryen hackerimin e korrikut, deklaroi kryeministri shqiptar Edi Rama në një postim në Twitter.

“Përafërsisht në të njëjtën kohë, ne identifikuam mostra të malware për ransomware dhe wiper (fshirës) që ngjasojnë me ato të përdorura në sulmin e parë, megjithëse me disa modifikime interesante që ka të ngjarë të lejojnë evazionin e kontrolleve të sigurisë dhe shpejtësi më të mira sulmi”, shkruan kompania e sigurisë kibernetike “Kaspersky”.

Pra, çfarë ka të re në këtë analizë të Amin Hasbini-t, drejtor i kërkimit dhe analizës globale në firmën e sigurisë kibernetike “Kaspersky”.

Ndërsa ekspertët krahasojnë valën e parë dhe të dytë të sulmeve me ransomware dhe malware të fshirëseve të përdorura për të synuar entitetet shqiptare zbulojnë së janë përdorur certifikata nga “Kuwait Telecommunications Company”.

“Aktorët e sulmit përdorën certifikata nga ‘Nvidia’ dhe ‘Kuwait Telecommunications Company’ për të nënshkruar malware-in e tyre; i pari ishte zbuluar tashmë, por ne nuk jemi të sigurt se si morën në zotërim këtë të fundit”, thekson Hasbini.

Kompania për sigurinë kibernetike ka identifikuar bashkëpunimin e mundshëm midis grupeve të ndryshme të sulmit që flasin gjuhë të ndryshme dhe përdorimin e mundshëm të AnyDesk si një pikë hyrëse fillestare për të filluar shpërhapjen e ransomware/fshirëseve.

“Ndryshimet e zbatuara për të automatizuar dhe përshpejtuar fshirjen në valën e dytë të sulmeve të kujtojnë sulmet famëkeqe të fshirëseve Shamoon në Lindjen e Mesme”, vëren Amin Hasbini në analizën e tij.

Kjo e fundit ka nxjerrë në pah se aktorët e mësymjes, në ndërhyrjen e analizuar nga Kaspersky disa ditë pas aktiviteteve të fshirjes së valës së dytë, kanë komunikuar në mënyrë të fshehtë për dikë që kishte akses në një llogari të AnyDesk në një tjetër entitet joqeveritar, por subjekt domethënës shqiptar.

“Sulmuesit dhe ofruesi i qasjes dukej se i përkisnin grupeve të ndryshme të sulmit dhe flisnin gjuhë të ndryshme”, shton analiza e Kaspersky-it.

Sipas tyre, është e paqartë se si aktori i mësymjes ishte në gjendje të nënshkruante malware-in e tij duke përdorur certifikatën e Kompanisë së Telekomunikacionit të Kuvajtit, por kompania dyshon se kjo e fundit ishte vjedhur.

Nga data e këtij publikimi, certifikata nuk është më e vlefshme dhe është revokuar.

Kujtojmë që më herët, Gjykata e Apelit njoftoi heqjen e masave të sigurisë për pesë punonjësit e IT-je pranë Departamentit të Administratës Publike (DAP).

“Mbi ankimet e personave nën hetim të sipërcituar, Gjykata e Apelit Tiranë, e përbërë nga gjyqtari Genti Shala vendosi të shfuqizojë vendimet e marra nga gjykata e shkallës së parë për caktimin e masës së sigurimit”, u shpreh gjykata.

Një muaj më parë, Prokuroria firmosi urdhër-arrestet për shtetasit pas sulmeve kibernetike ndaj sistemeve shtetërore të Shqipërisë.

Sulmet kibernetike: Apeli i Tiranës heq masat e sigurisë për pesë punonjës të DAP-it

Sulmi

Byroja Federale e Hetimit (FBI) dhe Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës në SHBA (CISA) publikuan të mërkurën e 21 shtatorit një raport shterues mbi sulmet (operacionet) kibernetike të Iranit kundër Qeverisë së Shqipërisë.

Një raport tejet i detajuar dhe me teknikalitete, por i cili linte të kuptoheshin dy gjëra madhore: Hacker-ët kanë qenë prej 14 muajsh në sistem dhe kanë qenë të përfshirë “malware” shkatërrues.

Megjithatë, për sytë e jo ekspertëve, të gjitha detajet e publikuara nga raporti i FBI-së, ngjajnë thjesht si të dhëna dhe asgjë më shumë.

Por, e vërteta, qëndron përtej kësaj…

Albanian Post, lidhur me çështjen e sulmeve kibernetike iraniane në Shqipëri, është konsultuar disa herë me gjigandin e sigurisë kibernetike Mandiant, i cili së fundmi është blerë nga Google.

Për të dekriptuar më në detaje raportin e pasqyruar nga FBI, ekspertët e Mandiant janë pyetur nga Albanian Post dhe në bazë të specifikave të dhëna, bëhet me dije se po, hacker-ët iranianë kanë fshirë të dhëna qeveritare nga sistemi.

Ky detaj nuk është pranuar nga Qeveria shqiptare deri më tani, ku deklarata të herë pas hershme kanë informuar publikun se “fshirja e të dhënave nuk ka ndodhur, pasi sistemi vetë nuk funksionon në të tillë mënyrë dhe i ruan të gjitha dokumentet”.

Shefi i analizës së spiunazhit kibernetik pranë Mandiant, Benjamin Read, ekipi i të cilit drejton gjurmët dhe raportet mbi grupet e spiunazhit nga Kina, Rusia, Koreja e Veriut dhe shumë vende të tjera, ka shpjeguar për Albanian Post se raporti i FBI-së, përmend “një sasi të madhe të dhënash, të cilat janë fshirë nga rrjeti qeveritar”.

Pavarësisht kësaj, nuk përmendet dhe nuk ka detaje, nëse këto të dhëna, kanë qenë të një ndjeshmërie apo rëndësie të lartë. Ajo çfarë përmendet, është se të gjitha të dhënat e fshira, rezultojnë në përmbledhjen e ekspertizës se “janë dokumente private, që i përkasin Qeverisë”.

Për këtë arsye dhe duke parë se i gjithë sulmi është shtrirë në harkun kohor të 14 muajve, Albanian Post është interesuar edhe mbi shkallën e mësymjes iraniane në sistem.

Sa i përket kësaj çështjeje, Read ka bërë një parantezë, ku shpjegon se është e vështirë të thuhet se sa e gjerë ka qenë shkalla e sulmit në tërësi.

Por, në bazë të asaj çfarë shkruhet në raport, sugjestionohet qartë se sulmuesit, kanë pasur akses në pjesën më të madhe të rrjetit dhe ndaj këtij të fundit, janë ndërmarrë rishtazi sulme për fshirje të dhënash.

Kështu, sipas analizës së ekspertëve më të mirë nga Mandiant, nuk ka dyshime se fshirje të dhënash në shkallë të gjerë ka pasur.

Shkarkimi dhe publikimi i teksteve nga Albanian Post nuk lejohet pa përmendur burimin. Faleminderit për respektimin e etikës së profesionit të gazetarit.