Sulmet kibernetike/ “File GoXml u përdor për enkriptimin e të dhënave”, dosja: E njëjta teknikë dhe në sulmin ndaj Arabisë Saudite në qershor 2021

Hakerim

Sulmi kibernetik ishte një akt kriminal me qëllimin final shkatërrimin e të gjithë sistemeve dhe të dhënave duke kthyer Shqipërinë dekada pas në një terr teknologjik me zero digjitalizim.

Kështu thuhet në dosjen e hetimit për sulmet kibernetike në vend, teksa Gjykata ka vendosur sot detyrim paraqitje për 5 punonjës IT të Departamentit të Administratës Publike.

Në vendimin e zbardhur nga “BalkanWeb” flitet për metodologjinë e përdorur nga hakerat iranianë për sulmet kibernetike.

Partnerët ndërkombëtarë të Microsoft, FBI dhe CISA kanë ofruar suport dhe kanë bashkëpunuar ngushtësisht me ekipet shqiptare me praninë e tyre fizike në agjenci pas sulmit kibernetik në datën 15-16 korrik 2022.

Paralelisht të gjithë gjetjet dhe indikatorët e sulmit iu dorëzuan menjëherë institucioneve lokale: AKCESKT, Ministrisë së Mbrojtjes, Ministrisë së Brendshme, Policisë së Shtetit (Njësia C), SHISH. Në bazë të raporteve të tyre mbi hetimin e agresionit konstatohet se sulmi kibernetik është një sulm shtetëror i sponsorizuar nga qeveria iraniane, kryesisht Ministria e Inteligjencës dhe Garda Revolucionare Islamike Iraniane.

Në vijim, raporti i atribuimit i Microsoft MSTIC dhe Microsoft DART përputhet edhe me raportin e kryer paralelisht nga Agjencive Partnere e Investigimit. Raportet janë përcjellë në formë shkresore: Ministrit të Drejtësisë, Ministrit për Evropën dhe Punët e Jashtme, Ministrit të Brendshëm dhe Prokurorisë.

Megjithëse është përdorur teknologji Proxy për mbulimin e prejardhjes së komunikimit, në të gjitha momentet që ky komunikim është shkëputur përkohësisht kanë dalë qartë që mbrapa fshiheshin IP iranianë. Për marrjen e të dhënave nga infrastruktura Exchange është përdorur një cyber tool (EWSDoWnloader/IGOR-UI.exe) i krijuar nga Ministria e Inteligjencës Iraniane për të hackuar dhe eksfilruar e-maile. Irani është i vetmi vend në botë që fushën kibernetike e ka në nivel ministrie, pikërisht për të treguar rëndësinë që ka për aktiviteti kibernetik. I njëjti tools për eksfiltrimin e e-maileve zyrtare në Shqipëri është përdorur edhe në Emiratet e Bashkuara, Kuwait, Arabia Saudite, Jordani, Izrael, Qipro.

Metoda e përdorur Zerocleare gjithashtu është e lidhur me Ministrinë e Inteligjencës Iraniane (MOIS), ku burimi (sourse) i licencave është ndarë mes aktorëve të ndryshëm iranianë. File GoXml, i cili është përdorur për enkriptimin e të dhënave, i analizuar nga raporti në fjalë, por edhe CISA (Cyber Security and Infrastructure Security Agency) i nënshkruar me një certifikatë të lëshuar nga një Cert Iranian (Kuwait Telecommunication Company KSC). E njëjta teknike është përdorur edhe në sulmin që po këta aktorë kanë kryer edhe ndaj Arabisë Saudite në qershor 2021. Të dy ekipet e investigimit, kanë bashkëpunuar ngushtësisht me ekipet teknike të AKSHI-t.

Bazuar në investigim është arritur në konkluzionin se data 21 maj 2021 është data e parë e infiltrimit të aktorëve keqbërës.

Sulmet kibernetike/ “File GoXml u përdor për enkriptimin e të dhënave”, dosja: E njëjta teknikë dhe në sulmin ndaj Arabisë Saudite në qershor 2021

Ju mund të regjistroheni në buletinin tonë të lajmeve plotësisht falas

Mos e humbisni mundësinë për t'u informuar për lajmet më të fundit dhe eksluzive, filloni tani abonimin tuaj falas me e-mail.

Welcome

Instalo aplikacionin tonë
×
Na ndiqni

Na ndiq në Facebook