FBI dhe CISA: Hakerët iranianë qëndruan në rrjetin qeveritar shqiptar për 14 muaj

Byroja Federale e Hetimit (FBI) dhe Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) po publikojnë këtë Këshillim të përbashkët për Sigurinë Kibernetike për të dhënë informacion mbi operacionet e fundit kibernetike kundër Qeverisë së Shqipërisë në korrik dhe shtator. Ky këshillim ofron një afat kohor të aktivitetit të vëzhguar, nga qasja fillestare deri te ekzekutimi i kriptimit dhe sulmeve me fshirëse. Informacion shtesë në lidhje me dosjet e përdorura nga aktorët gjatë shfrytëzimit dhe sulmit kibernetik kundër organizatës së viktimës jepet në Shtojcat A dhe B.

Në korrik 2022, aktorët kibernetikë shtetërorë iranianë – të identifikuar si “Drejtësia e Atdheut” – nisën një sulm kibernetik shkatërrues kundër Qeverisë së Shqipërisë, i cili i bëri faqet e internetit dhe shërbimet të padisponueshme. Një hetim i FBI-së tregon se aktorët kibernetikë shtetërorë iranianë morën akses fillestar në rrjetin e viktimës afërsisht 14 muaj përpara se të fillonin sulmin shkatërrues kibernetik, i cili përfshinte një kodues skedarësh të stilit ransomware dhe një malware që fshinte disqet. Aktorët mbajtën akses të vazhdueshëm në rrjet për afërsisht një vit, duke aksesuar dhe shfrytëzuar periodikisht përmbajtjen e postës elektronike.

Midis majit dhe qershorit 2022, aktorët kibernetikë shtetërorë iranianë kryen lëvizje anësore, zbulimin e rrjetit dhe marrjen e kredencialeve nga rrjetet e qeverisë shqiptare. Në korrik 2022, aktorët lansuan ransomware në rrjete, duke lënë një mesazh anti-muxhahid E-Khalq (MEK) në desktop. Kur mbrojtësit e rrjetit identifikuan dhe filluan t’i përgjigjen aktivitetit të ransomware, aktorët kibernetikë vendosën një version të malware shkatërrues ZeroCleare.

Në qershor 2022, HomeLand Justice krijoi një faqe interneti dhe profile të shumta të mediave sociale që postonin mesazhe anti-MEK. Më 18 korrik 2022, Homeland Justice pretendoi meritën për sulmin kibernetik ndaj infrastrukturës së qeverisë shqiptare. Më 23 korrik 2022, Drejtësia e Atdheut postoi video të sulmit kibernetik në faqen e tyre të internetit. Nga fundi i korrikut deri në mesin e gushtit 2022, llogaritë e mediave sociale të lidhura me HomeLand Justice demonstruan një model të përsëritur të reklamimit të informacionit të Qeverisë Shqiptare për publikim, duke postuar një sondazh ku u kërkon të anketuarve të zgjidhnin informacionin e qeverisë që do të publikohej nga HomeLand Justice, dhe më pas duke e lëshuar atë informacion. —ose në një skedar .zip ose në një video të një regjistrimi në ekran me dokumentet e shfaqura.

Në shtator 2022, aktorët kibernetikë iranianë nisën një valë tjetër sulmesh kibernetike kundër Qeverisë së Shqipërisë, duke përdorur TTP dhe malware të ngjashëm si sulmet kibernetike në korrik. Këto ka të ngjarë të jenë bërë si hakmarrje për atribuimin publik të sulmeve kibernetike në korrik dhe ndërprerjen e marrëdhënieve diplomatike midis Shqipërisë dhe Iranit.

Detaje teknike:
Qasja fillestare

Afati kohor: Përafërsisht 14 muaj para sulmeve të kriptimit dhe fshirësit.

Detajet: Qasja fillestare u mor nëpërmjet shfrytëzimit të një Microsoft SharePoint që përballet me internetin, duke shfrytëzuar CVE-2019-0604.

Qëndrueshmëria dhe lëvizja anësore

Afati kohor: Përafërsisht disa ditë deri në dy muaj pas kompromisit fillestar.

Detaje: Pas marrjes së aksesit në mjedisin e viktimës, aktorët përdorën disa .aspx webshells, pickers.aspx, error4.aspx, dhe ClientBin.aspx, për të ruajtur qëndrueshmërinë. Gjatë kësaj periudhe kohore, aktorët përdorën gjithashtu RDP (kryesisht), SMB dhe FTP për lëvizje anësore në të gjithë mjedisin e viktimës.

Kompromis me Exchange Server

Afati kohor: Përafërsisht 1-6 muaj pas kompromisit fillestar.

Detaje: Aktorët përdorën një llogari të komprometuar të Microsoft Exchange për të kryer kërkime (nëpërmjet CmdLets New-MailboxSearch dhe Get-Recipient) në kuti postare të ndryshme, duke përfshirë për llogaritë e administratorit. Në këtë afat kohor, aktorët përdorën llogarinë e komprometuar për të krijuar një llogari të re Exchange dhe për ta shtuar atë në grupin e roleve të Menaxhimit të Organizatës.

Eksfiltrimi i mundshëm i emailit

Afati kohor: Përafërsisht 8 muaj pas kompromisit fillestar.

Detaje: Aktorët bënë mijëra kërkesa HTTP POST në serverët Exchange të organizatës viktimë. FBI vëzhgoi klientin duke transferuar afërsisht 70-160 MB të dhëna dhe serveri që transferonte afërsisht 3-20 GB të dhëna.

Aktiviteti VPN

Afati kohor: Përafërsisht 12-14 muaj pas kompromisit fillestar.

Detaje: Përafërsisht dymbëdhjetë muaj pas hyrjes fillestare dhe dy muaj përpara nisjes së sulmit shkatërrues kibernetik, aktorët bënë lidhje me adresat IP që i përkisnin pajisjes Virtual Private Network (VPN) të organizatës së viktimës. Veprimtaria e aktorëve përfshinte kryesisht dy llogari të komprometuara. Aktorët ekzekutuan “Advanced Port Scanner” (advanced_port_scanner.exe). FBI gjeti gjithashtu prova të përdorimit të Mimikatz dhe hedhjes së LSASS.

File Cryptor (kriptori i skedarëve në stilin e ransomware)

Afati kohor: Përafërsisht 14 muaj pas kompromisit fillestar.

Detajet: Për komponentin e kriptimit të sulmit kibernetik, aktori u identifikua në një server printimi të organizatës së viktimës nëpërmjet RDP dhe nisi një proces (Mellona.exe) i cili do të përhapte enkriptuesin GoXml.exe në një listë makinerish të brendshme, së bashku me një skenar këmbënguljeje i quajtur win.bat. Siç ishte vendosur, GoXML.exe kodoi të gjithë skedarët (përveç atyre që kishin shtesa .exe, .dll, .sys, .lnk ose .lck) në sistemin e synuar, duke lënë pas një shënim shpërblesëje të titulluar How_To_Unlock_MyFiles.txt në çdo dosje të prekur.

Sulmi me fshirëse

Afati kohor: Përafërsisht 14 muaj pas kompromisit fillestar.

Detaje: Në të njëjtën periudhë kohore me sulmin e kriptimit, aktorët filluan veprimet që rezultuan në fshirjen e disqeve të papërpunuara të diskut me mjetin Disk Wiper (cl.exe) të përshkruar në Shtojcën A. Përafërsisht gjatë tetë orëve të ardhshme, u regjistruan lidhje të shumta RDP nga një server i identifikuar i viktimës te hostet e tjerë në rrjetin e viktimës. Ekzekutimi i linjës së komandës së cl.exe u vu re në skedarët bitmap të memorizuar nga këto sesione RDP në serverin e viktimës. / Gazeta Express / KultPlus.com

Hakerat misteriozë në rolin e ‘Robin Hood’, dhurojnë në internet paratë e vjedhura

Një grup hakerësh, po cilësohen si Robin Hood të teknologjisë, pasi po dhurojnë paratë e vjedhura për bamirësi. Hakerët e “Darkside” pretendojnë se kanë zhvatur miliona dollarë nga kompanitë, por tani duan të “bëjnë botën një vend më të mirë”.

Në një postim në “rrjetin e zi”, ata postuan fatura 10.000 dollarëshe në donacione Bitcoin për dy organizata bamirësie. Njëra prej tyre, Children International, deklaroi se nuk do t’i mbajë paratë.

Kjo lëvizje po shihet si një zhvillim i çuditshëm, si moralisht ashtu dhe ligjërisht.

Në postimin e datës 13 tetor, në blog, hakerët pretendojnë se ata sulmojnë vetëm kompanitë e mëdha fitimprurëse, që do të thotë se sulmet mbajnë peng sistemet e Teknologjisë Informative (TI) të organizatave, derisa të paguhet një shpërblim.

“Ne mendojmë se është e drejtë që disa nga paratë që kompanitë kanë paguar do të shkojnë për bamirësi. Pavarësisht sa keq mendoni për punën tonë, ne jemi të kënaqur të dimë që ndihmuam për të ndryshuar jetën e dikujt. Sot ne dërguam donacionet e para”, thuhet në postimin e hakërreve.

Kriminelët kibernetikë postuan donacionin së bashku me faturat e taksave që morën në këmbim të 0.88 Bitcoin, që u kishin dërguar dy organizatave bamirëse, The Water Project dhe Children International.

Por ndërsa, Save the Children nuk pranoi ndihmë, Water Project, e cila punon për të përmirësuar aksesin në ujë të pastër në Afrikë, nuk u është përgjigjur kërkesave për komente.

Grupi i hakerëve Darkside është relativisht i ri në skenë, por në mënyrë aktive po zhvasin fonde nga “viktimat e tyre kibernetike” dhe ka prova se mund të kenë lidhje edhe me grupe të tjera, përgjegjëse për sulmet e profilit të lartë ndaj disa kompanive./ KultPlus.com

Hakerët vënë në shitje mbi 73 milionë të dhëna të përdoruesve

Një grup hakerësh, të quajtur “ShinyHunters”, pretendojnë se kanë hakuar dhjetë kompani dhe se tashmë janë duke shitur bazën e të dhënave të përdoruesve të tyre në një treg të zi në internet për produktet ilegale.

Këta hakerë janë grupi i njëjtë që kanë hakuar javën e kaluar “Tokopedian”, dyqanin online më të madh në Indonezi, transmeton Koha. Hakerët fillimisht kanë publikuar falas 15 milionë të dhëna të përdoruesve, por më vonë kanë vendosur në shitje tërë bazën e të dhënave të 91 milionë përdoruesve të kësaj kompanie për 50,000 dollarë.

I inkurajuar nga fitimi i marrë nga “Tokopedia”, i njëjti grup gjatë kësaj jave ka radhitur bazat e të dhënave të dhjetë kompanive tjera, shkruan zdnet.

Këtu përfshihen bazat e të dhënave të përdoruesve që pretendohet se janë vjedhur nga organizatat e tilla si:

  • Aplikacioni për takime online – Zoosk (30 milionë të dhëna të përdoruesve)
  • Shërbimi për printim – Chatbooks (15 milionë të dhëna të përdoruesve)
  • Platforma jug-koreane për modë – SocialShare (6 milionë të dhëna të përdoruesve)
  • Shërbimi për shpërndarje të ushqimit – Home Chef (8 milionë të dhëna të përdoruesve)
  • Tregu online – Minted (5 milionë të dhëna të përdoruesve)
  • Gazeta online – Chronicle of Higher Education (3 milionë të dhëna të përdoruesve)
  • Revista jug-koreane për mobilieri – GguMim (2 milionë të dhëna të përdoruesve)
  • Revista për shëndet – Mindful (2 milionë të dhëna të përdoruesve)
  • Dyqani online indonezian – Bhinneka (1.2 milion të dhëna të përdoruesve)
  • Gazeta amerikane – StarTribune (1 milion të dhëna të përdoruesve)

Bazat e të dhënave të listuara arrijnë në total prej 73.2 milionë të dhëna të përdoruesve, të cilat hakerët po i shesin për rreth 18,000 dollarë për secilën bazë të të dhënave.Foto: ZDNet

Gjithashtu, ky grup hakerësh ka publikuar disa mostra nga disa bazat e të dhënave të vjedhura, të cilat ZDNet i ka verifikuar se përfshijnë të dhëna legjitime të përdoruesve – për mostrat ku janë dhënë detajet e përdoruesve.

Por autenticiteti i disa bazave të të dhënave nuk mund të verifikohet për momentin, sidoqoftë, burimet nga komuniteti i ekspertëve për kërcënime të tilla si Cyble, Nightlion Security, Under the Breach dhe ZeroFOX besojnë se “ShinyHunters” është një aktor kërcënues legjitim.

Disa besojnë se grupi “ShinyHunters” ka lidhje me “Gnosticplayers”, një grup hakerësh që ishte aktiv vitin e kaluar dhe i cili ka shitur më shumë se një miliard kredenciale në tregun e zi në internet, pasi operojnë në mënyrë gati të njëjtë. /KultPlus.com