Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet ndaj sistemeve qeveritare. Menjëherë pasi hakerat u konstatuan në sistem, ekipi i Microsoft u angazhua për rikthimin e serverave dh zmbrapsjen e sulmit.

Microsoft vlerëson me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike.

Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin ekfiltruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.

Më poshtë, Newsbomb.al sjell disa pjesë thelbësore nga hetimi i Microsoft për sulmin kibernetik në Shqipëri. Ndërkohë, në fund të artikullit është i përkthyer i gjithë hetimi, i shoqëruar me shpjegimet autentike të kompanisë amerikane, për serverat, kodet hakeruese dhe gjuhen e përdorur prej tyre.

Ka pasur disa faza të identifikuara në këtë fushatë:

Ndërhyrja fillestare
Eksfiltrimi i të dhënave
Kriptimi dhe shkatërrimi i të dhënave
Operacionet e informacionit
Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:

DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
DEV-0861 fitoi akses fillestar dhe nxori të dhëna
DEV-0166 të dhënat e filtruara
DEV-0133 infrastruktura e hetuar e viktimave
Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit.

Ndërhyrja dhe eksfiltrimi

Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një viktime të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.

Ransomware dhe fshirëse

Sulmi kibernetik ndaj qeverisë shqiptare përdori një taktikë të përbashkët të aktorëve të sponsorizuar nga shteti iranian duke vendosur fillimisht ransomware, e ndjekur nga vendosja e malware-it të fshirësit. Fshirësi dhe ransomware kishin të dy lidhje frozenike me shtetin iranian dhe grupet e lidhura me Iranin. Fshirësi që DEV-0842 vendosi në këtë sulm përdori të njëjtin çelës licence dhe drejtues EldoS RawDisk si ZeroCleare, një fshirëse që aktorët shtetërorë iranianë përdorën në një sulm ndaj një kompanie energjie në Lindjen e Mesme në mesin e 2019.

Në atë rast, IBM X-Force vlerësoi se aktorët e lidhur me EUROPIUM fituan akses fillestar gati një vit përpara sulmit me fshirëse. Sulmi me fshirëse u krye më pas nga një aktor i veçantë dhe i panjohur iranian. Kjo është e ngjashme me zinxhirin e ngjarjeve që Microsoft zbuloi kundër qeverisë shqiptare.

Indikacione shtesë për sponsorizimin shtetëror iranian

Mesazhet, koha dhe përzgjedhja e objektivave të sulmeve kibernetike forcuan besimin tonë se sulmuesit po vepronin në emër të qeverisë iraniane. Mesazhet dhe përzgjedhja e objektivit tregojnë se Teherani ka të ngjarë të përdorë sulmet si hakmarrje për sulmet kibernetike që Irani percepton se janë kryer nga Izraeli dhe Mujahedin-e Khalq (MEK) , një grup disident iranian me bazë kryesisht në Shqipëri që kërkon të përmbysë Republikën Islamike të Iranit.

Mesazhimi

Logoja e sulmuesit është një shqiponjë që pre në simbolin e grupit haker “Predatory Sparrow” brenda Yllit të Davidit (Figura 4). Kjo sinjalizon se sulmi ndaj Shqipërisë ishte hakmarrje për operacionet e Predatory Sparrow kundër Iranit , të cilat Teherani e percepton se përfshin Izraelin. Predatory Sparrow ka marrë përgjegjësinë për disa sulme kibernetike të profilit të lartë dhe shumë të sofistikuar kundër subjekteve të lidhura me Iraninqë nga korriku 2021.

Kjo përfshinte një sulm kibernetik që ndërpreu programet televizive të Transmetimit të Republikës Islamike të Iranit (IRIB) me imazhe që përshëndesin udhëheqësit e MEK në fund të janarit. Predatory Sparrow paralajmëroi për sulmin disa orë përpara kohe dhe pretendoi se ata e mbështetën dhe paguanin për të, duke treguar se të tjerët ishin të përfshirë. Zyrtarët iranianë fajësuan MEK për këtë sulm kibernetik dhe gjithashtu fajësuan MEK dhe Izraelin për një sulm kibernetik që përdori të njëjtat imazhe dhe mesazhe kundër bashkisë së Teheranit në qershor .

Mesazhi në imazhin e shpërblesës tregon se MEK, një kundërshtar i gjatë i regjimit iranian, ishte objektivi kryesor pas sulmit të tyre ndaj qeverisë shqiptare. Imazhi i shpërblesës, si disa postime të Drejtësisë së Atdheut, grupi që shtynte haptazi mesazhe dhe nxirrte të dhëna të lidhura me sulmin, pyeti “pse duhet të shpenzohen taksat tona për terroristët e Durrësit”. Kjo është një referencë për MEK-un, të cilin Teherani i konsideron terroristë , të cilët kanë një kamp të madh refugjatësh në qarkun e Durrësit në Shqipëri.

Operacionet paralele të informacionit dhe amplifikimi

Përpara dhe pas nisjes së fushatës së mesazheve “Atland Justice”, llogaritë e personave të mediave sociale dhe një grup shtetasish iranianë dhe shqiptarë të jetës reale të njohur për pikëpamjet e tyre pro Iranit, anti-MEK, promovuan pikat e përgjithshme të bisedës së fushatës dhe përforcuan rrjedhjet e publikuara nga llogaritë e Drejtësisë së Atdheut në internet. Promovimi paralel i fushatës “Drejtësia e Atdheut” dhe temave të saj qendrore nga këto subjekte në hapësirën online – para dhe pas sulmit kibernetik – sugjeron një operacion informacioni me bazë të gjerë që synon të përforcojë ndikimin e sulmit.

Përpara sulmit kibernetik, më 6 qershor, Ebrahim Khodabandeh, një ish-anëtar i pakënaqur i MEK-ut postoi një letër të hapur drejtuar kryeministrit shqiptar Edi Rama duke paralajmëruar pasojat e përshkallëzimit të tensioneve me Iranin. Duke thirrur “pushimin e sistemeve komunale të Teheranit” dhe ” stacionet e benzinës “, Khodabandeh pretendoi se MEK ishte burimi i “akteve sabotuese kundër interesave të popullit iranian [sic]” dhe argumentoi se këto përbënin “punën armiqësore të qeverinë tuaj” dhe ka shkaktuar “armiqësi të dukshme me kombin iranian [sic]”.

Katër ditë më vonë, më 10 qershor, Khodabandeh dhe Shoqëria Nejat, një OJQ anti-MEK që ai drejton, pritën një grup shtetasish shqiptarë në Iran. Grupi përfshinte anëtarë të një organizate tjetër anti-MEK të quajtur Shoqata për Mbështetjen e Iranianëve që jetojnë në Shqipëri (ASILA) – Gjergji Thanasi, Dashamir Mersuli dhe Vladimir Veis. Duke pasur parasysh natyrën shumë politike të punës së ASILA-s për çështje që lidhen me një grup që Teherani e konsideron organizatë terroriste (MEK), ka shumë mundësi që kjo vizitë të jetë kryer me sanksion nga shteti. Pas kthimit të tyre nga Irani, më 12 korrik, Shoqëria Nejat tha se policia shqiptare bastisi zyrat e tyre dhe arrestoi disa anëtarë të ASILA-s. Ndërsa Shoqëria Nejat tha se ky bastisje ishte rezultat i “akuzave të rreme dhe të pabaza”, sipas mediave lokale.bastisja erdhi nga lidhjet e mundshme me shërbimet e inteligjencës iraniane.

Ekzistojnë disa prova shtesë që roli i këtyre personave shtrihej përtej amplifikimit të thjeshtë të mediave sociale dhe në prodhimin e përmbajtjes. Një nga personat që postonte në mënyrë të përsëritur përmbajtjen e Drejtësisë së Atdheut kishte shkruar më parë për American Herald Tribune të lidhur me IRGC- në tashmë të zhdukur dhe faqe të tjera lajmesh, shpesh në terma negativë për MEK-un. Ndërkohë, një llogari e dytë e personazhit mund të ketë tentuar të kontaktojë të paktën një gazetë shqiptare përpara hakimit, duke kërkuar “bashkëpunim” dhe aftësinë për të botuar me median.

Promovimi paralel i fushatës “Drejtësia në Atdhe” dhe temave të saj qendrore nga këta individë dhe persona në internet, si para ashtu edhe pas sulmit kibernetik, i shton një dimension njerëzor imponues përpjekjes më të gjerë të ndikimit të Drejtësisë së Atdheut. Ndërkohë që nuk ka pasur marrëdhënie të drejtpërdrejta të vëzhguara midis aktorëve të kërcënimit përgjegjës për sulmin shkatërrues dhe këtyre aktorëve të mesazheve, veprimet e tyre ngrenë pyetje të denja për shqyrtim të mëtejshëm.