Sulmi kibernetik i Iranit/ Microsoft publikon raportin

Raporti i një investigimi teknik nga kompania Microsoft që punoi për të ndaluar sulmin kibernetik ndaj sistemit qeveritar të Shqipërisë, thotë se sulmi filloi në maj 2021 dhe se databazat e qeverisë u sulmuan nga katër grupe të lidhura me qeverinë iraniane.

Pas sulmeve shkatërruese kibernetike kundër qeverisë shqiptare në 15 korrik, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet. Në artikullin në fjalë thuhet se; “Microsoft është i përkushtuar të ndihmojë klientët tanë të jenë të sigurt duke arritur më shumë. Gjatë këtij aktiviteti, ne mobilizuam shpejt Ekipin tonë të Zbulimit dhe Reagimit (DART) për të ndihmuar qeverinë shqiptare që të rimëkëmbet me shpejtësi nga ky sulm kibernetik. Microsoft do të vazhdojë të bashkëpunojë me Shqipërinë për të menaxhuar rreziqet e sigurisë kibernetike, ndërkohë që do të vazhdojë të përmirësojë mbrojtjen nga sulmuesit me qëllim të keq.”, thuhet në njoftim.

Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin infiltruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.

Raporti përshkruan me detaje infiltrimin në një server të pambrojtur të faqes administrata.al në maj 2021 dhe më pas përshkallëzimin e sulmit deri në korrik 2022, kur sulmuesit tentuan të fshijnë të dhënat në server.
Sipas Microsoft, të dhënat tregojnë se njëri prej grupeve, i cili u përfshi në hyrjen fillestare dhe vjedhjen e të dhënave, është i lidhur me EUROPIUM – një grup i lidhur publikisht me Ministrinë e Inteligjencës së Iranit.
Por kompania thotë se kishte edhe të dhëna të tjera që e lidhnin sulmin me Teheranin, përfshi faktin se kodet ishin përdorur edhe më herët në sulme të ngjashme si dhe mesazhet e sulmuesve që targetonin opozitën iraniane të strehuar në Shqipëri.

“Kodi fshirës (wiper code) është përdorur më herët nga një grup i njohur iranian”, thuhet në raport.

Sulmi kibernetik ndaj Shqipërisë kulmoi më 15 korrik, pak javë pasi vendi kishte shtuar një mori shërbimesh online me premtimin për të kufizuar burokracitë. Shërbime kyçe, nga recetat që mjekët lëshojnë për ilaçe të rimbursueshme, regjistrimi i nxënësve nëpër shkolla apo regjistrimet e biznesit dhe bilanceve u mbyllën.
Në raportin e investigimit, Microsoft thotë se arriti ta lidhë Iranin me sulmin kibernetik ndaj shërbimeve qeveritare në Shqipëri duke ndjekur gjurmën elektronike që sulmuesit kishin lënë. Aty veçohet se sulmuesit janë të ngjashëm me ata që kanë sulmuar më herët vende të tjera, po ashtu në marrëdhënie jo të mira me Iranin apo që ishin “konsistente me interesat e Iranit”.

“Telemetria e Microsoft tregon se kjo certifikatë është përdorur vetëm në 15 dokumente të tjerë, një gjurmë shumë e vogël, që sugjeron se certifikata nuk ishte ndarë me grupe pa lidhje me njëri- tjetrin,” thuhet në raport, ku shtohet se ajo ishte përdorur në një sulm kundër Arabisë Saudite në qershor 2021. Mes të tjerash Microsoft thotë se ai u krye nga katër grupe të ndryshme, të cilët kryen disa veprime. Thyerja e parë ndodhi sipas raportit në maj të vitit 2021.

Sipas të dhënave, serveri i prekur ishte i pambrojtur dhe i përkiste një faqeje periferike administrata.al. Pas kësaj ndërhyrje, grupet që mbeten anonime dhe identifikohen nga Microsoft me kode, e zgjeruan ndërhyrjen.
Një grup i koduar si “DEV-0842” vendosi në rrjet një kod kriptimi me qëllim marrjen e shërbimit dhe njëkohësisht një kod për fshirjen (wiper malëare). Grupi i koduar si “DEV-0861” fitoi aksesin fillestar dhe vodhi të dhëna. Grupi “DEV-0166” ndërhyri vetëm për të vjedhur të dhëna. Ndërsa “DEV-0133” u përpoq të testonte infrastrukturën.

Sipas Microsoft, një numër i paqartë emailesh u vodhën nga vjeshta e vitit të kaluar deri në janar të këtij viti. Faqja ku ato u publikuan, Homeland Justice pretendon se ka marrë e-mailin zyrtar të kryeministrit Rama, atë të Ministrit të Brendshëm, Ministrit të Mbrojtjes, disa ambasadave dhe një sërë aktorëve të tjerë, përfshi drejtues të AKSHI. Sipas ekipit që kreu investigimin, përpjekja finale e aksionit kishte për qëllim të kriptonte të dhënat dhe njëkohësisht t’i fshinte ato, por “sulmi dështoi”.

“Tentativa e financuar nga Irani për të shkatërruar pati më pak se 10% ndikim në mjedisin e klientit,” thuhet në raportin e Microsoft. Microsoft thotë se analizoi logon dhe simbolet e përdorura, që po ashtu shtynin drejt këtij përfundimi. Në raport thuhet gjithashtu se Microsoft ka identifikuar disa personazhe reale, shqiptarë dhe iranianë, që kishin amplifikuar mesazhet e të ashtuquajturës “Homeland Justice”. Sipas Microsoft, personat në fjalë dhe profile false u përdorën për të kontaktuar media në Shqipëri në përpjekje për të shpërndarë materialet e supozuara të hakuara.

Në raport thuhet se dy prej personave që i bënë jehonë qëndrimeve të Homeland Justice ishin Olsi Jazexhi dhe Gjergj Thanasi, të cilët etiketohen si “shqiptarë që shfaqen shpesh në mediat e financuara nga shteti i Iranit”.
Ndër të tjera raportoi thotë se Microsoft kishte gjetur të paktën dy profile false në rrjetet sociale të krijuara në maj 2021, kur sulmi sapo kishte filluar dhe se të dy profilet u angazhuan ndër të parët në shpërndarjen e materialeve të Homeland Justice. Sipas raportit, këto profile dhe një i tretë më i vjetër kishin ndërveprime në rrjetet sociale me “personat e përmendur më sipër”.