Cyberatak na członka NATO. Eksperci podejrzewają Iran

Ostatnie miesiące to trudny czas dla służb państw NATO. Liczba zagrożeń dla zachodniej cyberprzestrzeni jest największa od lat, a większość z nich pochodzi zza wschodniej granicy sojuszu. Eksperci odkryli właśnie, że za niedawny cyberatak na członka NATO prawdopodobnie odpowiada Iran.

W połowie lipca 2022 r. doszło do udanego cyberataku na Albanię. Hakerzy wyłączyli strony rządowe i część usług publicznych na niemal cały dzień, co sparaliżowało działanie albańskich instytucji. Awarię udało się usunąć, ale sprawą zajął się Mandiant, amerykańska firma zajmująca się cyberbezpieczeństwem. Z opublikowanego przez nią raportu wynika, że skala ataku była dużo większa, niż początkowo sądzono.

Okazuje się, że poza atakami DDOS na infrastrukturę rządową hakerzy wykorzystali nowy ransomware z rodziny ROADSWEEP. Program szyfruje dane i domaga się wpłaty okupu, by odzyskać dostęp do utraconych informacji. Ponadto hakerzy użyli wipera Zeroclear, czyli oprogramowanie służące do bezzwrotnego kasowania danych.

Faktyczna skala strat nie jest znana. Albański rząd poinformował jedynie, że ze względu na cyberatak musiał tymczasowo wyłączyć niektóre usługi publiczne. 19 lipca 2022 r. albańskie służby udostępniły kod ROADSWEEP oraz Zeroclar, dzięki czemu eksperci z Mandiant mogli przeanalizować oprogramowanie użyte do ataku.

Eksperci z Mandiant wskazują, że za wcześniejsze ataki przy użyciu oprogramowania z rodziny ROADSWEEP prawdopodobnie odpowiadali irańscy hakerzy. Jednak znacznie ważniejsza jest wskazówka zawarta w tekście wyświetlanym przez ransomware po zainfekowaniu komputera. Program informował o zaszyfrowaniu plików i pytał użytkownika, czy "na pewno chce finansować z podatków terrorystów z Durrës".

W dniach 23 i 24 lipca w albańskim mieście Manëz w obwodzie Durrës miała odbyć się konferencja "World Summit of Free Iran" zorganizowana przez irańską, prodemokratyczną opozycję z Organizacji Bojowników Ludowych Iranu.

W XX wieku OBL organizowało zamachy na Bliskim Wschodzie, ale po 2003 roku organizacja wyrzekła się terroryzmu i przeszła całkowitą metamorfozę. Obecnie OBL promuje postępowy nurt islamu i ma siedziby w kilku europejskich miastach, w tym właśnie w Manëz.

Na dzień przed konferencją albańskie służby zdecydowały się przełożyć ją na nieokreślony termin ze względu na bliżej niesprecyzowane "zagrożenie terrorystyczne".

Eksperci z Mandiant dotarli do kanału HomeLand Justice na Telegramie, który ich zdaniem prowadzą irańscy hakerzy rządowi. 26 lipca 2022 r. profil przyznał się do ataków na albański rząd i opublikował dokumenty rządowe zawierające dane osobowe członków OBL.

Zważywszy na powyższe poszlaki, eksperci z Mandiant są niemal pewni, że za cyberatakiem stoi Iran. Służby tego państwa prowadzą cyberwojnę z Zachodem od kilkunastu lat, o czym świadczą zeszłoroczne ataki na izraelską infrastrukturę krytyczną. Pozostaje mieć nadzieję, że służbom państw NATO uda się na czas zneutralizować przyszłe działania irańskich hakerów.

Tomasz Bobusia, dziennikarz dobreprogramy.pl