Бесплатно Экспресс-аудит сайта:

12.09.2022

За кибератакой на правительство Албании стоят четыре иранские группировки

15 июля 2022 года четыре группировки иранских правительственных хакеров провели разрушительную атаку на государственные онлайн-сервисы и правительственные веб-сайты Албании, выведя их из строя.

По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группировки:

  • DEV-0861 – предоставила первичный доступ к системам и данным. Эксперты предполагают, что эта группировка может быть связана с EUROPIUM – бандой хакеров, работающей на Министерство информации и национальной безопасности Ирана (MOIS). В отчете Microsoft говорится, что злоумышленники могли получить первоначальный доступ к албанским государственным системам, используя CVE-2019-0604 – уязвимость в SharePoint, исправленную в марте 2019 года. Киберпреступники выполнили вредоносный код, внедряющий веб-оболочки, которые затем используются для загрузки файлов, проведения разведки, выполнения произвольных команд и отключения антивирусных программ. По данным экспертов, хакеры получили первоначальный доступ к системам жертвы в мае 2021 года, а в период с октября 2021 года по январь 2022 года крали электронные письма чиновников из взломанной сети.

  • DEV-0166 – похитила нужные данные;

  • DEV-0133 – исследовала IT-инфраструктуру жертвы;

  • DEV-0842 – развернула вымогательское ПО и вайпер . На этом этапе все прошло так же, как и в ходе других кибератак, приписываемых иранским группировкам: сначала было развернуто вымогательское ПО, а потом вайпер, использующий лицензионный ключ и драйвер EldoS RawDisk, который был ранее замечен в другой кибератаке 2019 года. Вайпер, использованный DEV-0842 был подписан недействительным цифровым сертификатом от Kuwait Telecommunications Company KSC.

Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства, как бы оно не открещивалось от произошедшего. Microsoft отметила, что такая атака может быть местью за кибератаку, организованную Израилем и Организацией моджахедов иранского народа – группировкой, стремящейся свергнуть иранское правительство.