Kompania ndërkombëtare ruse e antiviruseve dhe kibernetikës, Kaspersky ka publikuar një analizë të detajuar të sulmit kibernetik që preku serverat e shtetit shqiptar gjatë muajve korrik dhe shtator të këtij viti.
Në raportin e publikuar nga Kaspersky, theksohet se sulmuesit kibernetike kanë përdorur certifikatat e sigurisë të vjedhura nga Nvidia dhe Kuwait Telecommunications, të cilat i përdorën në sistemet e tyre hakeruese për të mos u diktuar nga sisitemi i kompjuterave që kishin piketuar për t’u futur. Sipas raportit, hakerat përdornin si portë hyrëse aplikacionin e ‘Any Desk’ për të patur akseskueshmëri në serverët që kishin piketuar. Në raport theksohet se sulmuesit dhe ofruesi i aksesit i përkisnin grupeve të ndryshme të sulmit dhe flisnin gjuhë të ndryshme. Zbulimi i bërë në serverët e institucioneve shqiptarë ishin mesazhet politike që siç bëjnë me dije ekspertët e KasperSky pasqyronin tensionet gjeopolitike midis Shqipërisë dhe Iranit.
Malware-et klasike të hakerave iranainë ZEROCLEARE dhe DUSTMAN që janë përdour nga viti 2019 duket se në këtë rast nuk mund t’i siguronin sulmuesëve kibernetikë një mënyrë më të lehtë që ata të futeshin në diskun e softuerit dhe për këtë arsye ata përdorën një program tjetër të quajtur TDl përmes së cilës hynin direkt në softuerin e serverit.
Në fund të raportit KasperSky këshillon që për të parandaluar këto sisteme duhen monitoruar aktivitete të softuerit në distancë si AnyDesk për përdorim të paautorizuar. Për të shmangur sulmet gjithmonë duhen gjurmuar dhe monitoruar për certifikatat skaduara ose të vjedhura pasi ato mund të përdoren nga hakerët për të patur lehtësi në akseskueshmërinë e serverëve.
Hakerat iranianë kanë nisur një varg sulmesh prej muajsh. Së fundmi ata publikuan certifikatat e sigurisë të punonjësve të Ministrisë, ndërsa më herët sfiduan kryeministrin Edi Rama me publikimin e listës së zgjedhësve. Të dhëna të tjera që janë publikuar prej tyre janë patentat, targat, pagat si dhe listën e punonjësve të SHISH. Ata kanë publikuar dhe të dhënat personale të kryepolicit Muhamet Rrumbullaku, kreut të SHISH, Helidon Bendo, nënkryetarit Oljan Kanushi, ish-drejtorit të Policisë së Shtetit, Gledis Nano si dhe e-mailet e këtij të fundit.
RAPORTI I PLOTË:
Më 17 korrik 2022, mediat shqiptare raportuan një sulm masiv kibernetik që preku shërbimet elektronike të qeverisë shqiptare. Disa javë më vonë, u zbulua se sulmet kibernetike ishin pjesë e një përpjekjeje të koordinuar që ka të ngjarë të dëmtojë sistemet kompjuterike të vendit. Më 10 shtator 2022, lajmet lokale shqiptare raportuan një valë të dytë sulmesh kibernetike që synonin sistemet TIMS, ADAM dhe MEMEX të Shqipërisë – dy sistemet e fundit kritike për zbatimin e ligjit – thuhet se përdorin të njëjtin lloj sulmi dhe nga të njëjtët aktorë.
Në shtator, ekspertët e Kaspersky identifikuan mostra të malëare të “ransomëare” dhe “ëipers”, të ngjashme me ato të valës së parë. Megjithatë, ka pasur disa modifikime interesante që ka të ngjarë të lehtësojnë shmangien e kontrolleve të sigurisë dhe kanë mundësuar shpejtësi më të madhe sulmi. Kryesorja ndër ndryshimet ishte futja e një “raë disk driver”, duke lejuar qasje direkte në hard disk brenda vetë malëare”
Ne krahasojmë valën e parë dhe të dytë të ransomëare dhe malëare të sulmuesëve të përdorura për të synuar entitetet shqiptare dhe lidhjet e detajuara me ransomëare të njohur më parë ROADSWEEP dhe variantet ZEROCLEARE. Hakerët përdorën certifikata nga Nvidia dhe Kuëait Telecommunications Company për të nënshkruar malëare-in e tyre. Ekspertët e Kaspersky identifikuam bashkëpunimin midis grupeve të ndryshme të sulmit që flisnin gjuhë të ndryshme dhe përdornin AnyDesk si një pikë hyrëse fillestare për të filluar sulmin kibernetik. Sipas ekspertëve, Metoda e sulmit shfaqi shumë karakteristika të sulmeve kibernetike famëkeqe Shamoon të vëzhguara më parë në Lindjen e Mesme.
Krahasimi i ndryshimeve midis ransomëare-it të valës 1 dhe valës 2 dhe malëare të hakerëve.
Infeksioni fillestar – gjurmë bashkëpunimi midis grupeve të ndryshme të sulmit dhe përdorimit të mjetit AnyDesk
Megjithëse nuk ishim në gjendje të identifikonim pikën fillestare të hyrjes hakerëve në ndërhyrjen e analizuar, disa ditë pas aktiviteteve të fshirjes së valës së dytë. Subjekt shqiptar dhe sugjerime për hakerët që flasin persisht për ta përdorur atë për vendosjen e softuerit ose të hakerëve fshirëseve malëare. Kjo mund të rrisë gjasat që pika fillestare e hyrjes për valën 2 të jetë nëpërmjet softuerit legjitim të aksesit në distancë si AnyDesk, veçanërisht pasi ne e dimë se modifikimet e hakerit të valës 2 përfshinin instalonin automatikisht dritaren e aksesit.
Ky kampion i valës së dytë ka të njëjtat parametra të certifikatës së nënshkrimit si kampioni i valës së parë, i cili lidhet me kompaninë e telekomunikacionit të Kuvajtit. Është e paqartë se si aktori i kërcënimit ishte në gjendje të nënshkruante malëare-in e tij duke përdorur certifikatën e Kuëait Telecommunications Company, por ne dyshojmë se ai ishte vjedhur. Nga data e këtij publikimi, certifikata nuk është më e vlefshme dhe është revokuar.
Analiza e ndërhyrjes e kryer në një nga makineritë e prekura tregon se në valën 2, aktori i kërcënimit nuk përdori një skedar BAT por kaloi direkt nga vala e 1 tek e 2 duke i shtuar sulmuesit kibernetik 6 zero “000000”. Pavarësisht të gjitha ndryshimeve të bëra në sulmin e valës 2, shënimet e zbuluara në serverët treguan se përfshinin mesazhe politike që pasqyrojnë tensionet gjeopolitike midis Shqipërisë dhe Iranit.
Nënshkrimi i modifikuar i malëare
Historikisht, në incidentet e ZEROCLEARE dhe DUSTMAN nga viti 2019, programet fshirëse dhe drejtuesit e diskut të papërpunuar nuk ishin nënshkruar dhe për këtë arsye nuk mund të hynin drejtpërdrejt në diskun e papërpunuar për fshirje të shpejtë të të dhënave. Pra, fshirësit duhej të përdornin një ngarkues të palëve të treta si TDL të hyrë drejtpërdrejt në diskun e papërpunuar për fshirjen e të dhënave duke përdorur metodat e DeviceControl API. Megjithatë, në valën e parë të sulmit që synonte Shqipërinë, hakeri nënshkroi fshirësin e valës 1 duke përdorur certifikatën e Kompanisë së Telekomunikacionit të Kuvajtit, duke hequr kështu nevojën për një ngarkues të palës së tretë. Përmirësimet e shpejtësisë dhe automatizimit na kujtojnë operacionet e mëparshme Shamoon në Lindjen e Mesme.
Konkluzione
Në këtë botim, ne diskutuam ndryshimet e bëra në valën e dytë të mostrave të ransomëare dhe fshirëseve që synonin institucionet shqiptare për të shmangur zbulimin dhe për të shkaktuar dëme maksimale. Për mbrojtësit mund të theksojmë dy elementë të rëndësishëm nga analiza e ndërhyrjes dhe malëare e paraqitur këtu:
Monitoroni për aktivitete të softuerit në distancë si AnyDesk për përdorim të paautorizuar. Gjithmonë gjurmoni dhe monitoroni për certifikatat e nënshkrimit të skaduara dhe/ose të rrjedhura pasi ato mund të përdoren nga aktorët e kërcënimit për të ngarkuar dhe ekzekutuar malëare.
