Detaje të reja kanë dalë në dritë nga sulmi kibernetik i një grupi hakerash ndaj serverave të shtetit shqiptar.
Kërkuesit e firmës amerikane për sigurinë kibernetike “Mandiant” vlerësojnë “me besim të moderuar” se sulmi u krye nga aktorë që kanë vepruar në mbështetje të qëllimeve iraniane.
Sulmi përfshiu një lloj të ri “ransomëare” të quajtur Roadsweep, “spyware” të quajtur Chimneysweep dhe ndoshta një variant të ri të “malware” i quajtur Zeroclear wiper.
“Ransomware” i përdorur në sulm është një mjet i sapo zbuluar dhe përdor shifrën e transmetimit RC4 për të enkriptuar skedarët me qëllim të keq. Me fjalë të thjeshta do të thotë se hakerat e kanë përdorur këtë program për të bllokuar aksesin e dokumenteve në serverat e shtetit shqiptar.
Zeroclear tashmë ka një lidhje të raportuar edhe më parë me aktorë iranianë që e kanë përdorur atë për të fshirë sektorët industrialë dhe energjetikë në Lindjen e Mesme deri në vitin 2020. Zeroclear është programi që hakerat pretendojnë se e kanë përdorur në sulmin ndaj serverave shqiptarë për të fshirë dokumentet.
Nëse do të përfshiheshin hakerët iranianë, për një ndërprerje të motivuar politikisht në shërbimet e qytetarëve të një shteti anëtar të NATO-s “do të ishte një operacion jashtëzakonisht keqdashës”, thotë kompania e sigurisë kibernetike Mandiant. Veçanërisht kur bisedimet midis Uashingtonit dhe Teheranit për një marrëveshje bërthamore janë të bllokuara, mesa duket “Irani mund të ndihet më pak i përmbajtur në kryerjen e operacioneve të sulmeve kibernetike në vijimësi”
Përdorimi i fshirësit dhe “derës së pasme” (Backdoor)
Sulmuesit ka të ngjarë të injektojnë një spyëare të quajtur Chimneysweep dhe ndoshta një variant të ri të fshirësit Zeroclear në sulm, thotë Mandiant.
Zeroclear korrupton sistemin e skedarëve duke përdorur RawDisk, një drejtues komercial legjitim që përdoret për ndërveprim me skedarët, disqet dhe ndarjet.
Mandiant nuk mund të provonte ose të kundërshtonte në mënyrë të pavarur nëse mostra e Zeroclear që ekzaminoi ishte përdorur për të sulmuar faqet e internetit të qeverisë shqiptare, por thotë se më parë ishte raportuar se kishte lidhje me aktorë iranianë.
Përmbajtja e kodimit të Chimneysweep e lidh atë me përfshirjen e mundshme të Iranit. Ky program u vu re në gusht të vitit 2021 duke përdorur një imazh të ish-udhëheqësit të MEK Massoud Rajavi për të krijuar konfuzion. Programi gjithashtu ndau kodin me një tjetër aplikacion spyware të quajtur Roadsweep që ka targetuar folësit farsi dhe arabisht që nga viti 2021.
Aplikacioni është në gjendje të marrë pamje nga ekrani, të listojë dhe të mbledhë skedarë dhe të krijojë një guaskë, dhe ka aftësi “keylogging” apo të regjistrimit të butonave të që shtypen mbi tastjerë.
