به گزارش سایبربان؛ کارشناسان در گزارش جدیدی ادعا کردند که عوامل تهدید ایرانی تحت حمایت دولت قبل از استقرار بدافزارهای مخرب در ژوئیه ۲۰۲۲، به مدت ۱۴ ماه در یک شبکه دولتی آلبانی مخفی شده‌اند.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) و اف‌بی‌آی (FBI) هشدار مشترکی را برای روشن کردن بیشتر این کمپین منتشر کردند که منجر به قطع روابط دیپلماتیک آلبانی با ایران شد؛ این اولین باری است که یک حادثه سایبری به چنین نتیجه‌ای منجر می‌شود.

این گزارش با شناسایی گروه هکری دولتی موسوم به «HomeLand Justice»، ادعا کرد که دسترسی اولیه با بهره‌برداری از «CVE-2019-0604»، یک باگ اجرای کد از راه دور در شیرپوینت (SharePoint)، به دست آمده است. این آسیب‌پذیری، دارای امتیاز «CVSS 8.6»، از سوی مرکز ملی امنیت سایبری بریتانیا (NCSC) در ماه اکتبر ۲۰۲۰ علامت‌گذاری شد.

چند روز پس از دسترسی به شبکه، عوامل تهدید وارد مرحله پایداری و حرکت جانبی شدند و از چندین پوسته «.aspx» برای پایداری و «RDP»، «SMB» و «FTP» برای حرکت جانبی استفاده کردند.

طبق این گزارش، یک تا ۶ ماه پس از دسترسی اولیه، هکرها یک حساب «Microsoft Exchange» را به خطر انداختند و شروع به جستجو برای یک حساب مدیر کردند.

مقامات آمریکایی مدعی هستند که «HomeLand Justice» توانسته حجم قابل توجهی از داده‌های ایمیل را استخراج کند و موفق شد ۲ حساب وی‌پی‌ان (VPN) قربانی را به خطر بیاندازد؛ سرانجام، ۱۴ ماه پس از شروع عملیات، هکرها یک رمزگذار فایل به سبک باج‌افزار و بدافزار پاک کننده دیسک را مستقر کردند.

به نظر می‌رسد این کمپین خود پاسخی به پناه دادن آلبانی به گروه مخالف ایرانی مجاهدین خلق بوده است. پس از قطع روابط دیپلماتیک آلبانی با ایران در ماه سپتامبر سال جاری، مهاجمان از تاکتیک‌های مشابهی برای راه‌اندازی موج دیگری از حملات استفاده کردند که این بار بر سیستم‌های کنترل مرزی تأثیر گذاشت.

طبق ادعای آژانس امنیت سایبری و امنیت زیرساخت آمریکا، HomeLand Justice اعتبار این کمپین را به عهده گرفت و ویدئوهایی از این حمله را در وب‌سایت خود منتشر و اطلاعاتی را که به سرقت رفته بود را افشا کرد.

این حادثه یادآوری دیگری از نیاز به ابزارهای تشخیص و پاسخ مؤثر برای به حداقل رساندن زمان اقامت مهاجم است که در سطح جهانی میانگین ۲۱ روز است.

در این گزارش آمده است : «بین ماه می و ژوئن ۲۰۲۲، عوامل سایبری دولتی ایران تحرکات جانبی، شناسایی شبکه و برداشت اعتبار از شبکه‌های دولتی آلبانی انجام دادند. در ماه ژوئیه امسال، عوامل باج‌افزاری را در شبکه‌ها راه‌اندازی کردند و پیامی ضد مجاهدین خلق را روی دسک‌تاپ گذاشتند. هنگامی که مدافعان شبکه شناسایی و شروع به پاسخگویی به فعالیت باج‌افزار کردند، عوامل سایبری نسخه‌ای از بدافزار مخرب «ZeroClear» را به کار گرفتند.»