مایکروسافت درباره حملات رژیم ایران علیه دولت آلبانی تحقیق می‌کند

شرکت مایکروسافت در گزارشی با عنوان «مایکروسافت درباره حملات ایرانی علیه دولت آلبانی تحقیق میکند» گزارش کرد تحقیقاتش در مورد حمله سایبری به دولت آلبانی نشان داده است که هکرهای تحت حمایت رژیم ایران که مسئول این حمله بودند ابتدا بیش از یک سال قبل از حمله نهایی به سیستم‌ها دسترسی پیدا کردند.

در این گزارش آمده است، مدت کوتاهی پس از حملات سایبری مخرب علیه دولت آلبانی در اواسط ژوئیه، تیم تشخیص و پاسخ مایکروسافت (DART) توسط دولت آلبانی برای رهبری تحقیقات در مورد این حملات درگیر شد. در زمان حملات و تعامل ما توسط دولت آلبانی، مایکروسافت علناً اعلام کرد که «مایکروسافت متعهد است که به مشتریان خود در ایمن بودن و دستیابی به دستاوردهای بیشتر کمک کند. در طول این رویداد، ما به سرعت تیم تشخیص و واکنش (DART) خود را بسیج کردیم تا به دولت آلبانی کمک کنیم تا سریعاً از این حمله سایبری بهبود یابد. مایکروسافت به همکاری با آلبانی برای مدیریت خطرات امنیت سایبری ادامه خواهد داد و در عین حال به تقویت محافظت در برابر مهاجمان مخرب ادامه می دهد. این وبلاگ تحقیقات، فرآیند مایکروسافت در انتساب بازیگران مرتبط و تاکتیک ها و تکنیک های مشاهده شده توسط DART و مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) را برای کمک به مشتریان و اکوسیستم امنیتی در برابر حملات مشابه در آینده به نمایش می گذارد.

مایکروسافت با اطمینان بالا ارزیابی کرد که در ۱۵ ژوئیه ۲۰۲۲، بازیگران تحت حمایت دولت ایران یک حمله سایبری مخرب علیه دولت آلبانی انجام دادند و وب سایت های دولتی و خدمات عمومی را مختل کردند. در همان زمان، و علاوه بر حمله سایبری مخرب، MSTIC ارزیابی می‌کند که یک بازیگر جداگانه تحت حمایت دولت ایران، اطلاعات حساسی را که ماه‌ها قبل از آن استخراج شده بود، افشا کرد. از وب سایت ها و رسانه های اجتماعی مختلف برای افشای این اطلاعات استفاده شده است.

مراحل مختلفی در این کمپین شناسایی شد،شامل:

نفوذ اولیه

استخراج داده ها

رمزگذاری و تخریب داده ها

عملیات اطلاعاتی

مایکروسافت با اطمینان متوسط ​​ارزیابی کرد که عوامل دخیل در دستیابی به دسترسی اولیه و استخراج داده‌ها در این حمله با EUROPIUM مرتبط هستند که به طور عمومی به وزارت اطلاعات و امنیت ایران (MOIS) مرتبط بوده و با استفاده از سه خوشه فعالیت منحصر به فرد شناسایی شده است. ما آنها را به طور جداگانه بر اساس مجموعه های منحصر به فرد ابزارها و/یا TTP ها دنبال می کنیم. با این حال، برخی از آنها ممکن است برای همان واحد کار کنند.

شواهد جمع آوری شده در طول تحقیقات نشان می دهد که عوامل وابسته به ایران این حمله را انجام داده اند. این شواهد شامل، اما محدود به موارد زیر نیست:

مهاجمان در خارج از ایران در حال عملیات مشاهده شدند

مهاجمانی که مسئول نفوذ و نفوذ داده‌ها هستند، از ابزارهایی استفاده می‌کردند که قبلاً توسط سایر مهاجمان شناخته شده ایرانی استفاده می‌شد.

مهاجمانی که مسئول نفوذ و نفوذ داده‌ها هستند، بخش‌ها و کشورهایی را هدف قرار داده‌اند که با منافع رژیم ایران سازگار هستند.

کد پاک کن پیش از این توسط یک بازیگر سرشناس ایرانی استفاده می شد

این باج افزار با همان گواهی دیجیتالی امضا شده بود که برای امضای ابزارهای دیگر بازیگران ایرانی استفاده می شد

نفوذ و خروج

گروهی که ما ارزیابی می‌کنیم وابسته به دولت ایران است، DEV-0861، احتمالاً در می ۲۰۲۱ با سوء استفاده از آسیب‌پذیری CVE-2019-0604 در یک سرور شیرپوینت اصلاح‌نشده، به شبکه یک قربانی دولت آلبانی دسترسی پیدا کرد. و دسترسی را تا جولای ۲۰۲۱ با استفاده از یک حساب سرویس پیکربندی نادرست که عضوی از گروه اداری محلی بود، تقویت کرد. تجزیه و تحلیل گزارش‌های (لاگ‌های) Exchange نشان می‌دهد که DEV-0861 بعداً ایمیل‌ها را از شبکه قربانی بین اکتبر ۲۰۲۱ و ژانویه ۲۰۲۲ استخراج کرده است.

مایکروسافت: هکرهای رژیم ایران یکسال پیش از حمله اصلی به دولت آلبانی رخنه کرده بودند

# براندازیم  #تيك_تاك_سرنگوني    #قیام_تنها_جوابه 

💞  # مجاهدین_خلق ایران #ایران  #  کانونهای شورشی

🌳# MaryamRajavi  # IranRegimeChange   

🌻 پیوند این بلاک  با  توئیتر BaharIran@ 0