Iranski hakeri najverovatnije stoje iza ometajućih sajber napada na albansku vladu. U izveštaju stoji da je akter pretnji koji radi na ostvarivanju iranskih ciljeva stajao iza niza štetnih sajber napada na službe albanske vlade sredinom jula 2022.
Kompanija za sajber bezbednost Mandiant rekla je da zlonamerna aktivnost protiv jedne države NATO predstavlja „geografsku ekspanziju iranskih ometajućih sajber operacija“.
Napadi od 17. jula, prema albanskoj Nacionalnoj agenciji za informaciono društvo, primorali su vladu da „privremeno zatvori pristup onlajn javnim servisima i drugim vladinim veb stranicama“ zbog „sinhronizovanog i sofisticiranog sajber kriminalnog napada izvan Albanije“.
Politički motivisana remetilačka operacija, prema Mandiantu, podrazumevala je postavljanje nove porodice ransomvare-a pod nazivom ROADSWEEP koja je uključivala otkupninu sa tekstom:
Zašto bi se naši porezi trošili u korist terorista iz DURRES-a?
Front pod nazivom HomeLand Justice je od tada preuzeo odgovornost za sajber ofanzivu, a grupa je takođe navodno tvrdila da je koristila malver za brisanje u napadima. Iako je tačna priroda brisača nepoznata, Mandiant je rekao da je albanski korisnik 19. jula, što se poklopilo sa napadima, predao uzorak za ono što se zove ZeroCleare u javno skladište zlonamernog softvera.
ZeroCleare, koji je IBM prvi put dokumentovao u decembru 2019. kao deo kampanje usmerene na industrijski i energetski sektor na Bliskom istoku, dizajniran je da obriše glavni zapis za pokretanje (MBR) i particije diska na mašinama zasnovanim na Windows-u.
Veruje se da je to zajednički napor između različitih aktera iranske nacionalne države, uključujući OilRig (aka APT34, ITG13 ili Helix Kitten).
U ovim napadima je takođe korišćen ranije nepoznati backdoor nazvan CHIMNEYSWEEP koji je sposoban da pravi snimke ekrana, lista i prikuplja datoteke, stvara obrnutu školjku i podržava funkcionalnost keylogging-a.
Implant, osim što deli brojna preklapanja koda sa ROADSWEEP-om, isporučuje se sistemu putem arhive koja se sama raspakuje zajedno sa lažnim Microsoft Word dokumentima koji sadrže slike Masuda Radžavija, nekadašnjeg lidera Narodne mudžahedinske organizacije Irana (MEK).
Najranije iteracije CHIMNEYSWEEP datiraju iz 2012. godine i indicije su da je malver možda korišćen u napadima usmerenim na govornike farsi i arapskog jezika.
Kompanija za sajber bezbednost, koju je kupio Gugl ranije ove godine, saopštila je da nema dovoljno dokaza koji povezuju upade sa imenovanim suparničkim kolektivom, ali je sa umerenim samopouzdanjem primetila da su umešani jedan ili više loših aktera koji deluju u prilog iranskim ciljevima.
Veze sa Iranom proističu iz činjenice da su se napadi dogodili manje od nedelju dana pre konferencije Svetskog samita slobodnog Irana 23-24. jula u blizini lučkog grada Drača od strane entiteta koji se suprotstavljaju iranskoj vladi, posebno članova MEK-a.
Upotreba ransomvare-a za sprovođenje politički motivisane ometajuće operacije protiv vladinih veb-sajtova i javnih službi jedne države članice NATO-a u istoj nedelji kada je trebalo da se održi konferencija iranskih opozicionih grupa bila bi izrazito drska operacija pretnje iranskim vezama glumci – rekli su istraživači.
Nalazi su takođe došli dva meseca nakon što je iranska grupa za naprednu persistentnu pretnju (APT) praćena kao Charming Kitten (poznato i kao Phosphorus) povezana sa napadom usmerenim na neimenovanu građevinsku kompaniju na jugu SAD.