LIVE UPDATES
Aktualitet

'Çfarë u zbulua në serverat e shtetit shqiptar'/ Analiza e KasperSky: U përdorën certifikata të vjedhura, hakerët flisnin gjuhë të ndryshme

Në fund të raportit KasperSky këshillon që për të parandaluar këto sisteme duhen monitoruar aktivitete të softuerit në distancë si AnyDesk për përdorim të paautorizuar.

23 Dhjetor 2022, 11:49 Nga a.l
'Çfarë u zbulua në serverat e shtetit shqiptar'/
abstract binary

TIRANË- Kompania ndërkombëtare ruse e antiviruseve dhe kibernetikës, Kaspersky ka publikuar një analizë të detajuar të sulmit kibernetik që preku serverat e shtetit shqiptar gjatë muajve korrik dhe shtator të këtij viti. 

Në raportin e publikuar nga Kaspersky, theksohet se sulmuesit kibernetike kanë përdorur certifikatat e sigurisë të vjedhura nga Nvidia dhe Kuwait Telecommunications, të cilat i përdorën në sistemet e tyre hakeruese për të mos u diktuar nga sisitemi i kompjuterave që kishin piketuar për t'u futur. Sipas raportit, hakerat përdornin si portë hyrëse aplikacionin e 'Any Desk' për të patur akseskueshmëri në serverët që kishin piketuar. Në raport theksohet se sulmuesit dhe ofruesi i aksesit i përkisnin grupeve të ndryshme të sulmit dhe flisnin gjuhë të ndryshme. Zbulimi i bërë në serverët e institucioneve shqiptarë ishin mesazhet politike që siç bëjnë me dije ekspertët e KasperSky pasqyronin tensionet gjeopolitike midis Shqipërisë dhe Iranit.

Malware-et klasike të hakerave iranainë ZEROCLEARE dhe DUSTMAN që janë përdour nga viti 2019 duket se në këtë rast nuk mund t'i siguronin sulmuesëve kibernetikë një mënyrë më të lehtë që ata të futeshin në diskun e softuerit dhe për këtë arsye ata përdorën një program tjetër të quajtur TDl përmes së cilës hynin direkt në softuerin e serverit. 

Në fund të raportit KasperSky këshillon që për të parandaluar këto sisteme duhen monitoruar aktivitete të softuerit në distancë si AnyDesk për përdorim të paautorizuar. Për të shmangur sulmet gjithmonë duhen gjurmuar dhe monitoruar për certifikatat skaduara ose të vjedhura pasi ato mund të përdoren nga hakerët për të patur lehtësi në akseskueshmërinë e serverëve. 

Hakerat iranianë kanë nisur një varg sulmesh prej muajsh. Së fundmi ata publikuan certifikatat e sigurisë të punonjësve të Ministrisë, ndërsa më herët sfiduan kryeministrin Edi Rama me publikimin e listës së zgjedhësve. Të dhëna të tjera që janë publikuar prej tyre janë patentat, targat, pagat si dhe listën e punonjësve të SHISH. Ata kanë publikuar dhe të dhënat personale të kryepolicit Muhamet Rrumbullaku, kreut të SHISH, Helidon Bendo, nënkryetarit Oljan Kanushi, ish-drejtorit të Policisë së Shtetit, Gledis Nano si dhe e-mailet e këtij të fundit.

RAPORTI I PLOTË: 

Më 17 korrik 2022, mediat shqiptare raportuan një sulm masiv kibernetik që preku shërbimet elektronike të qeverisë shqiptare. Disa javë më vonë, u zbulua se sulmet kibernetike ishin pjesë e një përpjekjeje të koordinuar që ka të ngjarë të dëmtojë sistemet kompjuterike të vendit. Më 10 shtator 2022, lajmet lokale shqiptare raportuan një valë të dytë sulmesh kibernetike që synonin sistemet TIMS, ADAM dhe MEMEX të Shqipërisë – dy sistemet e fundit kritike për zbatimin e ligjit – thuhet se përdorin të njëjtin lloj sulmi dhe nga të njëjtët aktorë.

Në shtator, ekspertët e Kaspersky identifikuan mostra të malëare të “ransomëare” dhe “ëipers”, të ngjashme me ato të valës së parë. Megjithatë, ka pasur disa modifikime interesante që ka të ngjarë të lehtësojnë shmangien e kontrolleve të sigurisë dhe kanë mundësuar shpejtësi më të madhe sulmi. Kryesorja ndër ndryshimet ishte futja e një “raë disk driver”, duke lejuar qasje direkte në hard disk brenda vetë malëare”

Ne krahasojmë valën e parë dhe të dytë të ransomëare dhe malëare të sulmuesëve të përdorura për të synuar entitetet shqiptare dhe lidhjet e detajuara me ransomëare të njohur më parë ROADSWEEP dhe variantet ZEROCLEARE. Hakerët përdorën certifikata nga Nvidia dhe Kuëait Telecommunications Company për të nënshkruar malëare-in e tyre. Ekspertët e Kaspersky identifikuam bashkëpunimin midis grupeve të ndryshme të sulmit që flisnin gjuhë të ndryshme dhe përdornin AnyDesk si një pikë hyrëse fillestare për të filluar sulmin kibernetik. Sipas ekspertëve, Metoda e sulmit shfaqi shumë karakteristika të sulmeve kibernetike famëkeqe Shamoon të vëzhguara më parë në Lindjen e Mesme. 

Krahasimi i ndryshimeve midis ransomëare-it të valës 1 dhe valës 2 dhe malëare të hakerëve.

Infeksioni fillestar – gjurmë bashkëpunimi midis grupeve të ndryshme të sulmit dhe përdorimit të mjetit AnyDesk
Megjithëse nuk ishim në gjendje të identifikonim pikën fillestare të hyrjes hakerëve në ndërhyrjen e analizuar, disa ditë pas aktiviteteve të fshirjes së valës së dytë. Subjekt shqiptar dhe sugjerime për hakerët që flasin persisht për ta përdorur atë për vendosjen e softuerit ose të hakerëve fshirëseve malëare. Kjo mund të rrisë gjasat që pika fillestare e hyrjes për valën 2 të jetë nëpërmjet softuerit legjitim të aksesit në distancë si AnyDesk, veçanërisht pasi ne e dimë se modifikimet e hakerit të valës 2 përfshinin instalonin automatikisht dritaren e aksesit.  

Ky kampion i valës së dytë ka të njëjtat parametra të certifikatës së nënshkrimit si kampioni i valës së parë, i cili lidhet me kompaninë e telekomunikacionit të Kuvajtit. Është e paqartë se si aktori i kërcënimit ishte në gjendje të nënshkruante malëare-in e tij duke përdorur certifikatën e Kuëait Telecommunications Company, por ne dyshojmë se ai ishte vjedhur. Nga data e këtij publikimi, certifikata nuk është më e vlefshme dhe është revokuar.

Analiza e ndërhyrjes e kryer në një nga makineritë e prekura tregon se në valën 2, aktori i kërcënimit nuk përdori një skedar BAT por kaloi direkt nga vala e 1 tek e 2 duke i shtuar sulmuesit kibernetik 6 zero "000000".  Pavarësisht të gjitha ndryshimeve të bëra në sulmin e valës 2, shënimet e zbuluara në serverët treguan se përfshinin mesazhe politike që pasqyrojnë tensionet gjeopolitike midis Shqipërisë dhe Iranit.

Nënshkrimi i modifikuar i malëare

Historikisht, në incidentet e ZEROCLEARE dhe DUSTMAN nga viti 2019, programet fshirëse dhe drejtuesit e diskut të papërpunuar nuk ishin nënshkruar dhe për këtë arsye nuk mund të hynin drejtpërdrejt në diskun e papërpunuar për fshirje të shpejtë të të dhënave. Pra, fshirësit duhej të përdornin një ngarkues të palëve të treta si TDL të hyrë drejtpërdrejt në diskun e papërpunuar për fshirjen e të dhënave duke përdorur metodat e DeviceControl API. Megjithatë, në valën e parë të sulmit që synonte Shqipërinë, hakeri nënshkroi fshirësin e valës 1 duke përdorur certifikatën e Kompanisë së Telekomunikacionit të Kuvajtit, duke hequr kështu nevojën për një ngarkues të palës së tretë. Përmirësimet e shpejtësisë dhe automatizimit na kujtojnë operacionet e mëparshme Shamoon në Lindjen e Mesme.

Konkluzione 

Në këtë botim, ne diskutuam ndryshimet e bëra në valën e dytë të mostrave të ransomëare dhe fshirëseve që synonin institucionet shqiptare për të shmangur zbulimin dhe për të shkaktuar dëme maksimale. Për mbrojtësit mund të theksojmë dy elementë të rëndësishëm nga analiza e ndërhyrjes dhe malëare e paraqitur këtu:

Monitoroni për aktivitete të softuerit në distancë si AnyDesk për përdorim të paautorizuar. Gjithmonë gjurmoni dhe monitoroni për certifikatat e nënshkrimit të skaduara dhe/ose të rrjedhura pasi ato mund të përdoren nga aktorët e kërcënimit për të ngarkuar dhe ekzekutuar malëare. 

sulmet kibernetike ne shqiperi

Sondazh

Poll

Cili ishte shkaku i vdekjes së aktores së njohur turke Ece Irtem?

Cili ishte shkaku i vdekjes së aktores së njohur turke Ece Irtem?

Fëmijët e birësuar të Brad Pitt nisin procedurat për të mos mbajtur mbiemrin e të atit

Ish-drejtoresha e filialit të Postës së Durrësit u la në burg/ Avokati: Vendim absurd

Kuvendi Kombëtar i Protestës/ Folëses i merret mikrofoni nga dora: Edi Rama të japë dorëheqjen

Tentoi te merrte pjesë në Kuvendin Kombëtar të protestës/Selami Jenisherin nxirret jashtë

Berisha: Do bëjmë gjithçka për të paraqitur realitetin shqiptar pranë Komisionit Evropian

Falja e pronave publike në Dhërmi e Palasë/ Berisha: PD nuk do i njohë kurrë këto vendime të Ramës

Berisha: Rama nuk e dënon ministren monstër të Beogradit sepse është vasal i Vuçiçit

Berisha: Ftoj çdo demokrat që të marrë pjesë në protestë dhe të bëjë gjithçka për suksesin e saj

Berisha: Ky është procesi më i thellë i ripërtëritjes së PD që nga themelimi i saj!

“Neomalsorja” i bashkohet protestës së 49-të para Kryeministrisë: Rezistenca e qytetarëve nuk ndalet

Regjisori krijues i Star Wars mbështet Inteligjencën Artificiale

Rama: Deri në 1 mld euro mbështetje për bizneset, kredi deri në 2 milionë euro me interesa të ulëta

Rama i kthehet biznesmenit: Në Shqipëri ka para të pista, por s'mund t'i veshim këtë kostum vendit

Rama i përgjigjet komentuesve: Ka qeveri që bëjnë punë të mira, ka që bëjnë të këqija

Dyfisho sipërmarrjen tënde/ Rama: Cikël takimesh me bizneset e interesuara

Moment paniku në Theth! Guri bie mbi makinë, turistët shpëtojnë pa lëndime

Përfaqësuesi i Sindikatës së Punonjësve të Universiteteve:Dua të përcjell mbështetjen e profesoratit

Plagosja me thikë te Poliklinika e Shkodrës, dalin pamjet e rënda!

Si po ecën marrëdhënia mes Ariana Grande dhe ish të dashurit të saj pas ndarjes me Ethan Slater?

Nuk më pëlqen ta ekspozoj jetën time, Benny Blanco rrëfen si po mësohet me jetën e Selena Gomez

Edi Rama përmend vrasjen e Martin Canit: E kujtoj çdo ditë, ata që e përdorën për politikë e harruan

Rama: Kemi hyrë në zemër të problemit, djegia e makinës pas krimit nuk mund të ndodh më

Kush është modelja që u bë virale për ngjashmërinë me futbollistin Erling Haaland?

Kujtimet tona do të jetojnë gjithmonë, mesazhi i Donatella Versace për të vëllain Gianni Versace

Berisha: Dënoj heshtjen prej vasali të qeverisë shqiptare ndaj deklaratës së ministres së Vuçiçit

Berisha: Drejtimi i PD është ripërtërirë me personalitete ndër më të shquarit në fushat e tyre

Berisha uron drejtuesit e rinj të PD: Vota e lirë në themel të kësaj force politike

Çfarë detajesh tërhoqën vëmëndjen në festimet e ditëlindjes së Jennifer Lopez në Paris?

Salla: Fermeri do ta shohë prodhimin edhe si aset për financim

Përplasje e ashpër në Kuvend/ Bido: Populizëm që dëmton Kosovën

Tentoi të transportonte pistoleta! Kapet në tunelin e Skërficës, 31-vjeçari

Ndryshimet në "Ligjin për Turizmin", Balla: Pezullohen punimet në bregdet gjatë sezonit turistik

Balla mbron Ramën nga Redi Muçi: Lani gojën kur t'i përmendni emrin

Deklarata diskriminuese e ministres serbe/ Muçi akuzon Ramën për heshtje: Çfarë pret kryeministri?

Spiropali dërgon në Asamblenë e PS mocionin për hapjen e partisë

Kuvendi mblidhet sot në seancë plenare, ‘blindohet’ me autobotë uji dhe forca të shumta policore

Ilirjana Kuçana akuzon lidershipin për shkelje të Statutit dhe "Mulizim" të partisë

Protestuesja: Shqipëria nuk e përmban dot një koncert si të Kanye West, vendi ynë ka marrë fund

Thirrjet për Ramën, protestuesi: Traumë për fëmijët të thonë Rama jep dorëheqjen

Dita 46-të e protestës/ Protestuesi: Sali Berisha dhe Edi Rama të thyejnë qafën

Protesta qytetare bën bashkë shqipëtarë nga çdo krahinë, valëviten flamujt nga diaspora

Protesta e 46-të/ Mbyllen fjalimet para Kryeministrisë, nis marshimi rrugëve të Tiranës

PD ndërpret sinjalin për median/ Anëtarja e Këshillit Kombëtar përplaset me Berishën

Berisha prezanton emrat: PD do të ketë nënkryetar nga diaspora dhe rinia

Berisha: Gjenerata Z dhe qytetarët i hapën varrin narkodiktaturës dhe do ta marrin me vete

Berisha: Protesta 46-ditore që vazhdon është tërësisht antidiktatoriale

Berisha: Gjithçka zhvillohet sot në rrugë dhe sheshet e Tiranës është një betejë e kauzës

Këshilli Kombëtar/ Berisha prezanton emrat e propozuar për anëtarët e Këshillit të Diasporës

Dua Lipa: Frymëzuese të shoh qytetarët në protestë, ndërkohë që qeveria anashkalon ligjet