LIVE UPDATES
Aktualitet

Përfundon investigimi i Microsoft-it dhe FBI-së: Tentativa kriminale për të dhënat, dështoi

Raportin e detajuar e ka publikuar në faqen zyrtare Agjencia Kombëtare e Shoqerisë së Informacionit theksohet se sulmet e 15 korrikut nuk lidhen në asnjë formë me sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit.

26 Shtator 2022, 15:33 Nga k.m.
Përfundon investigimi i Microsoft-it dhe FBI-së: Tentativa kriminale
Foto ilustruese

TIRANË- "Sulmet kibernetike të kryera drejt 2 infrastukturave të vecanta, pronë të qeverise shqiptare, të përbashkët kanë vetëm metodologjinë e tij dhe atribuimin e aktorëve kërcënues. Sulmi i datës 15 korrik me atë të 9 shtatorit janë sulme të ndryshme, vektorët e shfrytëzuar dhe kohëzgjatja e tyre janë po ashtu të ndryshëm,"-ky është përfundimi që ka dalë Microsoft DART pas investigimit të bërë për sulmet kibernetike në Shqipëri. Raportin e detajuar e ka publikuar në faqen zyrtare Agjencia Kombëtare e Shoqerisë së Informacionit theksohet se sulmet e 15 korrikut nuk lidhen në asnjë formë me sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit. Bëhet fjalë për dy sulme të ndryshme, me zanafilla të ndryshme, ndaj dy infrastrukturave të palidhura me njëra-tjetrën.

“Për sa i përket sulmeve të fundit të 9 shtatorit 2022, ndaj sistemeve dhe infrastrukturave të Drejtorisë sëPërgjithshme të Policisë së Shtetit, duhet theksuar se objektiv ka qenë një infrastrukturë krejt e veçantë (rrjet totalisht i pavarur, Active Directory e pavarur, Exchange – sistemi i email-it) i palidhur meinfrastrukturat AKSHI-t. Rrjedha e ngjarjeve të sulmit të 15 korrikut dhe kohëzgjatja që paraqitet në vijim nuk lidhen në asnjë formëme sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit, sikurse sqaruar më lart,"-thuhet në raport.

Bazuar në këto investigime, është arritur në konkluzionin se: data 21 Maj 2021, është data e parë e infiltrimit të aktorëve keqbërës, duke përdorur vulnerabilite të sistemit administrata.al. Ky sistem i prokuruar me fondetë IPA-s, nuk është implementuar, menaxhuar apo ndjekur nga AKSHI, por vetëm është hostuar fizikisht pranë Datacenter-it Qeveritar.

Po ashtu, në raportin e "Microsoft", platformat e sigurisë u sinjalizua për kompromentim të një prej përdoruesve me privilegje të veçanta, por nuk sqarohet se për kë bëhet fjalë dhe kush është ky përdorues. Menjëherë u izolua e u bë “disable” përdoruesi dhe ky incident iu raportua kontaktit të Microsoft-it për AKSHI-n.

Raporti tregoi qartë se pavarësisht përpjekjeve dhe sofistikimit të sulmit, qëllimi i keqdashësve për fshirjene gjithë sistemeve qeveritare dhe të dhënave të tyre nuk është përmbushur. Arritën të preken nga procesi i fshirjes vetëm 10% e sistemeve të cilat janë rikthyer tërësisht falë politikave të backup-it dherikuperimit nga fatkeqësia, brenda javës së parë.

E po ashtu, dokumenti saktësoi se pas analizave të kryera mbi metodologjinë e përdorur, pavarësisht mekanizmave të ndryshme, objektiv i sulmeve të të njëjtëve aktorë kanë qenë edhe Izraeli, Jordania, Kuvajti, Arabia Saudite dhe Turqia.

Sulmi kibernetik i 15 korrikut 2022 në Shqipëri

Një analizë e detajuar, sipas gjithë etapave që nga 15-16 korriku 2022

Microsoft DART (Detection and Response Team) dhe ekipi investigues i krimit kibernetik të FBI (CyberAction Team), pas një investigimi, të detajuar, prej më shumë se 2 muajsh, që nga dita e sulmit kibernetiktë 15-16 Korrikut 2022, që goditi shumë prej sistemeve qeveritare, të hostuara pranë AKSHI-t, me qëllim fshirjen e tyre të plotë, kanë hartuar dhe dorëzuar raportet e tyre përfundimtare. Të dy ekipet e investigimit, kanë bashkëpunuar ngushtësisht me ekipet teknike të AKSHI-t, duke qenë të pranishëm edhe fizikisht pranë ambienteve të AKSHI-t për kryerjen e të gjitha investigimeve të tyre (Microsoft DART menjëherë, 1 javë pas sulmit dhe FBI CAT 2 javë pas sulmit).

Ndërsa ka pasur nëvijueshmëri të gjithë procesit një bashkëpunim në distancë edhe me CISA. Ka qenë tejet i domosdoshëmky bashkëpunim dhe përfshirje aktive, e çdo dite, e ekipeve të AKSHI-t, pa të cilët ky investigim nuk do të kishte rezultuar dot kaq i plotë. Bazuar në këto investigime, është arritur në konkluzionin se: data 21 Maj 2021, është data e parë e infiltrimit të aktorëve keqbërës, duke përdorur vulnerabilite të sistemit administrata.al. Ky sistem i prokuruar me fondetë IPA-s, nuk është implementuar, menaxhuar apo ndjekur nga AKSHI, por vetëm është hostuar fizikisht pranë Datacenter-it Qeveritar.

Për sa i përket sulmeve të fundit të 9 shtatorit 2022, ndaj sistemeve dhe infrastrukturave të Drejtorisë sëPërgjithshme të Policisë së Shtetit, duhet theksuar se objektiv ka qenë një infrastrukturë krejt e veçantë (rrjet totalisht i pavarur, Active Directory e pavarur, Exchange – sistemi i email-it) i palidhur meinfrastrukturat AKSHI-t. Rrjedha e ngjarjeve të sulmit të 15 korrikut dhe kohëzgjatja që paraqitet në vijim nuk lidhen në asnjë formëme sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë sëShtetit, sikurse sqaruar më lart.

Bëhet fjalë për dy sulme të ndryshme, me zanafilla të ndryshme, ndaj dy infrastrukturave të palidhura me njëra-tjetrën. Në lidhje me kohëzgjatjen e një prezence, prej kohësh në mjedisin e brendshëm kibernetik të AKSHI-t duam të sqarojmë se: Kohëzgjatja mesatare e identifikimit të penetrimit në sisteme për aktorët kërcënues është 287 ditë, sipas statistikës së firmës prestigjoze teknologjike IBM.

Sulme të tilla, të cilat përdorin teknika kaq të sofistikuara dhe të dizenjuara për targetin specifik, kanë një kohëzgjatje të tillë pikërisht për të bërë që veprimet dhe lëvizjet e këtyre aktorëve keqdashës në mjediset e penetruara të duken sa më legjitime dhe normale. Në momentin që këta aktorë vendosin të fillojnë lëvizjet për të konkretizuar sulmin atëherë ata rezultojnë të dukshëm. Më poshtë po paraqesim shtrirjen në kohë, si kanë ndodhur ngjarjet dhe cilat kanë qenë veprimet emenjëhershme, të ndërmarra nga AKSHI:

- Kompromentimi i përdoruesit

Platformat e sigurisë u sinjalizua për kompromentim të një prej përdoruesve me privilegje të veçanta. Menjëherë u izolua e u bë “disable” përdoruesi dhe ky incident iu raportua kontaktit të Microsoft-it për AKSHI-n. Në pritje të rekomandimeve nga pika e kontaktit, ekipi i sigurisë së AKSHI-t investigoi mbikompromentimin e kryer. Të gjithë loget dhe evidencat të cilat ishin pjesë e kompromentimit iu raportuan pikës së kontaktit. AKSHI, bazuar tek incidenti i ndodhur kërkoi eskalimin e situatës pas aktivitetit keqdashës.- Incidenti u eskalua, duke krijuar “Security Case” në portalin e incidenteve kibernetike të Microsoft.

“Security Case” si argument evidentoi:

▪ Kompromentimin e përdoruesit me privilegje të veçanta ▪ ëebshells të detektuar në serverët Exchange. Ekipi i sigurisë së AKSHI-t pas kontaktit me inxhinieret e Microsoft për “Security Case”, duke zbatuarrekomandimet e tyre përgatiti loget dhe ia dërgoi për hetim ekipit të kundërpërgjigjes, për incidentekibernetike (CERT) të Microsoft.

- Më 15/07/2022

Në orën 13:00 u identifikua nga platformat e sigurisë fillimi i shpërndarjes së një sulmi Ransomëare nërrjet, i cili preku një pjesë të përdoruesve fundore në institucione. Menjëherë pas identifikimit të këtij sulminisën bllokimet, në mënyrë që të mos përhapej me tutje dhe u hap gjithashtu një çështje me ekspertët e Microsoft në nivelin “Crisis Case” (niveli më i lartë i eskalimit të incidenteve kibernetike).

- Më 15/07/2022 - Aktivizim i opsioneve ekstra të sigurisë, pas sulmi 23:30

Pas komunikimit të vazhdueshëm nga ekipi i sigurisë, për sulmin e kryer me inxhinierët e ekipit tëkundërpërgjigjes për incidentet kibernetike, u rekomandua nga ata aktivizimi i opsionit ekstra në rastesulmesh kibernetike.

- 16/07/2022 - ëiper Attack

Aktivizimi i opsionit ekstra të sigurisë në raste sulmesh kibernetike detektoi aktorët kërcënues, të cilët kishin penetruar në sistem. Pas evidentimit nga ana e tyre dhe bllokimit të përhapjes së aktivitetevekeqdashëse, ata ndryshuan metodologjinë e sulmit duke tentuar përmbushjen e objektivit final: fshirjen e tëgjithë sistemeve digjitale.

Menjëherë pasi u detektua procesi i fshirjes, nga AKSHI u mor masa drastike eizolimit të të gjitha sistemeve, me qëllim parandalimin e zgjerimit te aktivitetit.

- Angazhim i ekipeve të Microsoft-it: DART, CRSP, MATDART Team u angazhua për hetimin e sulmit kibernetik dhe higjienizimin nga aktorët kërcënues. Përringritjen e sistemeve në mënyrë të sigurt u angazhua ekipi i Compromise Recover Security Team (CRSP)i Microsoft.

Ndërkohë “Modernisation and Transformation Team” (MAT) është angazhuar aktualisht përtransformimin e strukturës aktuale.

Në gjithë këto kohë ka pasur një keqinterpretim e keqinformim se AKSHI-t i kanë munguar elementet esigurisë qe pasqyrohen ne këto rekomandime. Por fakti është se këto rekomandime janë standard i CISA-s dhe FBI-së, i përdorur në raporte për të gjitha organizatat. Siç qartësisht cilësohet ne raportin e mëposhtëmtë AKSHI-t , këto janë rekomandime të CISA-s dhe FBI-së për tëgjitha organizatat për të zbatuar “best practices” https://ëëë.cisa.gov/uscert/ncas/alerts/aa22-264a për të ulur riskun e kompromentimit. Në një link tjetër https://ëëë.cisa.gov/uscert/ncas/alerts/aa22-257a për infrastrukturat amerikane që janë goditur nga IRGDC, jepen rekomandime të ngjashme, sikurse paraqiten edhe në raportin e FBI-së përShqipërinë, lidhur me sulmet e kryera nga aktorët iranianë ndaj infrastrukturave amerikane (Policia,Aerospace dhe kompanitë e transportit). Raporti i Microsoft-it faktoisponsorizimin e qeverisë iranianendaj këtij sulmi kibernetik, të strukturuardhe koordinuar nga MOIS (Ministria e Inteligjencës Iraniane) dhe Garda Revolucionare Iraniane.

Buxhetii kësaj të fundit është sa gjysma e GDP-së së Shqipërisë (7 miliardë EUR, nga 14.4 miliardë EUR që ështëGDP-ja e Shqipërisë për vitin 2021). Raporti tregoi qartë se pavarësisht përpjekjeve dhe sofistikimit të sulmit, qëllimi i keqdashësve për fshirjene gjithë sistemeve qeveritare dhe të dhënave të tyre nuk është përmbushur. Arritën të preken nga procesi ifshirjesvetëm 10% e sistemeve të cilat janë rikthyer tërësisht falë politikave të backup-it dherikuperimit nga fatkeqësia, brenda javës së parë.

Dokumenti saktësoi se pas analizave të kryera mbimetodologjinë e përdorur, pavarësisht mekanizmave të ndryshme, objektiv i sulmeve të të njëjtëve aktorë kanë qenë edhe Izraeli, Jordania, Kuvajti, Arabia Saudite dhe Turqia.

Ruajtja e të dhënave dhe kthimi në normalitet, brenda një afati rekord, u bë falë reagimit të shpejtë tësistemeve mbrojtëse si dhe bashkëpunimit të ngushtë të ekipit të AKSHI-t me Microsoft-in, CRSP(Compromise Recovery Security Practice) dhe Modernization and Transformation Team. Partnerët ndërkombëtarë na kanë mundësuar mbështetje dhe investigim të plotë, rezultatet e të cilave, janë tashmë tëhartuara në raporte.

Duhet theksuar seedhe për sa i përket sulmeve të fundit të 9 Shtatorit 2022, ndaj sistemeve dheinfrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit, raporti evidenton se objektiv ka qenënjë infrastrukturë krejt e veçantë (rrjet totalisht i pavarur, Active Directory e pavarur, Exchange – sistemi iemail-it) i palidhur me infrastrukturat AKSHI-t. Sulmet kibernetike të kryera drejt 2 infrastukturave të vecanta, pronë të qeverise shqiptare, të përbashkët kanë vetëm metodologjinë e tij dhe atribuimin e aktorëve kërcënues. Sulmi i datës 15 korrik me atë të 9 shtatorit janë sulme të ndryshme, vektorët e shfrytëzuar dhe kohëzgjatja e tyre janë po ashtu të ndryshëm.

irani sulmon shqiperine investigimi i microsoft microsoft

Sondazh

Poll

Aksidenti me dy viktima në autostradën Tiranë-Durrës, makina mori para bordurat e rrugës

Aksidenti me dy viktima në autostradën Tiranë-Durrës, makina mori para bordurat e rrugës

VIDEO- Shpërthimi me tritol në butikun në Durrës, ja si u dëmtua biznesi i gruas

Berisha dhe demokratët 'zaptojnë' Kuvendin

Me pistoleta dhe kallashnikovë në Range Rover/ Arrestohen 4 "të fortët" në Tiranë

Berisha shton akuzën ndaj Ballës: Te ndjek hija e avokatit Ravik Gurra

VIDEO E SHERRIT/ Berisha akuzon Ballen per vrasjen e avokatit Ravik Gurra

PA KOMENT- Shkodra 'nën ujë', ja si duket qyteti

Protesta kundër traut në Divjakë, një betoniere brenda parkut

EKSKLUZIVE- Lulzim Basha takohet me Ben Blushin ne Panairin e Librit, merr me vete edhe vajzën

Balla: Berishës iu dogjën tre marrëveshje tek Porti i Durrësit, koncensionarët po i kërkojnë lekët

Balla-Spahos: Do shkosh tek Porti i Durrësit me pistoletë si Strazimiri, s'keni zgjidhje tjetër

Ndërtimi i rrugëve/Balla 'shigjeton' Partinë e Lirisë:Mondi bëj kallëzime, kishin ministritë në 2017

Balla 'lëshon' gojën: Saliut i rri mendja tek vëllezërit Kariç, na vjen dhe zor t'i përmendim...

Elisa Spiropali realizon "ëndrrën" e fëmijërisë me Berishën, del LIVE me të, tregon 2 gishta

Perplasje mes banoreve dhe Policise ne Divjake

Berisha 'shënjestron' Ulsi Manjën: Vetëm dy mushka kanë mbetur pa u punësuar në fshatin tënd

Berisha bllokon foltoren dhe del në Facebook: Jam live në gjithë botën, mos ma qani hallin mua!

Berisha: Parlamentin e komandojne grupet kriminale

Dëshmia e Orges Xhelilit para avokatëve: Policët bashkiakë më goditën

ME VIDEO- PLAS KEQ SHERRI në Komision, Braçe e humb kontrollin, "shpërthen": Ik ore pirdhu!

Protesta e opozitës, pamjet nga Bulevadi, mijëra qytetarë të mbledhur

Sherri i plotë i Ramës me dy deputetët e PD: Ta tregoj unë ty, do të shkatërroj!

Balla: Kokoneshi jashtë rrezikut për jetën

Veliaj takon Papa Françeskun: Jemi takuar në Tiranë...e aprovuam ndërtimin e bustit të Nënë Terezës

Droge mes karameleve ne Tirane

Grida Duma lë mandatin, kolegët e saj në lot, Açka dhe Gjekmarkaj të përlotur

Grida Duma lë mandatin e deputetes së Partisë Demokratike

Masakra e Lushnjes, babai i Leart Haxhiut: Djali im është i pafajshëm, se di ku është

Përdhunues serial, MOMENTI i arrestimit të Spartak Dyrmishit

Nga një armë në çdo raft rrobash, çfarë gjeti Policia gjatë aksionit në Shkodër

Dalin PAMJET nga megaaksioni në Korçë

Qeni i prish mitingun Ramës, të gjithë meken, kryeministri: Po lëre në punën e vetë...

Ibrahim Lici mesazh audio nga Turqia: Jetoj i lirë, nuk jam arrestuar

Arrestohet Agim Gjata, qelloi mbi RENEA

Meta: O Edi, o lepurush, do të shporrim me poezinë ‘liri a vdekje’ të Havzi Nelës

Pakti PD PL, Meta: Kryetari i Keshillit super politikan

Paloka 'korrekt' me orarin, takohet me Bardhin në një lokal para parlamentit

Alibeaj-Majkos: Je kokrra e komunistit! Deputeti socialist: Budalla! Dosjet s'mund të hapen për...

Flet avokati i vellezerve Mollaj: Tina genjen, e shantazhojne

Durrësi zgjohet nën ujë

Tetori rozë, vajzat dhe gratë e FA i bashkohen fushatës sensibilizuese kundër kancerit të gjirit

NIS PROTESTA në Elbasan/ Qytetarët fikin makinat në shenjë rebelimi, rreshtohen në shesh

Alibeaj pranoi bashkëpunimin, do nisin negociatat/ Berisha: E mirëpres. S'tërhiqem nga Primaret

Demokrati emocionet për 'doktorin'! I bie telefoni kur po fliste me Berishën,e përplas në tokë

Privatizimi i ish-klubit ‘Partizani’, dëshmon Qirjazi: MM më kërkoi firmën, bëra ç’ishte e ligjshme

Tiranë, bënin kontrabandë me veshje, pije, cigare dhe rroba, 3 të arrestuar në 2 operacione

Me 14 emigrantë në Morinë, arrestohet 19-vjeçari, shpallet në kërkim bashkëpunëtori i tij

Rrumbullaku ngre strukturë për emërimet në polici: Riformatim ekipeve që hetojnë krimin

Me dy kallashnikovë në shtëpi e municion luftarak, arrestohet 31-vjeçari në Dibër

"Porsche", "Maseratti" e 'Mercedes Benz", arrestohet 52-vjeçari që shiste mjetet e vjedhura në BE