Un destacado grupo de ciberseguridad ha investigado las operaciones contra sitios web gubernamentales en Irán y ha llegado a la conclusión de que, debido a la estructura de la Internet iraní y a su separación de la Internet mundial, las operaciones contra sitios web gubernamentales, incluidos los pertenecientes a la Radio y Televisión estatales el 27 de enero de 2022, el Ministerio de Asuntos Exteriores el 7 de mayo de 2023 y la oficina del presidente el 29 de mayo de 2023, se llevaron a cabo por infiltración y no pudieron ser el resultado de una penetración desde fuera de Irán.
En los últimos años, el grupo de ciberseguridad Treadstone71 ha publicado varios informes sobre el gobierno iraní y sus ciberataques y se ha convertido en una autoridad en este campo.
El informe Treadstone71 subraya que lo más probable es que los principales ataques a los sitios del gobierno iraní se llevaran a cabo mediante penetraciones desde dentro de Irán, en particular por personas internas que tenían acceso a estos sistemas.
Decenas de los sitios web más importantes del gobierno iraní, así como los sistemas en línea del Ayuntamiento de Teherán y de las cadenas nacionales de radio y televisión, han sido objeto de ataques masivos desde enero de 2022.
El grupo “Gyamsarnegouni” (“Levantamiento hasta el derrocamiento”) ha asumido la responsabilidad de los principales ataques y ha divulgado amplios documentos internos del gobierno iraní en su cuenta de Telegram. El grupo ha desfigurado las páginas de inicio de varios sitios web, publicando imágenes tachadas del líder supremo, Alí Jamenei, y colocando las fotos de líderes de la oposición iraní.
En 2022, las estructuras y servicios de Internet del gobierno de Albania fueron blanco de un ciberataque masivo que causó numerosos problemas. Una amplia investigación de Microsoft y otras empresas apuntó a Teherán.
Según la evaluación de Treadstone71, “Irán tiene un largo historial de participación en ataques de ciberseguridad y, según algunas estadísticas, ocupa el quinto lugar entre las naciones conocidas por atacar a sus adversarios a través de la guerra cibernética.”
“Como medida de seguridad”, señala Treadstone71 en su informe, “Irán decidió trasladar sus sitios web gubernamentales de servidores de alojamiento europeos a empresas de alojamiento nacionales, como parte de su ‘Internet Nacional'”, y como resultado, “Todos los sitios web gubernamentales y controlados por el Estado fueron trasladados de servidores de alojamiento europeos y estadounidenses a hosts nacionales”, y “el acceso a determinados sitios web gubernamentales y controlados por el Estado quedó restringido a la ‘Internet Nacional’, haciéndolos inaccesibles a través de la Internet global.”
El informe de Treadstone71 subraya que “también fuimos testigos de otro tipo de ataques, distintos de los que infiltran sitios web gubernamentales en servicios de alojamiento iraníes vulnerables: los realizados por Gyamsarnegouni (“Levantamiento hasta el derrocamiento”). Los ataques realizados por este grupo fueron de las infiltraciones más profundas contra las redes del gobierno iraní”.
señala el informe:
Estos ataques destacaron por tres características clave:
1. El alcance de la infiltración en las redes gubernamentales más seguras, sólo comparable al ataque Stuxnet (que utilizó una unidad flash).
2. El volumen de documentos exfiltrados.
3. 3. El acceso generalizado a servidores y ordenadores.
El informe Treadstone71 subraya que las redes estatales de radio y televisión, especialmente en países no democráticos como Irán, “se encuentran entre las redes más aisladas y protegidas”. Dice además: “La red de radiodifusión interna de Irán no está conectada a Internet y está severamente aislada, lo que significa que está físicamente aislada de Internet y sólo se puede acceder a ella desde dentro… La única manera de que una persona ajena acceda a la red sería a través de la infiltración física”.
En enero de 2022, los medios de comunicación iraníes señalaron que las instituciones gubernamentales creen que este ataque fue llevado a cabo por individuos que disponían de información privilegiada sobre los sistemas estatales iraníes de radio y televisión.
El ataque a las páginas web del Ayuntamiento de Teherán del 2 de junio de 2022 incluyó la irrupción en 5.000 cámaras empleadas para el control del tráfico y el reconocimiento facial. Según Treadstone71, los hackers “sabrían que las cámaras no estaban conectadas a Internet y que necesitarían acceder físicamente a ellas para piratearlas.”
Pero los hallazgos más sorprendentes de Treadstone71 están relacionados con los dos ataques de Gyamsarnegouni en mayo de 2023, que llamaron la atención.
Durante el ataque al sitio web del Ministerio de Asuntos Exteriores iraní, los piratas informáticos accedieron a 50 terabytes de datos de los archivos del Ministerio. La evaluación de Treadstone71 es que para ello fue necesario “penetrar en las capas más internas de este organismo gubernamental”. La naturaleza de los documentos filtrados indica que tales documentos serían inaccesibles desde Internet, lo que apoya aún más las sospechas de implicación de información privilegiada”.
La evaluación de los expertos de Treadstone71 concluyó que “la transferencia de 50 TB de datos no sería posible de forma remota -y en una red filtrada como la de Irán”, y añadió que el gran tamaño del hackeo también es revelador sobre cómo se llevó a cabo.
“La velocidad normal de descarga de Internet en Irán es de 11,8 megabits por segundo. Para descargar 50 terabytes de datos del Ministerio de Asuntos Exteriores de Irán a esta velocidad se necesitarían más de 392 días o más de un año de tiempo de descarga ininterrumpido, y la Internet de Irán sufre caídas frecuentes, es estrangulada por el gobierno y experimenta apagones regulares inducidos por el gobierno”, afirmaba el informe.
“Basándonos en estas cifras, es muy probable que un ataque de este tipo se produjera desde el acceso directo a los datos”.
En relación con el ataque al sitio web de la oficina presidencial, los piratas informáticos vulneraron los sistemas de comunicación más seguros del gobierno y obtuvieron decenas de miles de documentos que no tenían más de unos meses de antigüedad.
Según un experto iraní, este sitio “utilizaba una dirección IP dedicada que era impenetrable”.
“El hecho de que los piratas informáticos obtuvieran acceso a decenas de miles de documentos que no tenían más de unos meses de antigüedad también sugiere que el ataque lo llevaron a cabo personas internas. Estos documentos se habrían almacenado en ordenadores con acceso limitado a Internet, y habría sido difícil para una persona ajena acceder a ellos”, declaró Treadstone71.
El informe concluía diciendo: “El gobierno iraní atribuyó inicialmente la culpa a adversarios extranjeros. Sin embargo, los expertos en ciberseguridad y las pruebas cada vez más numerosas sugieren una implicación interna.”
