Siguria kombëtare në rrezik/ Përfundon investigimi i Microsoft dhe FBI: Sulmi kibernetik në Shqipëri tentativë kriminale për fshirjen e të dhënave

76
Sigal

“Sulmet kibernetike të kryera drejt 2 infrastukturave të veçanta, pronë të qeverisë shqiptare, të përbashkët kanë vetëm metodologjinë e tij dhe atribuimin e aktorëve kërcënues. Sulmi i datës 15 korrik me atë të 9 shtatorit janë sulme të ndryshm., Vektorët e shfrytëzuar dhe kohëzgjatja e tyre janë po ashtu të ndryshëm,”-ky është përfundimi që ka dalë Microsoft DART pas investigimit të bërë për sulmet kibernetike në Shqipëri. Por pas këtij përfundimi a do të mundet SPAK të hetojë kompanitë shqiptare, që kanë përfituar nga fondet miliona euro të dhëna pikërisht për të mundësuar sigurinë kibernetike. Tashmë është e qartë se kush ka pasur akses të veçantë në sisteme dhe ka sjellë edhe sulmin. A do të ketë kurajo SPAK të hetojë personat përgjegjës duke marrë parasysh që tenderat janë fituar nga kompani, të cilët drejtohen nga oligarkë shumë pranë qeverisë. Fondet janë marrë nga oligarkë të lidhur ngushtë me pushtetarët apo edhe persona që kanë qenë drejtues të ministrive të ndryshme.  Raportin e detajuar e ka publikuar në faqen zyrtare Agjencia Kombëtare e Shoqërisë së Informacionit theksohet se sulmet e 15 korrikut nuk lidhen në asnjë formë me sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit. Bëhet fjalë për dy sulme të ndryshme, me zanafilla të ndryshme, ndaj dy infrastrukturave të palidhura me njëra-tjetrën. “Për sa i përket sulmeve të fundit të 9 shtatorit 2022, ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit, duhet theksuar se objektiv ka qenë një infrastrukturë krejt e veçantë (rrjet totalisht i pavarur, Active Directory e pavarur, Exchange – sistemi i email-it) i palidhur meinfrastrukturat AKSHI-t. Rrjedha e ngjarjeve të sulmit të 15 korrikut dhe kohëzgjatja që paraqitet në vijim nuk lidhen në asnjë formë me sulmin e 9 shtatorit ndaj sistemeve dhe infrastrukturave të Drejtorisë së Përgjithshme të Policisë së Shtetit, sikurse sqaruar më lart,”-thuhet në raport. Bazuar në këto investigime, është arritur në konkluzionin se: data 21 maj 2021, është data e parë e infiltrimit të aktorëve keqbërës, duke përdorur vulnerabilite të sistemit administrata.al. Ky sistem i prokuruar me fonde të IPA-s, nuk është implementuar, menaxhuar apo ndjekur nga AKSHI, por vetëm është postuar fizikisht pranë Datacenter-it Qeveritar. Po ashtu, në raportin e “Microsoft”, platformat e sigurisë u sinjalizua për kompromentim të një prej përdoruesve me privilegje të veçanta, por nuk sqarohet se për kë bëhet fjalë dhe kush është ky përdorues. Menjëherë u izolua e u bë “disable” përdoruesi dhe ky incident iu raportua kontaktit të Microsoft-it për AKSHI-n. Raporti tregoi qartë se pavarësisht përpjekjeve dhe sofistikimit të sulmit, qëllimi i keqdashësve për fshirjen e gjithë sistemeve qeveritare dhe të dhënave të tyre nuk është përmbushur. Arritën të preken nga procesi i fshirjes vetëm 10% e sistemeve, të cilat janë rikthyer tërësisht falë politikave të backup-it dhe rikuperimit nga fatkeqësia, brenda javës së parë. E po ashtu, dokumenti saktësoi se pas analizave të kryera mbi metodologjinë e përdorur, pavarësisht mekanizmave të ndryshme, objektiv i sulmeve të të njëjtëve aktorë kanë qenë edhe Izraeli, Jordania, Kuvajti, Arabia Saudite dhe Turqia.

Sulmi kibernetik i 15 korrikut 2022 në Shqipëri. (Pjesë nga raporti)– Kompromentimi i përdoruesit. Platformat e sigurisë u sinjalizua për kompromentim të një prej përdoruesve me privilegje të veçanta. Menjëherë u izolua e u bë “disable” përdoruesi dhe ky incident iu raportua kontaktit të Microsoft-it për AKSHI-n. Në pritje të rekomandimeve nga pika e kontaktit, ekipi i sigurisë së AKSHI-t investigoi mbikompromentimin e kryer. Të gjithë loget dhe evidencat të cilat ishin pjesë e kompromentimit iu raportuan pikës së kontaktit. AKSHI, bazuar tek incidenti i ndodhur kërkoi eskalimin e situatës pas aktivitetit keqdashës.- Incidenti u eskalua, duke krijuar “Security Case” në portalin e incidenteve kibernetike të Microsoft. “Security Case” si argument evidentoi: Kompromentimin e përdoruesit me privilegje të veçanta ▪ webshells të detektuar në serverët Exchange. Ekipi i sigurisë së AKSHI-t pas kontaktit me inxhinieret e Microsoft për “Security Case”, duke zbatuar rekomandimet e tyre përgatiti loget dhe ia dërgoi për hetim ekipit të kundërpërgjigjes, për incidente kibernetike (CERT) të Microsoft. – Më 15/07/2022Në orën 13:00 u identifikua nga platformat e sigurisë fillimi i shpërndarjes së një sulmi Ransomware në rrjet, i cili preku një pjesë të përdoruesve fundore në institucione. Menjëherë pas identifikimit të këtij sulminisën bllokimet, në mënyrë që të mos përhapej me tutje dhe u hap gjithashtu një çështje me ekspertët e Microsoft në nivelin “Crisis Case” (niveli më i lartë i eskalimit të incidenteve kibernetike). – Më 15/07/2022 – Aktivizim i opsioneve ekstra të sigurisë, pas sulmi 23:30. Pas komunikimit të vazhdueshëm nga ekipi i sigurisë, për sulmin e kryer me inxhinierët e ekipit tëkundërpërgjigjes për incidentet kibernetike, u rekomandua nga ata aktivizimi i opsionit ekstra në raste sulmesh kibernetike. – 16/07/2022 – wiper Attack