Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet ndaj sistemeve qeveritare. Menjëherë pasi hakerat u konstatuan në sistem, ekipi i Microsoft u angazhua për rikthimin e serverave dh zmbrapsjen e sulmit. Microsoft vlerëson me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin ekfiltruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion. Më poshtë, Newsbomb.al sjell disa pjesë thelbësore nga hetimi i Microsoft për sulmin kibernetik në Shqipëri. Ndërkohë, në fund të artikullit është i përkthyer i gjithë hetimi, i shoqëruar me shpjegimet autentike të kompanisë amerikane, për serverat, kodet hakeruese dhe gjuhen e përdorur prej tyre. Ka pasur disa faza të identifikuara në këtë fushatë:

• Ndërhyrja fillestare
• Eksfiltrimi i të dhënave
• Kriptimi dhe shkatërrimi i të dhënave
• Operacionet e informacionit

Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm - me aktorë të ndryshëm përgjegjës për faza të ndryshme:

• DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
• DEV-0861 fitoi akses fillestar dhe nxori të dhëna
• DEV-0166 të dhënat e filtruara
• DEV-0133 infrastruktura e hetuar e viktimave

Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit. Ndërhyrja dhe eksfiltrimi Një grup që ne vlerësojmë se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një viktime të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022. Ransomware dhe fshirëse Sulmi kibernetik ndaj qeverisë shqiptare përdori një taktikë të përbashkët të aktorëve të sponsorizuar nga shteti iranian duke vendosur fillimisht ransomware, e ndjekur nga vendosja e malware-it të fshirësit. Fshirësi dhe ransomware kishin të dy lidhje frozenike me shtetin iranian dhe grupet e lidhura me Iranin. Fshirësi që DEV-0842 vendosi në këtë sulm përdori të njëjtin çelës licence dhe drejtues EldoS RawDisk si ZeroCleare, një fshirëse që aktorët shtetërorë iranianë përdorën në një sulm ndaj një kompanie energjie në Lindjen e Mesme në mesin e 2019. Në atë rast, IBM X-Force vlerësoi se aktorët e lidhur me EUROPIUM fituan akses fillestar gati një vit përpara sulmit me fshirëse. Sulmi me fshirëse u krye më pas nga një aktor i veçantë dhe i panjohur iranian. Kjo është e ngjashme me zinxhirin e ngjarjeve që Microsoft zbuloi kundër qeverisë shqiptare. Indikacione shtesë për sponsorizimin shtetëror iranian Mesazhet, koha dhe përzgjedhja e objektivave të sulmeve kibernetike forcuan besimin tonë se sulmuesit po vepronin në emër të qeverisë iraniane. Mesazhet dhe përzgjedhja e objektivit tregojnë se Teherani ka të ngjarë të përdorë sulmet si hakmarrje për sulmet kibernetike që Irani percepton se janë kryer nga Izraeli dhe Mujahedin-e Khalq (MEK) , një grup disident iranian me bazë kryesisht në Shqipëri që kërkon të përmbysë Republikën Islamike të Iranit. Mesazhimi Logoja e sulmuesit është një shqiponjë që pre në simbolin e grupit haker "Predatory Sparrow" brenda Yllit të Davidit (Figura 4). Kjo sinjalizon se sulmi ndaj Shqipërisë ishte hakmarrje për operacionet e Predatory Sparrow kundër Iranit , të cilat Teherani e percepton se përfshin Izraelin. Predatory Sparrow ka marrë përgjegjësinë për disa sulme kibernetike të profilit të lartë dhe shumë të sofistikuar kundër subjekteve të lidhura me Iraninqë nga korriku 2021. Kjo përfshinte një sulm kibernetik që ndërpreu programet televizive të Transmetimit të Republikës Islamike të Iranit (IRIB) me imazhe që përshëndesin udhëheqësit e MEK në fund të janarit. Predatory Sparrow paralajmëroi për sulmin disa orë përpara kohe dhe pretendoi se ata e mbështetën dhe paguanin për të, duke treguar se të tjerët ishin të përfshirë. Zyrtarët iranianë fajësuan MEK për këtë sulm kibernetik dhe gjithashtu fajësuan MEK dhe Izraelin për një sulm kibernetik që përdori të njëjtat imazhe dhe mesazhe kundër bashkisë së Teheranit në qershor . Mesazhi në imazhin e shpërblesës tregon se MEK, një kundërshtar i gjatë i regjimit iranian, ishte objektivi kryesor pas sulmit të tyre ndaj qeverisë shqiptare. Imazhi i shpërblesës, si disa postime të Drejtësisë së Atdheut, grupi që shtynte haptazi mesazhe dhe nxirrte të dhëna të lidhura me sulmin, pyeti "pse duhet të shpenzohen taksat tona për terroristët e Durrësit". Kjo është një referencë për MEK-un, të cilin Teherani i konsideron terroristë , të cilët kanë një kamp të madh refugjatësh në qarkun e Durrësit në Shqipëri. [caption id="attachment_622019" align="alignnone" width="960"] Imazhi i Ransomware dhe baneri i Drejtësisë së Atdheut (Homland Justice)[/caption] Operacionet paralele të informacionit dhe amplifikimi Përpara dhe pas nisjes së fushatës së mesazheve “Atland Justice”, llogaritë e personave të mediave sociale dhe një grup shtetasish iranianë dhe shqiptarë të jetës reale të njohur për pikëpamjet e tyre pro Iranit, anti-MEK, promovuan pikat e përgjithshme të bisedës së fushatës dhe përforcuan rrjedhjet e publikuara nga llogaritë e Drejtësisë së Atdheut në internet. Promovimi paralel i fushatës “Drejtësia e Atdheut” dhe temave të saj qendrore nga këto subjekte në hapësirën online – para dhe pas sulmit kibernetik – sugjeron një operacion informacioni me bazë të gjerë që synon të përforcojë ndikimin e sulmit. Përpara sulmit kibernetik, më 6 qershor, Ebrahim Khodabandeh, një ish-anëtar i pakënaqur i MEK-ut postoi një letër të hapur drejtuar kryeministrit shqiptar Edi Rama duke paralajmëruar pasojat e përshkallëzimit të tensioneve me Iranin. Duke thirrur "pushimin e sistemeve komunale të Teheranit" dhe " stacionet e benzinës ", Khodabandeh pretendoi se MEK ishte burimi i "akteve sabotuese kundër interesave të popullit iranian [sic]" dhe argumentoi se këto përbënin "punën armiqësore të qeverinë tuaj” dhe ka shkaktuar “armiqësi të dukshme me kombin iranian [sic]”. Katër ditë më vonë, më 10 qershor, Khodabandeh dhe Shoqëria Nejat, një OJQ anti-MEK që ai drejton, pritën një grup shtetasish shqiptarë në Iran. Grupi përfshinte anëtarë të një organizate tjetër anti-MEK të quajtur Shoqata për Mbështetjen e Iranianëve që jetojnë në Shqipëri (ASILA) – Gjergji Thanasi, Dashamir Mersuli dhe Vladimir Veis. Duke pasur parasysh natyrën shumë politike të punës së ASILA-s për çështje që lidhen me një grup që Teherani e konsideron organizatë terroriste (MEK), ka shumë mundësi që kjo vizitë të jetë kryer me sanksion nga shteti. Pas kthimit të tyre nga Irani, më 12 korrik, Shoqëria Nejat tha se policia shqiptare bastisi zyrat e tyre dhe arrestoi disa anëtarë të ASILA-s. Ndërsa Shoqëria Nejat tha se ky bastisje ishte rezultat i "akuzave të rreme dhe të pabaza", sipas mediave lokale.bastisja erdhi nga lidhjet e mundshme me shërbimet e inteligjencës iraniane. [caption id="attachment_622020" align="alignnone" width="800"] Anëtarët e ASILA-s në Iran në qershor 2022. Në foto, nga e majta, janë Gjergji Thanasi, Ebrahim Khodabandeh, Dashamir Mersuli dhe Vladimir Veis.[/caption] Në vazhdën e sulmit kibernetik, më 23 korrik, Thanasi dhe Olsi Jazexhi, një tjetër shtetas shqiptar që shfaqet shpesh në median e sponsorizuar nga shteti iranian PressTV duke përkrahur pozicione anti-MEK, kanë shkruar një letër të dytë të hapur drejtuar presidentit të atëhershëm shqiptar Ilir Meta. publikuar edhe në faqen e internetit të Shoqërisë Nejat. Kjo letër i bënte jehonë pretendimit qendror të Drejtësisë së Atdheut – domethënë se vazhdimi i Shqipërisë për të pritur MEK-un përbënte një rrezik për popullin shqiptar. Jazexhi dhe Thanasi i bënë thirrje Metës që të mbledhë Këshillin e Sigurisë Kombëtare të Shqipërisë për të “shqyrtuar nëse Shqipëria ka hyrë në një konflikt kibernetik dhe ushtarak me Republikën Islamike të Iranit”. Në maj të vitit 2021, afërsisht në të njëjtën kohë kur aktorët iranianë filluan ndërhyrjen e tyre në sistemet e viktimave të qeverisë shqiptare, llogari për dy persona të mediave sociale anti-MEK , të cilat duket se nuk korrespondojnë me njerëz të vërtetë, u krijuan në Facebook dhe Twitter. Llogaritë kryesisht postojnë përmbajtje anti-MEK dhe angazhohen me llogaritë e mediave sociale të disa prej individëve të detajuar më lart. Këto dy llogari së bashku me një llogari të tretë, më të vjetër, ishin ndër të parat që promovuan postime nga llogaritë e Drejtësisë së Atdheut në Twitter dhe të treja rritën në mënyrë dramatike shkallën e postimeve anti-MEK pasi sulmi kibernetik i mesit të korrikut 2022 u bë publik.

Microsoft Investigates Iranian Attacks Against the Albanian Government by Newsbomb Albania on Scribd

Ekzistojnë disa prova shtesë që roli i këtyre personave shtrihej përtej amplifikimit të thjeshtë të mediave sociale dhe në prodhimin e përmbajtjes. Një nga personat që postonte në mënyrë të përsëritur përmbajtjen e Drejtësisë së Atdheut kishte shkruar më parë për American Herald Tribune të lidhur me IRGC- në tashmë të zhdukur dhe faqe të tjera lajmesh, shpesh në terma negativë për MEK-un. Ndërkohë, një llogari e dytë e personazhit mund të ketë tentuar të kontaktojë të paktën një gazetë shqiptare përpara hakimit, duke kërkuar "bashkëpunim" dhe aftësinë për të botuar me median. Promovimi paralel i fushatës "Drejtësia në Atdhe" dhe temave të saj qendrore nga këta individë dhe persona në internet, si para ashtu edhe pas sulmit kibernetik, i shton një dimension njerëzor imponues përpjekjes më të gjerë të ndikimit të Drejtësisë së Atdheut. Ndërkohë që nuk ka pasur marrëdhënie të drejtpërdrejta të vëzhguara midis aktorëve të kërcënimit përgjegjës për sulmin shkatërrues dhe këtyre aktorëve të mesazheve, veprimet e tyre ngrenë pyetje të denja për shqyrtim të mëtejshëm. Lexoni artikullin origjinal: Microsoft investigates Iranian attacks against the Albanian government