Grŵp Seiberddiogelwch: Gweithredwyd Gweithrediadau sy'n Targedu Safleoedd Llywodraeth Iran yn Fewnol Yn Iran

Mae grŵp seiberddiogelwch amlwg wedi ymchwilio i weithrediadau yn erbyn gwefannau’r llywodraeth yn Iran ac wedi dod i’r casgliad, oherwydd strwythur Rhyngrwyd Iran a’i wahaniad oddi wrth y Rhyngrwyd byd-eang, gweithrediadau yn erbyn gwefannau’r llywodraeth, gan gynnwys y rhai sy’n perthyn i Radio a Theledu y wladwriaeth ar Ionawr 27, 2022, cynhaliwyd y Weinyddiaeth Materion Tramor ar Fai 7, 2023, a swyddfa'r arlywydd ar Fai 29, 2023 trwy ymdreiddiad ac ni allent fod wedi bod yn ganlyniad treiddiad o'r tu allan i Iran.

Yn ystod y blynyddoedd diwethaf, mae grŵp seiberddiogelwch Treadstone71 wedi cyhoeddi sawl adroddiad ar lywodraeth Iran a’i seiber-ymosodiadau ac wedi esblygu fel awdurdod yn y maes hwn.

Mae adroddiad Treadstone71 yn tanlinellu bod ymosodiadau mawr ar safleoedd llywodraeth Iran yn fwyaf tebygol o gael eu cyflawni gan dreiddiadau o'r tu mewn i Iran, yn enwedig gan fewnwyr a oedd â mynediad i'r systemau hyn.

Mae ugeiniau o wefannau pwysicaf llywodraeth Iran, yn ogystal â systemau ar-lein Dinesig Tehran a rhwydweithiau radio a theledu cenedlaethol, wedi bod yn destun ymosodiadau enfawr ers mis Ionawr 2022.

Mae'r grŵp "Gyamsarnegouni ("Gwrthryfel hyd ddymchwel") wedi cymryd cyfrifoldeb am y prif ymosodiadau ac wedi datgelu dogfennau mewnol helaeth llywodraeth Iran ar ei gyfrif Telegram. Mae’r grŵp wedi difwyno tudalennau cartref nifer o wefannau, gan bostio delweddau wedi’u croesi allan o’r Goruchaf Arweinydd Ali Khamenei, a gosod lluniau arweinwyr gwrthbleidiau Iran.

Yn 2022, targedwyd strwythurau a gwasanaethau rhyngrwyd llywodraeth Albania gan ymosodiad seibr enfawr, a achosodd lawer o broblemau. Pwyntiodd ymchwiliad helaeth gan Microsoft ac eraill y bys at Tehran.

Yn ôl asesiad Treadstone71, “Mae gan Iran hanes hir o gymryd rhan mewn ymosodiadau seiberddiogelwch, ac yn ôl rhai ystadegau, mae’n bumed ymhlith cenhedloedd sy’n adnabyddus am dargedu eu gwrthwynebwyr trwy seiber-ryfela.”

hysbyseb

“Fel rhagofal diogelwch,” mae Treadstone71 yn nodi yn ei adroddiad, “penderfynodd Iran symud ei gwefannau llywodraeth o weinyddion cynnal Ewropeaidd i gwmnïau cynnal domestig, fel rhan o’i ‘Rhyngrwyd Genedlaethol’,” ac o ganlyniad, “Holl lywodraeth a gwladwriaeth - cafodd gwefannau a reolir eu hadleoli o weinyddion cynnal Ewropeaidd ac America i westeion domestig,” a “cyfyngwyd mynediad i wefannau dethol a reolir gan y llywodraeth a’r wladwriaeth i’r ‘Rhyngrwyd Genedlaethol’, gan eu gwneud yn anhygyrch trwy’r rhyngrwyd byd-eang.”

Tanlinellodd adroddiad Treadstone71, “fe wnaethom hefyd weld gwahanol fath o ymosodiad, ar wahân i'r rhai a oedd yn treiddio i wefannau'r llywodraeth ar wasanaethau cynnal Iranaidd bregus; y rhai a wnaed gan Gyamsarnegouni ("Uprising till Overthrow"). Roedd ymosodiadau gan y grŵp hwn ymhlith yr ymdreiddiadau dyfnaf yn erbyn rhwydweithiau llywodraeth Iran.”

Mae'r adroddiad yn nodi:

Roedd yr ymosodiadau hyn yn amlwg oherwydd tair nodwedd allweddol:

1. Maint yr ymdreiddiad i mewn i rwydweithiau mwyaf diogel y llywodraeth, dim ond tebyg i ymosodiad Stuxnet (a ddefnyddiodd yriant fflach).

2. Nifer y dogfennau all-hidlo.

3. Y mynediad eang i weinyddion a chyfrifiaduron.

Mae adroddiad Treadstone71 yn tanlinellu bod rhwydweithiau radio a theledu gwladwriaethol, yn enwedig mewn gwledydd annemocrataidd fel Iran, “ymhlith y rhwydweithiau mwyaf ynysig a mwyaf gwarchodedig.” Mae'n dweud ymhellach: “Nid yw rhwydwaith darlledu mewnol Iran wedi'i gysylltu â'r Rhyngrwyd ac mae ganddo fylchau aer difrifol; sy'n golygu ei fod wedi'i ynysu'n gorfforol o'r rhyngrwyd a dim ond o'r tu mewn y gellir ei gyrchu ... Yr unig ffordd i rywun o'r tu allan gael mynediad i'r rhwydwaith fyddai trwy ymdreiddiad corfforol”

Ym mis Ionawr 2022, tynnodd cyfryngau newyddion Iran sylw at y ffaith bod sefydliadau'r llywodraeth yn credu bod yr ymosodiad hwn wedi'i gyflawni gan unigolion a oedd â gwybodaeth fewnol am systemau radio a theledu talaith Iran.

Roedd yr ymosodiad ar wefannau Tehran Municipality ar Fehefin 2, 2022 yn cynnwys torri i mewn i 5,000 o gamerâu a ddefnyddir ar gyfer rheoli traffig ac adnabod wynebau. Yn ôl Treadstone71, byddai’r hacwyr “wedi gwybod nad oedd y camerâu wedi’u cysylltu â’r Rhyngrwyd ac y byddai angen iddynt gael mynediad corfforol i’r camerâu i’w hacio.”

Ond mae canfyddiadau mwyaf syfrdanol Treadstone71 yn gysylltiedig â'r ddau ymosodiad proffil uchel sy'n tynnu sylw gan Gyamsarnegouni ym mis Mai 2023.

Yn ystod yr ymosodiad ar wefan Gweinyddiaeth Materion Tramor Iran, cafodd hacwyr fynediad at 50 terabytes o ddata o archifau'r Weinyddiaeth. Asesiad Treadstone71 yw bod hyn yn gofyn am "dreiddiad i haenau mwyaf mewnol y corff llywodraethol hwn. Mae natur y dogfennau a ddatgelwyd yn dangos na fyddai modd cael gafael ar ddogfennau o'r fath o'r rhyngrwyd, gan gefnogi ymhellach amheuon o gyfranogiad mewnol."

Daeth asesiad arbenigol Treadstone71 i’r casgliad “na fyddai trosglwyddo data 50 TB yn bosibl o bell – ac ar rwydwaith wedi’i hidlo fel un Iran,” ac ychwanegodd fod maint yr hac hefyd yn datgelu sut y cafodd ei wneud.

“Cyflymder lawrlwytho Rhyngrwyd arferol Iran yw 11.8 megabit yr eiliad. Byddai lawrlwytho 50 terabytes o ddata gan Weinyddiaeth Materion Tramor Iran ar y cyflymder hwn yn cymryd dros 392 o ddiwrnodau neu dros flwyddyn o amser lawrlwytho di-dor, ac mae Rhyngrwyd Iran yn gostwng yn aml, yn cael ei chyffroi gan y llywodraeth, ac yn profi blacowts rheolaidd a achosir gan y llywodraeth, ” dywed yr adroddiad.

“Yn seiliedig ar y niferoedd hyn, mae ymosodiad o’r fath yn debygol iawn o ddigwydd o fynediad uniongyrchol i’r data.”

Mewn perthynas â'r ymosodiad ar wefan y swyddfa arlywyddol, fe wnaeth yr hacwyr dorri systemau cyfathrebu mwyaf diogel y llywodraeth a chael degau o filoedd o ddogfennau nad oeddent yn fwy nag ychydig fisoedd oed.

Yn ôl arbenigwr o Iran, defnyddiodd y wefan hon “gyfeiriad IP pwrpasol a oedd yn anhreiddiadwy.”

"Mae'r ffaith bod yr hacwyr wedi cael mynediad i ddegau o filoedd o ddogfennau heb fod yn fwy nag ychydig fisoedd oed hefyd yn awgrymu bod pobl fewnol wedi cynnal yr ymosodiad. Byddai'r dogfennau hyn wedi'u storio ar gyfrifiaduron â mynediad cyfyngedig i'r Rhyngrwyd, a byddai wedi bod yn anodd. i rywun o'r tu allan gael mynediad atynt," dywedodd Treadstone71.

Daeth yr adroddiad i ben trwy ddweud: “I ddechrau, priodolodd llywodraeth Iran y bai i wrthwynebwyr tramor. Fodd bynnag, mae arbenigwyr seiberddiogelwch a thystiolaeth gynyddol yn awgrymu cyfranogiad mewnol.”

Rhannwch yr erthygl hon: