Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το FBI δήλωσαν την Τετάρτη ότι hackers που συνδέονται με τον στρατό του Ιράν πέρασαν 14 μήνες μέσα στα δίκτυα της Αλβανικής κυβέρνησης πριν εξαπολύσουν μια επίθεση ransomware που προκάλεσε εκτεταμένη ζημιά τον Ιούλιο.
Το FBI δεν διευκρίνισε ποια ιρανική hacking ομάδα βρισκόταν πίσω από το περιστατικό, αλλά εξήγησε ότι κατά την έρευνά τους, ανακάλυψαν ότι οι hacker εκμεταλλεύονταν ένα κενό ασφαλείας στο Microsoft SharePoint που κυκλοφορεί στο Διαδίκτυο μέσω του CVE-2019-0604.
Οι υπηρεσίες κυβερνοασφάλειας ταξινόμησαν το CVE-2019-0604 σαν ένα από τα σφάλματα που προκάλεσε την παραβίαση κατά τη διάρκεια του 2020. Το ίδιο σφάλμα χρησιμοποιούν κυβερνητικοί hackers, αλλά και συμμορίες ransomware.
Σύμφωνα με την προειδοποίηση, οι hacker μπόρεσαν να διατηρήσουν συνεχή πρόσβαση στο δίκτυο για περισσότερο από ένα χρόνο, κλέβοντας συχνά email καθ' όλη τη διάρκεια του 2021. Μέχρι τον Μάιο του 2022, οι hacker άρχισαν να κινούνται πλευρικά και να εξετάζουν το δίκτυο, πραγματοποιώντας ευρύτερη κλοπή διαπιστευτηρίων από τα δίκτυα της Αλβανικής κυβέρνησης.
Το FBI επιβεβαίωσε αναφορές από το Reuters και άλλους ερευνητές για το ότι οι επιθέσεις έγιναν λόγω της εμπλοκής της Αλβανίας με τους Mujahideen-e Khalq, γνωστούς ως MEK.
Η Αλβανία επέτρεψε σε περίπου 3.000 μέλη της ομάδας να εγκατασταθούν κοντά στο Δυρράχιο, το κύριο λιμάνι της χώρας.
Οι υπηρεσίες ανέφεραν ότι τον Ιούλιο του 2022, οι hacker “έσπρωξαν ένα ransomware στα δίκτυα, αφήνοντας ένα μήνυμα κατά των Μουτζαχεντίν E-Khalq (MEK) στους επιτραπέζιους υπολογιστές τους”.
