Ένας παράγοντας απειλής που εργάζεται για την προώθηση των ιρανικών στόχων λέγεται ότι βρισκόταν πίσω από μια σειρά καταστροφικών κυβερνοεπιθέσεων εναντίον αλβανικών κυβερνητικών υπηρεσιών στα μέσα Ιουλίου 2022.

Η εταιρεία κυβερνοασφάλειας Mandiant είπε ότι η κακόβουλη δραστηριότητα εναντίον ενός κράτους του ΝΑΤΟ αντιπροσωπεύεται μια «γεωγραφική επέκταση των ιρανικών διασπαστικών επιχειρήσεων στον κυβερνοχώρο».

Οι επιθέσεις της 17ης Ιουλίου, σύμφωνα με την Εθνική Υπηρεσία Κοινωνίας της Πληροφορίας της Αλβανίας, ανάγκασαν την κυβέρνηση να “κλείσει προσωρινά την πρόσβαση σε διαδικτυακές δημόσιες υπηρεσίες και άλλους κυβερνητικούς ιστότοπους” εξαιτίας μιας “συγχρονισμένης και εξελιγμένης κυβερνοεγκληματικής επίθεσης εκτός Αλβανίας”.

Η αποτρεπτική επιχείρηση με πολιτικά κίνητρα, ανά Mandiant, συνεπαγόταν την ανάπτυξη μιας νέας οικογένειας ransomware που ονομάζεται ROADSWEEP που περιελάμβανε ένα σημείωμα λύτρων με το κείμενο: “Γιατί να δαπανηθούν οι φόροι μας προς όφελος των τρομοκρατών του Δυρραχίου;” 

Ένα μέτωπο με το όνομα HomeLand Justice ανέλαβε έκτοτε την ευθύνη για την επίθεση στον κυβερνοχώρο, με την ομάδα να ισχυρίζεται επίσης ότι χρησιμοποίησε κακόβουλο λογισμικό υαλοκαθαριστήρα στις επιθέσεις. Αν και η ακριβής φύση του υαλοκαθαριστήρα είναι άγνωστη, ο Mandiant είπε ότι ένας Αλβανός χρήστης υπέβαλε ένα δείγμα για αυτό που ονομάζεται ZeroCleare στις 19 Ιουλίου, που συμπίπτει με τις επιθέσεις, σε ένα δημόσιο αποθετήριο κακόβουλου λογισμικού.

Το ZeroCleare, που τεκμηριώθηκε από την IBM τον Δεκέμβριο του 2019 ως μέρος μιας καμπάνιας που στοχεύει τους βιομηχανικούς και ενεργειακούς τομείς στη Μέση Ανατολή, έχει σχεδιαστεί για να σκουπίζει την κύρια εγγραφή εκκίνησης (MBR) και τα διαμερίσματα δίσκων σε μηχανήματα που βασίζονται σε Windows. Πιστεύεται ότι είναι μια συλλογική προσπάθεια μεταξύ διαφορετικών ιρανικών εθνικών φορέων, συμπεριλαμβανομένου του OilRig (γνωστός και ως APT34, ITG13 ή Helix Kitten).

Επίσης, στις αλβανικές επιθέσεις αναπτύχθηκε μια άγνωστη μέχρι τώρα κερκόπορτα με την ονομασία CHIMNEYSWEEP που είναι ικανή να τραβήξει στιγμιότυπα οθόνης, να καταχωρίσει και να συλλέξει αρχεία, να δημιουργήσει ένα αντίστροφο κέλυφος και να υποστηρίζει τη λειτουργία καταγραφής πληκτρολογίων.

 Το εμφύτευμα, εκτός από το ότι μοιράζεται πολυάριθμες επικαλύψεις κώδικα με το ROADSWEEP, παραδίδεται στο σύστημα μέσω ενός αυτοεξαγόμενου αρχείου μαζί με τα παραπλανητικά έγγραφα του Microsoft Word που περιέχουν εικόνες του Massoud Rajavi, του πρώην ηγέτη της Οργάνωσης People’s Mojahedin of Iran (MEK).

Οι πρώτες επαναλήψεις του CHIMNEYSWEEP χρονολογούνται από το 2012 και υπάρχουν ενδείξεις ότι το κακόβουλο λογισμικό μπορεί να έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν σε Φαρσί και Αραβικά ομιλητές.

Η εταιρεία κυβερνοασφάλειας, η οποία εξαγοράστηκε από την Google νωρίτερα αυτό το έτος, είπε ότι δεν είχε αρκετά στοιχεία που να συνδέουν τις εισβολές με μια επώνυμη αντίπαλη ομάδα, αλλά σημείωσε με μέτρια εμπιστοσύνη ότι εμπλέκονται ένας ή περισσότεροι κακοί παράγοντες που υποστηρίζουν τους στόχους του Ιράν. 

Οι διασυνδέσεις με το Ιράν προέρχονται από το γεγονός ότι οι επιθέσεις πραγματοποιήθηκαν λιγότερο από μια εβδομάδα πριν από τη διάσκεψη της Παγκόσμιας Συνόδου Κορυφής του Ελεύθερου Ιράν στις 23-24 Ιουλίου κοντά στο λιμάνι του Δυρραχίου από οντότητες που αντιτίθενται στην ιρανική κυβέρνηση, ιδιαίτερα τα μέλη της ΜΕΚ .

«Η χρήση ransomware για τη διεξαγωγή μιας επιχείρησης αναστάτωσης με πολιτικά κίνητρα εναντίον των κυβερνητικών ιστοσελίδων και των υπηρεσιών πολιτών ενός κράτους μέλους του ΝΑΤΟ την ίδια εβδομάδα που επρόκειτο να πραγματοποιηθεί μια διάσκεψη ιρανικών ομάδων αντιπολίτευσης θα ήταν μια ιδιαίτερα θρασύτατη επιχείρηση από την απειλή του Iran-nexus ηθοποιοί», είπαν οι ερευνητές.

Τα ευρήματα έρχονται επίσης δύο μήνες αφότου η ιρανική ομάδα προηγμένης επίμονης απειλής (APT) που εντοπίστηκε ως Charming Kitten (γνωστός και ως Phosphorus) συνδέθηκε με μια επίθεση που στρέφεται εναντίον μιας ανώνυμης κατασκευαστικής εταιρείας στις νότιες ΗΠΑ.