Një raport i kompanisë “Microsoft”, e cila u thirr nga qeveria shqiptare për të ndihmuar në zbrapsjen dhe investigimin e sulmit kibernetik ndaj Shqipërisë në korrik të këtij viti, thotë se arriti të gjurmojë 4 grupe sulmuesish të lidhur me shërbimet inteligjente të Iranit.
Raporti përshkruan me detaje infiltrimin në një server të pambrojtur të faqes administrata.al në maj 2021 dhe më pas përshkallëzimin e sulmit deri në korrik 2022, kur sulmuesit tentuan të fshijnë të dhënat në server.
“Microsofti arriti të provojë me siguri të lartë se një sërë grupesh iraniane u përfshinë në këtë sulm, me aktorë të ndryshëm përgjegjës për faza të ndryshme të sulmit,” thuhet në raport.
Sipas Microsoft, të dhënat tregojnë se njëri prej grupeve, i cili u përfshi në hyrjen fillestare dhe vjedhjen e të dhënave, është i lidhur me EUROPIUM – një grup i lidhur publikisht me Ministrinë e Inteligjencës së Iranit.
Por kompania thotë se kishte edhe të dhëna të tjera që e lidhnin sulmin me Teheranin, përfshi faktin se kodet ishin përdorur edhe më herët në sulme të ngjashme si dhe mesazhet e sulmuesve që targetonin opozitën iraniane të strehuar në Shqipëri.
“Kodi fshirës [wiper code] është përdorur më herët nga një grup i njohur iranian”, thuhet në raport.
Sulmi kibernetik ndaj Shqipërisë kulmoi më 15 korrik, pak javë pasi vendi kishte shtuar një mori shërbimesh online me premtimin për të kufizuar burokracitë. Shërbime kyçe, nga recetat që mjekët lëshojnë për ilaçe të rimbursueshme, regjistrimi i nxënësve nëpër shkolla apo regjistrimet e biznesit dhe bilanceve u mbyllën.
Qeveria dhe Agjencia Kombëtare e Shoqërisë së Informacionit, AKSHI, i minimizuan efektet e sulmit dhe pretenduan se agresori nuk kishte pasur sukses.
Gati dy muaj pas sulmit kibernetik, qeveria vendosi ndërprerjen e marrëdhënieve diplomatike dhe dëboi përfaqësuesit e ambasadës iraniane më 19 shtator, duke fajësuar Teheranin për “agresion shtetëror” ndaj Shqipërisë.
Ministria e Jashtme e Iranit e ka mohuar sulmin, i ka cilësuar akuzat e Shqipërisë si të “pabaza” dhe vendimin për ndërprerjen e marrëdhënieve diplomatike si “dritëshkurtër”.
Sulmi dhe pasojat
Marrëdhëniet mes Shqipërisë dhe Iranit kanë qenë të tensionuara që prej vitit 2013, kur qeveria shqiptare vendosi të strehonte anëtarët e grupit të njohur si “Mujahedin-e-Khalq” apo MEK, një grup opozitar ndaj regjimit në Teheran.
Me mbështetjen e Uashingtonit dhe Organizatës së Kombeve të Bashkuara për refugjatët, grupi ndaj të cilit ka qëndrime kontradiktore, por që mbështetet si një opozitë ndaj regjimit të ajatollahëve në Iran, u vendos pjesë-pjesë në Shqipëri. Irani i konsideron anëtarët e MEK si terroristë dhe prej vitesh është aktiv kundër pranisë së tyre në Shqipëri.
Një sërë incidentesh u shënuan në vite, përfshi edhe arrestimin e të paktën një iraniani me akuza për terrorizëm si dhe dëbim diplomatësh nga Shqipëria. Sulmi kibernetik megjithatë duket se i vulosi këto marrëdhënie.
Në raportin e investigimit, Microsoft thotë se arriti ta lidhë Iranin me sulmin kibernetik ndaj shërbimeve qeveritare në Shqipëri duke ndjekur gjurmën elektronike që sulmuesit kishin lënë. Aty veçohet se sulmuesit janë të ngjashëm me ata që kanë sulmuar më herët vende të tjera, po ashtu në marrëdhënie jo të mira me Iranin apo që ishin “konsistente me interesat e Iranit”.
Po ashtu, kodi me të cilin u tentua të fshihej i gjithë sistemi ishte përdorur sipas investigimit nga një grup i njohur iranian edhe më herët. Gjithashtu edhe njëra prej certifikatave dixhitale e përdorur në kodin e kriptimit.
“Telemetria e Microsoft tregon se kjo certifikatë është përdorur vetëm në 15 dokumente të tjerë, një gjurmë shumë e vogël, që sugjeron se certifikata nuk ishte ndarë me grupe pa lidhje me njëri- tjetrin,” thuhet në raport, ku shtohet se ajo ishte përdorur në një sulm kundër Arabisë Saudite në qershor 2021.
Në analizën teknike të sulmit, Microsoft thotë se ai u krye nga katër grupe të ndryshme, të cilët kryen disa veprime. Thyerja e parë ndodhi sipas raportit në maj të vitit 2021.
Sipas të dhënave, serveri i prekur ishte i pambrojtur dhe i përkiste një faqeje periferike administrata.al. Pas kësaj ndërhyrje, grupet që mbeten anonime dhe identifikohen nga Microsoft me kode, e zgjeruan ndërhyrjen.
Një grup i koduar si “DEV-0842” vendosi në rrjet një kod kriptimi me qëllim marrjen e shërbimit dhe njëkohësisht një kod për fshirjen (ëiper malëare). Grupi i koduar si “DEV-0861” fitoi aksesin fillestar dhe vodhi të dhëna. Grupi “DEV-0166” ndërhyri vetëm për të vjedhur të dhëna. Ndërsa “DEV-0133” u përpoq të testonte infrastrukturën.
Sipas Microsoft, një numër i paqartë emailesh u vodhën nga vjeshta e vitit të kaluar deri në janar të këtij viti. Faqja ku ato u publikuan, Homeland Justice pretendon se ka marrë e-mailin zyrtar të kryeministrit Rama, atë të Ministrit të Brendshëm, Ministrit të Mbrojtjes, disa ambasadave dhe një sërë aktorëve të tjerë, përfshi drejtues të AKSHI.
Sipas ekipit që kreu investigimin, përpjekja finale e aksionit kishte për qëllim të kriptonte të dhënat dhe njëkohësisht t’i fshinte ato, por “sulmi dështoi”.
“Tentativa e financuar nga Irani për të shkatërruar pati më pak se 10% ndikim në mjedisin e klientit,” thuhet në raportin e Microsoft.
Igli Gjelishti, drejtues i një kompanie dhe zhvillues i sistemeve të informacionit, tha se raporti jep një tablo të qartë të ngjarjes dhe të masave që duheshin marrë.
“Tani e dimë origjinën e sulmit, dimë pikën e hyrjes, dhe gjithashtu kemi dhe një vlerësim nga Microsoft që tentativa shkatërruese pati një impakt nën 10% në infrastrukturën e sulmuar,” tha Gjelishti për BIRN.
Sipas tij, raporti tregonte se dëmi u kufizua për shkak të fikjes së sistemeve.
“Fikja e sistemeve deri në identifikimin dhe izolimin e sulmit ishte vendimi i duhur,” tha Gjelishti
“Amplifikuesit e mesazheve”
Aludimet se Irani qëndronte pas sulmit kibernetik ndaj Shqipërisë qarkulluan që në fillim për shkak të mesazhit që grupi i pagëzuar si Homeland Justice publikoi në rrjetet sociale dhe në aplikacionin Telegram, së bashku me një seri emailesh që pretendon se i ka marrë nga adresat zyrtare të ministrave dhe kryeministrit Edi Rama.
“Pse taksat tona duhet të shpenzohen për terroristët në Durrës”, thuhet në mesazhin.
Një një pjesë të raportit të titulluar “Indikatorë shtesë për sponsorizim (të sulmit) nga Irani” Microsoft thotë se Republika Islamike e Iranit fajëson anëtarët e MEK dhe Izraelin për disa sulme kibernetike dhe se sulmi ndaj Shqipërisë mund të jetë një “hakmarrje për këto sulme”.
Microsoft thotë se analizoi logon dhe simbolet e përdorura, që po ashtu shtynin drejt këtij përfundimi.
Në raport thuhet gjithashtu se Microsoft ka identifikuar disa personazhe reale, shqiptarë dhe iranianë, që kishin amplifikuar mesazhet e të ashtuquajturës “Homeland Justice”.
Sipas Microsoft, personat në fjalë dhe profile false u përdorën për të kontaktuar media në Shqipëri në përpjekje për të shpërndarë materialet e supozuara të hakuara.
Sipas raportit, dy prej personave që i bënë jehonë qëndrimeve të Homeland Justice ishin Olsi Jazexhi dhe Gjergj Thanasi, të cilët etiketohen si “shqiptarë që shfaqen shpesh në mediat e financuara nga shteti i Iranit”.
Të përmendur në raport si pjesë e këtij grupi amplifikues, Olsi Jazexhi dhe Gjergj Thanasi, mohuan për BIRN se kishin lidhje me sulmin.
“Ky është një pretendim kriminal,” thuhet në një letër që Jazexhi dhe Thanasi shpërndanë për mediat, duke aluduar se pas përmendjes së tyre ishte MEK, kundër të cilit ata flasin vazhdimisht.
Në telefonata me BIRN, Jazexhi dhe Thanasi këmbëngulën se një letër e hapur e tyre drejtuar ish-presidentit Ilir Meta për rrezikun që i kanosej Shqipërisë nga MEK kishte qëllime patriotike.
“Qeveria shqiptare dështoi të mbronte të dhënat e qytetarëve të saj që paguajnë taksat,” tha Thanasi, duke këmbëngulur të përmendej se “nëqoftë se Irani ishte pas sulmit”, atëherë kjo mund ta “fuste Shqipërinë në një spirale turbullirash”.
Jazexhi pranoi në një bisedë me BIRN se i kishte shpërndarë mesazhet e Homeland Justice, por tha se e bëri këtë vetëm për të parë korrupsionin e qeverisë. Por ai këmbënguli se jo vetëm që e kundërshtonte akuzën se ishte përfshirë në amplifikimin e mesazhit të hakuesve, por e injoronte atë.
“Është raport që kalamajtë e Microsoftit kanë bërë… Ua kanë dhënë muxhahedinët në Tiranë,” tha Jazexhi.
Por raporti i Microsoft thotë se kishte gjetur të paktën dy profile false në rrjetet sociale të krijuara në maj 2021, kur sulmi sapo kishte filluar dhe se të dy profilet u angazhuan ndër të parët në shpërndarjen e materialeve të Homeland Justice. Sipas raportit, këto profile dhe një i tretë më i vjetër kishin ndërveprime në rrjetet sociale me “personat e përmendur më sipër”.