Македонски весник Илинден – Makedonski vesnik Ilinden
ФБИ ја обвинува иранската влада дека користи четири домени за добивање и продажба на украдени информации од албанската влада, иранските дисиденти, израелските владини претставници и американските компании. Во документ од 40 страници, ФБИ наведува неколку дигитални кампањи започнати од иранското Министерство за разузнавање и безбедност (MOIS), преку повеќе онлајн корисници, од кои повеќето се појавуваат под името Хандала.
Во судските документи, Министерството за правда обезбеди многу информации за природата на нападите. Албанија и мексиканските картели ФБИ соопшти дека веб-страницата Хандала била поврзана со други домени што ги користело иранското Министерство за разузнавање и безбедност во операции што датираат од 2022 година.
Една од веб-страниците била користена за хостирање на информации украдени од Албанија за време на два сајбер напади врз владата на земјата во 2022 година. Првиот хак се случил во јули 2022 година, пред конференцијата во Албанија на која требало да присуствуваат членови на Муџахедините-е Халк, познати и како МЕК, иранска група што Техеран ја смета за терористичка организација. Инцидентот ги нокаутирал неколку владини служби, поттикнувајќи ги службениците да брзаат да се опорават.
Во септември 2022 година, албанскиот премиер Еди Рама објави втор сајбер напад што го погоди Системот за управување со информации во земјата, кој помага во автоматизирање на работи како што се проверките на пасошите и вкрстеното поврзување на луѓе во базите на податоци за бегалци. Агенцијата за сајбер безбедност и безбедност на инфраструктурата (CISA) подоцна соопшти дека иранските хакери биле во мрежите на Албанија повеќе од една година.
Сајбер нападот им дал на иранските актери пристап до системите за е-пошта на албанската влада и тие украле информации што вклучувале преписка меѓу САД и Албанија. Директорот на ФБИ, Каш Пател, во изјава рече дека агенцијата „не е завршена“ со откривањето на иранските сајбер операции. Стејт департментот издаде награда од 10 милиони долари за информации за секој што учествувал во креирањето на веб-страниците или бил вклучен во сајбер нападите.
Група што тврдеше дека е Хандала создаде нова веб-страница реагирајќи на блокадите и заканувајќи се со понатамошни сајбер напади. Израелските власти оваа недела тврдеа дека неколку од иранските лидери зад Хандала неодамна биле убиени во воздушни напади. Сведоштво на агент на ФБИ на суд 29. На 15 јули 2022 година, албанската влада објави дека многу владини компјутерски системи биле цел на голем кибернапад.
Нападот резултирал со пад на повеќе сервери на албанската влада истовремено и губење на многу чувствителни податоци од тие сервери. Според отворен извештај, кибернападот имал неколку фази од мај 2021 до август 2022 година, вклучувајќи: таргетирање на компјутерската инфраструктура; искористување на ранливостите со цел инјектирање на разни податоци; инсталирање на ransomware и програми за оштетување на податоците од овие компјутери; и дејствување без овластување за извлекување податоци од овие компјутери преку интернет за заплашување на владиниот персонал и принудување на политички промени. 30. Како одговор на овој кибернапад, ФБИ распореди персонал во Албанија за да помогне во одговорот на овој напад, обновувањето на податоците и техничката анализа.
Истрагата на ФБИ го потврди времето на нападот и даде целосен преглед на тоа како бил извршен. Според техничката анализа на ФБИ, напаѓачите добиле пристап до компјутерската мрежа на албанската влада околу мај 2021 година преку употреба на сервер на Microsoft SharePoint. Напаѓачите одржувале континуиран пристап до мрежата по овој упад, периодично пристапувајќи до содржината на е-поштата или други материјали од серверите.
Во мај 2022 година, напаѓачите преминале во организиран напад. Во текот на оваа фаза, напаѓачите ги скенирале серверите за ранливости, го тестирале пристапот и барале дополнителни упади како подготовка за следната фаза од нападот. Околу 15 јули 2022 година, актерите започнале деструктивен напад врз серверите. 31. Во времето на овој кибернапад, серверите, меѓу другото, биле домаќини на комуникации меѓу претставници на албанската влада и претставници на американската влада за разни дипломатски, национални безбедносни или разузнавачки прашања.
Овие комуникации биле меѓу информациите што протекоа од системите и биле уништени за време на нападот. 32. За време и по нападот, група наречена иранската хакерска група „Татковина правда“ ја презела одговорноста за нападот на интернет.
Иранската хакерска група „Татковина правда“ објави видео на својата веб-страница за нападот што го извршила, а подоцна објавила слики од документи што ѝ припаѓаат на албанската влада. Врз основа на нивната порака, мотивацијата произлегла од одлуката на албанската влада да ја поддржи иранската дисидентска група наречена Муџахедини е-Халк, или „МЕК“. МЕК отворено се залагаше за соборување на иранската влада во минатото. Агентот на ФБИ во своето сведочење вели дека иранската хакерска група „Татковина правда“, „Карма Белоу“, „Хандала Хак“ се управувани од Министерство за разузнавање и безбедност (MOIS).
„На пример, иранската хакерска група „Татковина правда“ што ја хакира албанската влада во 2022 година е иста како „Хандала Хак“ или „Карма Белоу“, бидејќи сите три актери постојано ги таргетираат непријателите на Иран преку нивните психолошки операции“, наведува агентот на ФБИ на суд.
„Врз основа на карактеристиките на податоците што беа украдени во Албанија во 2022 година и фактот дека корисник на „Хоумленд Џастис“ се обидувал да ги продаде тие податоци, многу е веројатно дека податоците што требало да се продадат биле оние земени од компјутерите на албанската влада за време на сајбер нападите на 15 јули 2022 година и 9 септември 2022 година“, вели агентот на ФБИ.
Во неговото сведочење е даден и снимка од екранот од разговорот на агентот на ФБИ со иранската хакерска група „Татковина правда“ каде што тој бара информации, а „Хоумленд“ одговара дека има е-албански и лични карти за албански државјани.
„По овие размени на пораки, околу 4 март 2025 година, лицето во „Хоумленд“ му продало база на податоци на вработен во ФБИ, додека тој работел тајно во округот Мериленд. Снимката од базата на податоци продадена на вработениот во ФБИ јасно покажува дека датотеката содржи броеви на лични карти, имиња, датуми на раѓање, адреси и други чувствителни лични информации. Утврдено е дека информациите откриваат чувствителни податоци на албански граѓани, кои би можеле да се користат за кражба на идентитети“, известува агентот на ФБИ.