The Cybersecurity and Infrastructure Security Agency (CISA) and the FBI they said on Wednesday ότι hackers που συνδέονται με τον στρατό του Ιράν πέρασαν 14 μήνες μέσα στα δίκτυα της Αλβανικής κυβέρνησης πριν εξαπολύσουν μια επίθεση ransomware που προκάλεσε εκτεταμένη ζημιά τον Ιούλιο.
The FBI did not specify which Iranian hacking group was behind the incident, but explained that during their investigation, they discovered that the hackers were exploiting a security hole in Microsoft SharePoint that is circulating on the Internet via CVE-2019-0604.
Cybersecurity agencies classified it CVE-2019-0604 as one of the bugs that caused the breach during 2020. The same bug is used by government hackers as well as ransomware gangs.
Σύμφωνα με την προειδοποίηση, οι hacker μπόρεσαν να διατηρήσουν συνεχή πρόσβαση στο δίκτυο για περισσότερο από ένα χρόνο, κλέβοντας συχνά email καθ’ όλη τη διάρκεια του 2021. Μέχρι τον Μάιο του 2022, οι hacker άρχισαν να κινούνται πλευρικά και να εξετάζουν το δίκτυο, πραγματοποιώντας ευρύτερη κλοπή διαπιστευτηρίων από τα δίκτυα της Αλβανικής κυβέρνησης.
The FBI confirmed reports from Reuters and other researchers that the attacks were due to Albania's involvement with the Mujahideen-e Khalq, known as the MEK.
Albania allowed some 3.000 members of the group to settle near Durrës, the country's main port.
The agencies said that in July 2022, hackers "pushed a ransomware onto networks, leaving an anti-Mujahideen E-Khalq (MEK) message on their desktops."
