CILI ËSHTË GRUPI LOCKBIT DHE SI U GODIT SHQIPËRIA NGA SULMET KIBERNITIKE?

Shqipëroi: z. Erton Duka. Nga: Ayman Oghanna*. *Gazetar, fotograf dhe transmetues me bazë në Athinë. Twitter: @AymanOghanna Instagram: @ayman_oghanna Kur rruga ku ndodhet Ambasada Ruse në kryeqytetin shqiptar, Tiranë, u quajt “Ukraina e Lirë”, rusët vendosën të lëviznin. Ata kanë çmontuar në mënyrë metodike kamerat jashtë godinës, duke hequr antenat e komunikimit dhe kanë ulur flamurin. Megjithatë, iranianët nuk e kishin luksin e kohës. Pasi Republika Islamike u mbajt përgjegjëse për sulmet kibernetike ndaj qeverisë shqiptare, në një fjalim televiziv më 7 shtator 2022, kryeministri Edi Rama u dha diplomatëve të Teheranit vetëm 24 orë kohë për t'u larguar nga vendi. Ndërsa ra nata, dëshmitarët panë stafin duke djegur dokumente në një fuçi metalike në ambasadën iraniane si pjesë e një evakuimi të shpejtë, të papërpunuar dhe të dëshpëruar përpara se forcat e operacioneve speciale të policisë shqiptare të armatosura të hynin me qen që zakonisht përdoreshin për të gjetur eksploziv. Ishte një ndërprerje e paprecedentë e marrëdhënieve diplomatike për sulme të supozuara kibernetike, edhe nëse Irani kishte një motiv të qartë. Hetuesit besojnë se Shqipëria ishte në shënjestër si hakmarrje për strehimin e mijëra anëtarëve të Mujahedin-e-Khalq (MEK), një grup opozitar iranian dikur i dhunshëm si kult, që banonte në një kamp të fortifikuar në Manëz, Shqipëri, pasi u evakuuan nga Iraku në 2016. Pajisjet e survejimit ende të paprekura të lëna pranë portës së ambasadës iraniane janë një monument për faktin se sytë armiqësor janë ende mbi Shqipërinë dhe se Shqipëria, një anëtare e NATO-s, mbetet nën sulmin e aktorëve të huaj keqdashës që kërkojnë të dëmtojnë një nga anëtarët më të cenueshëm të aleancës ushtarake. “Është ende një luftë e ndyrë kibernetike që po vazhdon”, tha Rama për Foreign Policy në zyrën e tij në Tiranë në janar, me muret e saj të mbuluara me vizatimet futuriste të kryeministrit artistik. "Është natyra e luftës kibernetike që të ketë gjithë kohën për të pasur këtë lloj mbrapa dhe mbrapa," tha ai. Shqipëria po vuan përballë sulmeve të vazhdueshme kibernetike, duke shkatërruar në mënyrë dixhitale infrastrukturën kritike të kompjuterizuar publike dhe private të vendit. Hakerët fituan akses të vazhdueshëm në serverët e qeverisë shqiptare në vitin 2021, sipas Byrosë Federale të Hetimit të SHBA (FBI), duke mbledhur të dhëna, përpara se të përdornin ransomware dhe të nisnin një sulm shkatërrues "fshirës" duke shkatërruar të dhënat publike duke përdorur malware që fshijnë disqet në korrik 2022. Ata gjithashtu mbyllën faqet e internetit të qeverisë duke përdorur ransomware me mesazhe, duke ndërprerë shërbimet publike, gjë që ishte katastrofike për shërbimet publike shqiptare që ishin dixhitalizuar për të anashkaluar proceset e ngadalta dhe të korruptuara publike burokratike. Meqenëse shumica dërrmuese e shërbimeve qeveritare ishin futur në internet, të gjitha aspektet e jetës së qytetarëve shqiptarë, nga lindjet te martesat e deri te vdekjet, u bënë rrëmujë. Hakerët gjithashtu mblodhën, fshinë dhe qarkulluan informacione të klasifikuara, duke përfshirë identitetin e qindra oficerëve të fshehtë shqiptarë të inteligjencës, publikuan emailet e drejtorit të inteligjencës dhe vazhdojnë të nxjerrin informacione të ndjeshme përmes një faqe interneti dhe kanaleve Telegram. Informacioni përfshinte të dhëna për më shumë se 17 vjet që gjurmonin të gjithë ata që hynin dhe dilnin nga vendi nga Sistemi i Menaxhimit Total të Informacionit të qeverisë (TIMS), si dhe nga institucione private si të dhënat financiare të klientëve të bankave. “Ishte shumë, shumë e rëndë,” tha Rama në lidhje me ndikimin e sulmeve. Aktorët shtetërorë iranianë janë fajësuar për operacionet kibernetike më të dukshme të kryera vitin e kaluar, me FBI-në dhe Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA-së, kompanitë private Microsoft dhe Mandiant dhe Qendrën Kombëtare të Sigurisë Kibernetike në Mbretërinë e Bashkuar, të gjithë duke përmendur Iranin si autorin e vetëm në raportet e tyre. Ish-ambasada iraniane në qendër të Tiranës, Shqipëri. Rama është plotësisht i vetëdijshëm se vendimi i Shqipërisë për të lejuar MEK-un, fraksionin më të madh të opozitës të organizuar nga jashtë të regjimit iranian, të krijojë një bazë nga e cila ata kanë qenë në gjendje të vendosen si një qeveri e mundshme në mërgim ishte një vendim i diskutueshëm. Grupi ka kryer aktivitete politike, duke mbajtur samite vjetore (sulmi kibernetik i korrikut u zhvillua përpara një konference të planifikuar të MEK) dhe duke pritur personalitete të huaja, duke përfshirë Mike Pompeo dhe Mike Pence. Megjithatë, Rama mbron këtë veprim. “Ata u masakruan nga bastisjet e shërbimit sekret iranian [në Irak] dhe më pas miqtë tanë amerikanë na pyetën nëse mund të hapnim derën tonë”, tha kryeministri. “Ne nderuam traditën tonë të strehimit të njerëzve. Është një traditë e gjatë në Shqipëri. Është ajo që e bëri Shqipërinë të vetmin vend në Evropë që pas Luftës së Dytë Botërore kishte më shumë hebrenj se më parë,” tha ai, me sharmin e qëndrueshëm që e bëri të fitonte tre zgjedhje demokratike, pavarësisht skandaleve të shumta. Agresioni është një nënshkrim i operacioneve kibernetike iraniane, sipas ekspertëve kibernetikë. Kinezët janë të interesuar për spiunazhin, rusët, ndikimin dhe agresionin iranian. Dhe sulmet ndaj infrastrukturës shqiptare të internetit janë ndoshta më agresivet në histori ndaj një shteti në kohë paqeje. “Me përjashtim të sulmeve ndaj qeverisë ukrainase, pas pushtimit, të cilat padyshim po ndodhin në kontekstin e bombave të hedhura në Ukrainë… ky është i dukshëm sepse është një sulm direkt ndaj një qeverie”, tha Benjamin Read, i Mandiant, i cili u soll për të hetuar sulmet. "Pra, ky është me të vërtetë tipari dallues i një sulmi të plotë frontal ndaj një qeverie me të cilën ju nuk jeni në luftë," tha ai. Për disa, madhësia, shtrirja dhe sofistikimi dhe natyra agresive e sulmeve shqiptare, plus operacionet e ransomware nga grupet kriminale kibernetike që veprojnë nga territori rus, do të thotë se Irani nuk po vepronte i vetëm. "Unë mendoj se është një bashkëpunim midis Rusisë dhe Iranit," tha një sipërmarrës dixhital dhe i vetë-përshkruar "bilbilfryrës" me bazë në Tiranë, "sepse gama e sulmeve ishte shumë e madhe". Progni, i cili mësoi se si të kodonte kur ishte i mbyllur në shtëpi gjatë një gjakmarrjeje familjare, të cilën ai nuk mund ta shtjellojë nga frika e rindezjes së saj, thekson se informacioni i rrjedhur nga hakimet u shpërnda nga një faqe interneti ruse, justicehomeland.ru, e cila ende nuk është hequr, dhe përmes kanaleve Telegram përdoren gjithashtu për të përhapur propagandë pro-ruse. Ai gjithashtu vë në dukje se gjatë të njëjtës periudhë kohore që u sulmua Shqipëria, sulme të tjera u kryen në të gjithë Evropën Juglindore kundër Malit të Zi, Bullgarisë, Kosovës dhe Maqedonisë së Veriut gjatë së njëjtës periudhë nga grupe rusishtfolëse. Sulmet më të fundit të profilit të lartë u kryen kundër Air Albania, kompania ajrore kombëtare e vendit, nga grupi LockBit, një bandë famëkeqe kriminale kibernetike që vepron nga territori rus, me anëtarë rusishtfolës. Grupi LockBit nuk sulmon entitete ose shtete brenda Komonuelthit të Shteteve të Pavarura të dominuara nga Rusia, sipas Tim Mitchell, një ekspert i LockBit në SecureWorks, një kompani amerikane e sigurisë kibernetike. Nëntorin e kaluar, një shtetas rus dhe kanadez 33-vjeçar u akuzua për pjesëmarrje në fushatën globale të ransomware LockBit dhe është në pritje të ekstradimit në Shtetet e Bashkuara. LockBit gjithashtu bëri bujë muajin e kaluar për një sulm ndaj Royal Mail, firmës kryesore britanike të postës dhe parcelave, duke e detyruar atë të mbyllte të gjitha dërgesat ndërkombëtare të postës dhe paketave. Sulmi i Maqedonisë së Veriut ishte i lidhur me grupin BlackByte, i cili shmang sulmin e subjekteve me bazë në Rusi. Progni ndau me Foreign Policy një pamje të ekranit që tregon adresa të shumta IP ruse të përdorura për sulmet në Kosovë. “Pra, në thelb, Rusia dhe Irani sulmuan Shqipërinë,” tha ai. “Dëgjo, e di që është politikisht shumë korrekte të fajësosh Rusinë për gjithçka në ditët e sotme, por mendoj se ata kanë mjaftueshëm faj mbi to”, tha Rama. “Në këtë rast, nuk ka asnjë pjesëmarrje ruse, sepse hetimi [FBI] nuk tregoi asnjë.” Megjithatë, si Rama ashtu edhe FBI janë vënë nën kritika në Shqipëri pas një skandali të fundit në të cilin qeveria shqiptare akuzohet për ryshfet ndaj një ish-zyrtari të FBI-së për të nxitur hetimet e FBI-së në zonat që dëmtuan opozitën shqiptare. “Agjencitë vendase të zbatimit të ligjit në Shqipëri...e kanë parë FBI-në në këtë rast si të dobët institucionalisht, politikisht të shfrytëzueshme, madje të dyshuar për përfshirje në afera korruptive dhe ndikim, trafikim për të mirën e individëve të fuqishëm në vendet e treta,” tha Zef Preci, drejtor. e Qendrës për Kërkime Ekonomike, një organizatë joqeveritare në Shqipëri. FBI nuk pranoi të komentojë për këtë artikull. Edhe nëse numri i sulmuesve të përfshirë në shënjestrimin e Shqipërisë mbetet i paqartë, partneriteti rus dhe iranian është në mënyrë të pamohueshme afër në hapësirën e betejës së Ukrainës, ku Teherani është bërë shpejt mbështetësi kryesor ushtarak i Moskës në luftë, veçanërisht me furnizimin e tij me dronët kamikaze vdekjeprurës që kanë shkatërruar infrastrukturën e Ukrainës. Në një konferencë në dhjetor, koordinatori i Këshillit të Sigurisë Kombëtare të Shtëpisë së Bardhë, John Kirby, tha: "Rusia po i ofron Iranit një nivel të paprecedentë mbështetjeje ushtarake dhe teknike që po e transformon marrëdhënien e tyre në një partneritet të plotë të mbrojtjes". Sulmet dixhitale në Shqipëri mund të nënkuptojnë gjithashtu një partneritet më të madh në sferën kibernetike. “Këtu në Ukrainë, në vijën e frontit, ne jemi nën sulm pothuajse të përditshëm nga rusët duke përdorur dronët iranianë Shahid. Është vetëm një shembull i bashkëpunimit në rritje midis Teheranit dhe Moskës,” tha gazetari David Patrikarakos, autor i Iranit Bërthamor, për Foreign Policy nga Bakhmut. “Mund të presim që hapësirat e informacionit të ndoten gjithnjë e më shumë pasi të dyja bashkëpunojnë më shumë në sferën dixhitale.” Pesë muaj përpara se hakerët të kishin akses në sistemet shqiptare, Irani dhe Rusia deklaruan publikisht se kishin nënshkruar zyrtarisht një marrëveshje të sigurisë kibernetike në janar 2021. “Megjithëse Irani dhe Rusia dihet se kanë bashkëpunuar në aktivitetet kibernetike edhe para vitit 2021, kjo marrëveshje sinjalizon një më të thellë niveli i bashkëpunimit midis dy vendeve në të gjitha nivelet administrative në fushat e sigurisë kibernetike, transferimit teknologjik dhe trajnimit të përbashkët,” sipas Miad Nakhavali, një studiues iranian dhe analist në Qendrën e Beogradit për Politikat e Sigurisë. Ndërsa Rusia mund të mos ketë ofruar mjetet e përdorura nga Irani për të sulmuar Shqipërinë, sigurisht që mund të kishte ofruar trajnimin. Dhe modus operandi i sulmeve ka një aromë ruse. “Për sa i përket përdorimit të fshirëseve [fshirja e të dhënave] ka ngjashmëri me atë që bënë rusët në Ukrainë,” tha Omree Wechsler, një studiuese e lartë në Workshopin Yuval Ne'eman për Shkencë, Siguri dhe Teknologji në Universitetin e Tel Avivit. “Ekziston një partneritet i vazhdueshëm midis Rusisë dhe Iranit në hapësirën kibernetike, i cili bazohet kryesisht në një ndjenjë të përbashkët anti-SHBA dhe kryesisht sillet rreth inteligjencës së përbashkët kibernetike, trajnimit, ndërtimit të kapaciteteve dhe transferimeve të teknologjisë. Nuk dihet shumë më tepër se çfarë mjetesh, teknikash apo inteligjence u ndanë”, tha Wechsler. Synimi i Shqipërisë ka kuptim për Moskën dhe Teheranin. Në fund të fundit, Tirana është ndoshta partneri më i ngushtë i Shteteve të Bashkuara në Ballkanin Perëndimor që nga rivendosja e marrëdhënieve pas 45 vitesh izolim komunist, i cili e pa Shqipërinë si "Koreja e Veriut e Evropës", sipas Ramës. Shqipëria jo vetëm që ka pritur disidentët iranianë të MEK-ut, por edhe qindra refugjatë politikë të lidhur me SHBA-në nga Afganistani pas rënies kaotike të qeverisë atje të mbështetur nga SHBA. Vitin e kaluar u konfirmua gjithashtu se Uashingtoni do të krijonte një bazë të forcave të operacioneve speciale në vend. Operacionet kibernetike kundër qeverisë amerikane dhe aleatëve të saj zbulojnë një partneritet strategjik të shteteve të sanksionuara dhe përfaqësuesve të tyre që punojnë së bashku për të dëmtuar interesat perëndimore globalisht. Majin e kaluar, milicitë e mbështetura nga Irani në Irak morën përgjegjësinë për sulmet e mohimit të shërbimit (DDoS) që shkatërruan faqet e internetit të qeverisë ukrainase në dy raste. Njëri u tha se ishte një hakmarrje për vrasjen e Daria Dugina në Rusi. E dyta ishte më shumë e drejtuar kundër faqes së internetit të Ministrisë së Infrastrukturës së Ukrainës dhe u zhvillua në tetor. Natyra e saktë e partneritetit kibernetik të Rusisë dhe Iranit nuk dihet. "Rusët janë më të mirë se iranianët," tha një ekspert i sigurisë kibernetike dhe studiues i pavarur që quhet Grugq. Ministria iraniane e Inteligjencës dhe Sigurisë (MOIS) “do të ishte shumë partneri i vogël që do të përfitonte shumë nga puna e Rusisë me ta dhe jo anasjelltas”. Është një pikëpamje e bërë jehonë nga Hamed Mohammadi, një gazetar disident iranian në Kayhan London, i cili më parë ka shërbyer në ushtrinë iraniane. “Mullahët dëgjojnë urdhrat e Rusisë. Sigurisht, ata pretendojnë të jenë të pavarur, por ndikimi i Rusisë në strukturën vendimmarrëse të regjimit iranian është shumë i lartë, veçanërisht në lidhje me çështjet e sigurisë dhe ushtarake. Megjithatë, siç tregojnë sulmet në Shqipëri, Irani nuk duhet nënvlerësuar, sipas Wechsler nga Universiteti i Tel Avivit. “Ata nuk janë aq të sofistikuar, por po luajnë në oborrin e aktorëve të mëdhenj,” tha ai. Teherani kishte gjithashtu një trup diplomatik shumë të dyshuar në Tiranë. Duke pasur parasysh sa pak lidhje ekonomike, kulturore dhe politike ka midis dy vendeve, diplomatë të tjerë në Tiranë, si dhe autoritetet shqiptare, shpesh pyesnin se çfarë po bënin saktësisht atje. Ata nuk u panë në funksione të tjera diplomatike, sipas një diplomati perëndimor i cili foli në kushte anonimiteti, dhe stafi i shërbimit në kafene dhe restorante pranë Ambasadës tha se iranianët nuk do të pinin as kafe jashtë. Në vitin 2018, Shqipëria dëboi dy diplomatët më të lartë iranianë në Tiranë, duke përmendur shqetësimet e sigurisë kombëtare. Ambasadori Gholamhossein Mohammadnia dhe diplomati Mostafa Roodaki, që besohet të jetë shefi i stacionit të MOIS, u shpallën persona non grata. Autoritetet shqiptare gjithashtu arrestuan, morën në pyetje dhe deportuan iranianë të tjerë për spiunazh në vitin 2020 dhe vitin e kaluar dënuan shtetasin iranian Bijan Pooladrag me akuza të lidhura me terrorizëm. Edhe shtetasit rusë e kanë gjetur veten të akuzuar për spiunazh. Dy herë në dy vitet e fundit, agjentë të dyshuar rusë u arrestuan pranë bazave ushtarake, njëra prej të cilave po shndërrohet në një bazë të re ajrore të NATO-s. Ata po mbahen në paraburgim shqiptar. Cenueshmëria e Shqipërisë erdhi nga një shtytje e shpejtë për dixhitalizimin e shërbimeve qeveritare. “Tani ne kemi 95 për qind të shërbimeve publike online”, tha Rama. “Kjo ishte forca jonë për sa i përket modernizimit, por u bë gjithashtu cenueshmëria jonë sepse ishim të ekspozuar.” Ekspozimi i Shqipërisë është i vazhdueshëm dhe ka qenë katastrofik për funksionimin e saj të brendshëm dhe shkëmbimin e informacionit të jashtëm me vendet partnere. Një burim diplomatik, duke folur në kushte anonimiteti, tha se “bashkëpunimi operacional i vendeve partnere me qeverinë e Shqipërisë është ndikuar drejtpërdrejt nga sulmet kibernetike”, me sa duket sepse aleatët shqetësohen se komunikimet nuk janë të sigurta.