Menjëherë pas sulmeve shkatërruese kibernetike kundër qeverisë shqiptare në mes të korrikut, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet.
Në kohën e sulmeve, Microsoft deklaroi publikisht se: “Microsoft është i përkushtuar të ndihmojë klientët tanë të jenë të sigurt duke arritur më shumë. Gjatë këtij aktiviteti, ne mobilizuam shpejt Ekipin tonë të Zbulimit dhe Reagimit (DART) për të ndihmuar qeverinë shqiptare që të rimëkëmbet me shpejtësi nga ky sulm kibernetik. Microsoft do të vazhdojë të bashkëpunojë me Shqipërinë për të menaxhuar rreziqet e sigurisë kibernetike, ndërkohë që do të vazhdojë të përmirësojë mbrojtjen nga sulmuesit me qëllim të keq.”
Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin filtruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.
Ka pasur disa faza të identifikuara në këtë fushatë:
Ndërhyrja fillestare
Eksfiltrimi i të dhënave
Kriptimi dhe shkatërrimi i të dhënave
Operacionet e informacionit
Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:
DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
DEV-0861 fitoi akses fillestar dhe nxori të dhëna
DEV-0166 të dhënat e filtruara
DEV-0133 infrastruktura e hetuar e viktimave
Microsoft përdor emërtimet DEV- si një emër të përkohshëm që i jepet një grupi të panjohur, në zhvillim ose një grupi aktivitetesh kërcënimi, duke lejuar MSTIC ta gjurmojë atë si një grup unik informacioni derisa të arrijmë një besim të lartë për origjinën ose identitetin të aktorit që qëndron pas aktivitetit. Pasi të plotësojë kriteret, referenca DEV konvertohet në një aktor me emër:
Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit. Ne i gjurmojmë ato veçmas bazuar në grupe unike mjetesh dhe/ose TTP; megjithatë, disa prej tyre mund të punojnë për të njëjtën njësi.
Informacioni specifik për Shqipërinë shpërndahet me leje nga qeveria shqiptare.