Os atores da ameaça iraniana têm estado no radar e na mira do governo dos EUA e dos investigadores de segurança este mês, com o que parece ser um aumento e subsequente repressão contra atividade de ameaça de grupos de ameaça persistente avançada (APT) associados ao Corpo da Guarda Revolucionária Islâmica do Irão (IRGC).
O governo dos EUA revelou na quarta-feira simultaneamente um elaborado esquema de hacking e acusações contra vários cidadãos iranianos graças a documentos judiciais recentemente abertos, e alertou as organizações dos EUA sobre a atividade iraniana da APT para explorar vulnerabilidades conhecidas — incluindo o amplamente atacado ProxyShell e Log4Shell falhas – para fins de ataques de ransomware.
Enquanto isso, uma pesquisa separada revelou recentemente que um ator de ameaça patrocinado pelo Estado iraniano rastreado como APT42 tem sido associada a mais de 30 ataques de ciberespionagem confirmados desde 2015, que visaram indivíduos e organizações com importância estratégica para o Irão, com alvos na Austrália, na Europa, no Médio Oriente e nos Estados Unidos.
A notícia chega em meio às crescentes tensões entre os Estados Unidos e o Irã, na esteira da sanções impostas contra a nação islâmica pela sua recente atividade APT, incluindo um ataque cibernético contra o governo albanês em Julho, que causou o encerramento de websites governamentais e serviços públicos online, e foi amplamente castigado.
Além disso, com o aumento das tensões políticas entre o Irão e o Ocidente à medida que a nação se alinha mais estreitamente com a China e a Rússia, a motivação política do Irão para a sua actividade de ameaça cibernética está a crescer, disseram os investigadores. É mais provável que os ataques sejam motivados financeiramente quando confrontados com sanções de inimigos políticos, observa Nicole Hoffman, analista sénior de inteligência sobre ameaças cibernéticas do fornecedor de soluções de proteção de riscos Digital Shadows.
Persistente e Vantajoso
Ainda assim, embora as manchetes pareçam reflectir um aumento nas recentes actividades de ameaças cibernéticas das APT iranianas, os investigadores disseram que as notícias recentes de ataques e acusações são mais um reflexo da actividade persistente e contínua do Irão para promover os seus interesses cibercriminosos e a sua agenda política em todo o mundo. .
“O aumento das reportagens da mídia sobre a atividade de ameaça cibernética do Irã não está necessariamente correlacionado a um aumento nessa atividade”, observou Emiel Haeghebaert, analista da Mandiant, em um e-mail para Dark Reading.
“Se olharmos para todo o âmbito da actividade do Estado-nação, o Irão não abrandou os seus esforços”, concorda Aubrey Perin, analista-chefe de inteligência sobre ameaças da Qualys. “Tal como qualquer grupo organizado, a sua persistência é a chave para o seu sucesso, tanto a longo como a curto prazo.”
Ainda assim, o Irão, como qualquer actor ameaçador, é oportunista, e o medo e a incerteza generalizados que existem actualmente devido aos desafios geopolíticos e económicos – como a guerra em curso na Ucrânia, a inflação e outras tensões globais – certamente impulsionam os seus esforços APT, disse ele. diz.
Autoridades tomam conhecimento
A crescente confiança e ousadia das APT iranianas não passou despercebida pelas autoridades globais – incluindo as dos Estados Unidos, que parecem estar a ficar fartas dos persistentes compromissos cibernéticos hostis do país, tendo-os suportado pelo menos durante a última década.
Uma acusação divulgada na quarta-feira pelo Departamento de Justiça (DoJ), Gabinete do Procurador dos EUA, Distrito de Nova Jersey lançou luz específica sobre a atividade de ransomware que ocorreu entre fevereiro de 2021 e fevereiro de 2022 e afetou centenas de vítimas em vários estados dos EUA, incluindo Illinois, Mississippi, Nova Jersey, Pensilvânia e Washington.
A acusação revelou que de outubro de 2020 até o presente, três cidadãos iranianos – Mansour Ahmadi, Ahmad Khatibi Aghda e Amir Hossein Nickaein Ravari – se envolveram em ataques de ransomware que exploraram vulnerabilidades conhecidas para roubar e criptografar dados de centenas de vítimas nos Estados Unidos, o Reino Unido, Israel, Irã e outros lugares.
A Agência de Segurança Cibernética e de Infraestrutura (CISA), o FBI e outras agências alertaram posteriormente que atores associados ao IRGC, uma agência governamental iraniana encarregada de defender a liderança contra supostas ameaças internas e externas, têm explorado e provavelmente continuarão a explorar a Microsoft e vulnerabilidades Fortinet – incluindo uma falha do Exchange Server conhecida como ProxyShell — em atividades detectadas entre dezembro de 2020 e fevereiro de 2021.
Os invasores, que se acredita estarem agindo a mando de uma APT iraniana, usaram as vulnerabilidades para obter acesso inicial a entidades em vários setores de infraestrutura crítica dos EUA e organizações na Austrália, Canadá e Reino Unido para ransomware e outras operações cibercriminosas, as agências disse.
Os atores de ameaças protegem suas atividades maliciosas usando dois nomes de empresas: Najee Technology Hooshmand Fater LLC, com sede em Karaj, Irã; e Afkar System Yazd Company, com sede em Yazd, no Irã, de acordo com as acusações.
APT42 e entendendo as ameaças
Se a recente onda de manchetes focadas nas APTs iranianas parece vertiginosa, é porque foram necessários anos de análise e investigação apenas para identificar a atividade, e tanto as autoridades como os investigadores ainda estão a tentar entender tudo isto, diz Hoffman, da Digital Shadows.
“Uma vez identificados, esses ataques também levam um tempo razoável para serem investigados”, diz ela. “Há muitas peças do quebra-cabeça para analisar e montar.”
Pesquisadores da Mandiant montaram recentemente um quebra-cabeça que revelou anos de atividade de ciberespionagem que começa como spear-phishing, mas leva ao monitoramento e vigilância de telefones Android pelo APT42, vinculado ao IRGC, que se acredita ser um subconjunto de outro grupo de ameaça iraniano, APT35/Gatinho Encantador/Fósforo.
Juntos, os dois grupos também são conectado a um cluster de ameaças não categorizado rastreado como UNC2448, identificado pela Microsoft e Secureworks como um subgrupo Phosphorus que realiza ataques de ransomware para obter ganhos financeiros usando o BitLocker, disseram os pesquisadores.
Para engrossar ainda mais a trama, este subgrupo parece ser operado por uma empresa que utiliza dois pseudónimos públicos, Secnerd e Lifeweb, que têm ligações a uma das empresas geridas pelos cidadãos iranianos indiciados no caso do DoJ: Najee Technology Hooshmand.
Mesmo que as organizações absorvam o impacto destas revelações, os investigadores disseram que os ataques estão longe de terminar e provavelmente irão diversificar-se à medida que o Irão continua o seu objectivo de exercer domínio político sobre os seus inimigos, observou Haeghebaert da Mandiant no seu e-mail.
“Avaliamos que o Irão continuará a utilizar todo o espectro de operações possibilitadas pelas suas capacidades cibernéticas a longo prazo”, disse ele à Dark Reading. “Além disso, acreditamos que atividades disruptivas usando ransomware, limpadores e outras técnicas de bloqueio e vazamento podem se tornar cada vez mais comuns se o Irã permanecer isolado no cenário internacional e as tensões com seus vizinhos na região e com o Ocidente continuarem a piorar”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
