0
0
O governo dos EUA impôs nesta quinta-feira sanções abrangentes contra um ator de ameaças iraniano apoiado pelo Ministério da Inteligência e Segurança (MOIS) do país por realizar campanhas de malware direcionadas a dissidentes iranianos, jornalistas e empresas internacionais nos setores de telecomunicações e viagens.
De acordo com o Tesouro dos EUA e o Federal Bureau of Investigation (FBI), as sanções têm como alvo a Rana Intelligence Computing Company (ou Rana), que as agências disseram operar como uma fachada para o grupo de ameaças APT39 (também conhecido como Chafer ou Remix Kitten), o coletivo iraniano de espionagem cibernética ativo desde 2014 conhecido por seus ataques a empresas nos EUA e no Oriente Médio com o objetivo de roubar informações pessoais e avançar os objetivos de segurança nacional do Irã.
Para isso, 45 indivíduos que atuaram em várias capacidades enquanto trabalhavam na empresa de fachada, incluindo como gerentes, programadores e especialistas em hackers, foram implicados nas sanções, que também proíbem as empresas americanas de fazer negócios com Rana e seus funcionários.
“Mascarado por trás de sua empresa de fachada, a Rana Intelligence Computing Company (Rana), o Ministério da Inteligência e Segurança do Irã (MOIS) empregou uma campanha de malware de anos que teve como alvo e monitorou cidadãos iranianos, dissidentes e jornalistas, as redes governamentais dos países vizinhos do Irã e organizações estrangeiras nos setores de viagens, acadêmicos e telecomunicações”, disseo FBI.
Acredita-se também que Rana tenha como alvo empresas do setor privado iraniano e instituições acadêmicas, incluindo a língua persa e centros culturais dentro e fora do país.
Longa História de Atividades de Espionagem da APT39
O APT39 tem um histórico de invasão de alvos que abrangem mais de 30 países do Oriente Médio, Norte da África e Ásia Central, e pelo menos 15 empresas americanas no setor de viagens foram comprometidas pelo malware de Rana, usando o acesso não autorizado para rastrear os movimentos de indivíduos que o MOIS considerava uma ameaça.
No início de maio deste ano, a Bitdefender descobriu dois ataques cibernéticos direcionados contra infraestruturas críticas no Kuwait e na Arábia Saudita, comprometendo suas vítimas através de e-mails de phishing contendo anexos maliciosos e usando várias ferramentas de intrusão para obter uma base inicial e coletar dados confidenciais de sistemas infectados.
Além de conectar formalmente as atividades do APT39 a Rana, o FBI detalhou oito conjuntos separados e distintos de malware não revelado usado pelo grupo para realizar suas atividades de intrusão e reconhecimento de computadores, que compreendem:
- Documentos do Microsoft Office atrelados ao malware Visual Basic Script (VBS) enviados através de técnicas de engenharia social
- Scripts de malware autoit maliciosos incorporados em documentos do Microsoft Office ou links maliciosos
- Duas versões diferentes de malware BITS para agregar e exfiltrar dados de vítimas a uma infraestrutura controlada por ator
- Um utilitário de captura de tela e keylogger que se disfarçou de navegador Mozilla Firefox legítimo
- Um downloader baseado em Python para buscar arquivos maliciosos adicionais para a máquina da vítima a partir de um servidor de comando e controle (C2)
- Um implante Android (“optimizer.apk”) com recursos de roubo de informações e acesso remoto
- Malware “Depot.dat” para coletar capturas de tela e capturar teclas e transmitir as informações para um servidor remoto sob seu controle
Uma série de acusações contra hackers iranianos
As sanções contra o APT39 são as mais recentes de uma série de ações empreendidas pelo governo dos EUA nos últimos dias contra o Irã, que também engloba acusações contra três hackers por se envolverem em uma campanha coordenada de roubo de identidade e hacking em nome do Corpo de Guarda Revolucionária Islâmica do Irã (IRGC) para roubar informações críticas relacionadas a empresas de tecnologia aeroespacial e satélite dos EUA.
Por último, mas não menos importante, a Agência de Segurança de Segurança cibernética e segurança de infraestrutura (CISA) alertou para um ator cibernético malicioso com sede no Irã que visava várias agências federais dos EUA explorando vulnerabilidades vpn não reparadas para acumular dados confidenciais e até mesmo vender acesso à infraestrutura de rede comprometida em um fórum de hackers online.
“O deslacre das acusações desta semana e outras ações disruptivas serve como mais um lembrete da amplitude e profundidade das atividades cibernéticas maliciosas iranianas que visam não apenas os Estados Unidos, mas países em todo o mundo”, disse John C. Demers, procurador-geral adjunto de Segurança Nacional, em um comunicado.
“Seja dirigindo tais atividades de hackers, ou oferecendo um porto seguro para hackers criminosos iranianos, o Irã é cúmplice no alvo de vítimas inocentes em todo o mundo e está aprofundando seu status como um Estado desonesto.”
FONTE: THE HACKER NEWS