0
0
Um olhar para o estado das operações cibernéticas do Irã como os EUA coloca o aperto sobre ele com uma pilha de acusações e sanções.
O governo dos EUA atingiu duramente a máquina de hackers do Estado iraniano no início deste mês: em um período de 72 horas, ele deslaterou três acusações separadas de sete indivíduos baseados no Irã com um total de 22 acusações. Também emitiu sanções econômicas contra uma empresa de tecnologia de fachada para o Ministério da Inteligência e Segurança do Irã (MOIS) e uma equipe de hackers do Estado-nação iraniano de cerca de 45 pessoas.
Tudo fazia parte de um esforço coordenado de interrupção e dissuasão do governo dos EUA contra o MOIS do Irã, o Corpo de Guarda Revolucionária Islâmica (IGRC) e outros indivíduos no país que têm sido alvo de vítimas nos EUA e em outros lugares.
Terry Wade, diretor assistente executivo do Ramo de Criminal, Cyber, Resposta e Serviços do FBI, descreveu como um esforço para “impor consequências” aos hackers iranianos.
“Nenhum ator cibernético deve pensar que pode comprometer as redes dos EUA, roubar nossa propriedade intelectual ou manter nossa infraestrutura crítica em risco sem incorrer em riscos”, disse ele em um comunicado depois que as acusações e sanções foram proferidas naquela semana.
Os múltiplos arquivos dos federais na semana de 14 de setembro que desmascararam alguns dos principais atores e grupos de espionagem cibernética do Irã também vieram em meio a um aviso conjunto de 15 de setembro do FBI e do Departamento de Segurança Interna dos EUA sobre ataques cibernéticos fora do Irã visando agências federais dos EUA e outras organizações.
Nomear e humilhar pela aplicação da lei dos EUA de suspeitos de nações sem acordos de extradição com os EUA, como o Irã – assim como a China e a Rússia – pode parecer principalmente simbólico, mas os formuladores de políticas afirmam que isso dá aos EUA alguma influência na formulação de políticas, bem como uma maneira de prender um suspeito que ousa viajar para uma nação amigável aos EUA. Os federais têm usado cada vez mais essa ferramenta para pressionar adversários do Estado-nação, como o Irã, a discar de volta suas campanhas de espionagem cibernética e crimes cibernéticos.
Tom Bossert, ex-conselheiro de Segurança Interna dos EUA na Casa Branca sob o presidente Donald Trump e coautor da Estratégia Nacional de Segurança Interna de 2007, diz que acusações e sanções são parte de uma estratégia de resposta maior na internet. Atribuição pública de atores de ameaças cibernéticas foi política durante seu mandato no governo Trump.
“[As acusações e sanções] não modificam as escolhas de comportamento da liderança no Irã, Rússia e China – não sozinha, de qualquer maneira. Mas são partes importantes de uma resposta estratégica maior. Entre outras coisas, permite que eles saibam o que sabemos e, em alguns casos, faz com que eles saibam mais”, diz Bossert, que é presidente da Trinity Cyber, uma startup de serviços de prevenção de ameaças co-fundada pelo ex-vice-diretor do Centro de Operações de Ameaças da Agência Nacional de Segurança. “Isso começa a fazê-los temer fantasmas em cada esquina, e começa a fazê-los redobrar seus esforços em segredo. Pode atrasar… seu ciclo de operação.
Bossert, que serviu o governo Trump desde seu início em 2017 até abril de 2018, diz que esses esforços podem ajudar nas investigações em andamento.
“É útil, disruptivo e muitas vezes pode nos ajudar com algumas das coisas que não colocamos nesses relatórios”, diz Bossert. “Se isso os faz pensar por um momento, então é eficaz.”
O Irã vai contra-atacar?
É muito cedo para determinar se a recente enxurrada de acusações e sanções interromperá campanhas de ataque cibernético existentes ou planejadas pelo Irã – ou desencadeará qualquer invasão destrutiva retaliatória. Bossert diz que é possível que o Irã possa contra-atacar mais agressivamente contra os EUA – especialmente se Trump ganhar as eleições presidenciais de 2020 novamente, as posições atuais e rigorosas contra o Irã continuam – mas é difícil discernir.
Curiosamente, embora as operações cibernéticas do Irã tenham amadurecido ao longo dos anos e se expandido mais amplamente na espionagem cibernética, seu MO de hackers na maior parte não mudou drasticamente, de acordo com especialistas em inteligência de ameaças. Os atores estatais iranianos raramente alteram seus padrões e métodos de ataque, observa a analista sênior de inteligência de ameaças de Mandiant, Sarah Jones.
“Eles mantêm o que funciona para eles”, diz Jones, especialista em atividade cibernética iraniana. “Muitos TTPs iranianos [táticas, técnicas e procedimentos] tendem a ser reutilizados [por seus vários grupos]”, diz ela. “Não há muita sofisticação técnica, na verdade, mas é muito difícil para os defensores da rede detectar e responder a isso.”
O ritmo de transformação digital e resiliência cibernética aumentou nos últimos anos. Você está acompanhando?Trazido a você pela Micro Focus
Jones diz que um grupo iraniano que ela segue, mais conhecido pelo apelido Charming Kitten, tem como alvo as contas de e-mail pessoais de suas vítimas como um caminho para as redes de suas organizações-alvo.
“É difícil para um defensor da rede se proteger contra isso”, diz ela, especialmente quando os usuários têm suas contas pessoais em um dispositivo móvel e não estão conectados às redes de suas empresas ao usar suas contas de e-mail pessoais. Uma vez que o agressor está na conta de e-mail privada da vítima, o agressor tem acesso a todos os outros contatos da vítima, ela observa, que fornece informações ricas para outros alvos.
Allison Wikoff, analista estratégica de ameaças cibernéticas da IBM X-Force e especialista em operações iranianas, descreve a atividade de hackers do Irã da mesma forma: É “negócios como de costume”, diz ela. Até o momento, sua equipe não testemunhou nenhum aumento ou declínio na atividade normal de operação cibernética do Irã.
“Eu diria que as táticas, malware e técnicas funcionam” para o Irã, então não há motivação para que eles mudem de curso, diz Wikoff. Charming Kitten, conhecido como ITG18 pela IBM, “é uma prova de aderir ao que funciona”.
Hackers iranianos raramente desenvolvem suas próprias façanhas, também.
“Eles esperam que eles entrem no mercado…. e mudar algumas coisas lá e implantá-la eles mesmos”, diz Vikram Thakur, diretor técnico de resposta à segurança da Symantec da Broadcom.
Embora as ferramentas de hackers do Irã não tenham mudado, a forma como são empregadas evoluiu. E como os hackers conduzem e executam suas operações se tornou mais sofisticado, diz Adam Meyers, vice-presidente de inteligência da CrowdStrike.
“Nós os vimos aprendendo com como a Rússia fez isso e como a China fez isso, e eles aprenderam muitas lições na Síria” com hackers estatais russos, diz ele. “Eles aumentaram a forma como usam [ataques cibernéticos].”
Meyers acredita que os vazamentos de ferramentas cibernéticas iranianas sensíveis e o doxing de hackers iranianos pelo chamado Lab Dookhtegan e outros no ano passado podem ter ajudado a solidificar a onda de acusações proferidas pelos EUA este mês. “É consistente com a estratégia de pressão máxima sobre o Irã”, ressalta.
Pesquisadores da VMware, por sua vez, viram o Irã, assim como a Coreia do Norte, empregar táticas de evasão semelhantes ao que os hackers do estado-nação russo usam.
“Eles estão usando muitas técnicas para contra-IR [resposta a incidentes] e evasão que foram usadas com sucesso no passado pela Rússia”, diz Tom Kellermann, chefe de estratégia de segurança cibernética da VMware e membro do Conselho Consultivo de Investigações Cibernéticas do Serviço Secreto dos EUA. “Eles estão bloqueando os eventos de atingir o SIEM, desativando o Windows AMSI [interface anti-malware de varredura], e implantando ransomware como DDoS.”
Hackers de estado-nação desmascarados
Na primeira das três acusações do DoJ, que não foi selada em 15 de setembro, Behzad Mohammadzadeh, também conhecido como Mrb3hz4d, e o palestino Marwan Abusrour, também conhecido como Mrwn007, foram acusados de hackear e desfigurar sites hospedados nos EUA em três acusações. Seus supostos atos, que se acreditava ser uma aparente retaliação para o ataque aéreo de 2 de janeiro de 2020, que matou o oficial do IGRC Qasem Soleimani, eram parte de uma campanha de desfiguração maior de cerca de 1.400 sites em todo o mundo.
Em 16 de setembro, o DoJ deslabilizou uma acusação de 10 acusações acusando os cidadãos iranianos Hooman Heidarian, também conhecido como neo, e Medhi Farhadi, conhecido como Mehdi Mahdavi, por supostamente roubar centenas de terabytes de dados de alvos nos EUA, Europa e Oriente Médio – incluindo informações confidenciais de segurança nacional, inteligência, aeroespacial, pesquisa científica e informações de ativistas humanos. Os réus também monetizaram alguns dos dados, que incluíam informações financeiras sobre suas vítimas, vendendo-os no subsolo cibernético.
A terceira acusação, em 17 de setembro, acusou três cidadãos iranianos de nove acusações de hackear e atacar organizações nas indústrias aeroespacial e de tecnologia de satélites entre junho de 2015 e fevereiro de 2019. Disse que Pourkarim Arabi, 34, Mohammad Reza Espargham, 25, e Mohammad Bayati, 34, foram acusados de roubo de identidade e hacking para o IGRC. De acordo com a acusação, os homens se passaram por funcionários da indústria aeroespacial e satélite nos EUA através de identidades on-line roubadas, a fim de enviar e-mails de phishing e lançar malware em sistemas direcionados.
Os hacks foram dirigidos pelo IGRC, do qual Arabi é membro.
O Departamento do Tesouro dos EUA emitiu sanções à equipe de hackers APT39 (também conhecida como Chafer e ITG07) do Irã, bem como a outros 45 associados e uma empresa de fachada conhecida como Rana Intelligence Computing Company em 17 de setembro. A equipe de hackers sob o disfarce de Rana realizou ataques cibernéticos contra dissidentes iranianos, jornalistas e empresas de serviços de viagem com sede nos EUA.
Empreiteiros como Cobertura
As acusações e as sanções lançaram mais luz sobre as linhas borradas entre hackers do Estado-nação e cibercriminosos no Irã.
“Acho que é uma maneira de fazer negócios na internet”, diz Paul Kurtz, co-fundador e presidente do provedor de plataformas de gerenciamento de inteligência de segurança TruStar. Kurtz trabalhou para os presidentes Bill Clinton e George W. Bush em segurança cibernética e política crítica de infraestrutura.
A Rússia é infame por sua prática de contratar cibercriminosos para fazer seu hacking de estado-nação e olhar para o outro lado quando eles realizam hackers não-estatais. É uma maneira relativamente econômica para nações como a Rússia e o Irã explorarem talentos tecnológicos em casa.
“Então, se você é uma pessoa jovem e tem habilidades cibernéticas … É uma ótima maneira de colocar comida na mesa. [Estou] não desculpando seu comportamento”, diz ele, mas alguns iranianos lutam para encontrar empregos dada a economia pobre lá. “Muitas vezes sentimos falta disso.”
Também fornece cobertura para os governos. “Eles sempre podem dizer que esses [indivíduos] não fazem parte” do governo, diz Thakur, da Broadcom.
FONTE: DARK READING