0
0
Um dos mais prolíficos grupos de espionagem cibernética ligados ao Irã usou velhos truques — e talvez uma nova ferramenta de hackers — em dezenas de tentativas de violar o governo e as operadoras de telecomunicações no Oriente Médio nos últimos meses, disseram pesquisadores de segurança nesta quarta-feira.
As tentativas de hackers atingiram organizações no Iraque, Kuwait, Turquia e Emirados Árabes Unidos, de acordo com pesquisadores do provedor de segurança Symantec. O Irã tem interesses estratégicos em todos esses países. E os atacantes parecem estar tentando contrabandear dados-chave das organizações que conseguiram violar.
É um lembrete de que, embora outras equipes de hackers associadas a Teerã tenham ganhado notoriedade por ataques disruptivos e de limpeza de dados contra organizações do Oriente Médio, o grupo conhecido como MuddyWater, ou Seedworm, tem sido implacável em seus esforços de espionagem.
“Esses atores estão extremamente focados no que estão fazendo”, disse Vikram Thakur, diretor técnico da Symantec, uma divisão da fabricante de semicondutores e software Broadcom. “Eles não estão usando zero dias. Eles estão apenas procurando métodos comumente disponíveis, juntamente com seus malwares personalizados para entrar nesses ambientes, exfiltrar o que quiserem e seguir em frente.”
Pesquisadores da Symantec e outras empresas de segurança estão investigando uma nova ferramenta de hackers que eles suspeitam que a MuddyWater tem usado nos compromissos. Conhecido como PowGoop, o código malicioso pode instalar outros programas capazes de extrair dados de redes.
“Pode ser um subgrupo dentro [muddywater] que foi incumbido de forma diferente” do resto do grupo, disse Thakur sobre a ferramenta PowGoop.
Embora a Symantec tenha dito que tinha “confiança média” de que a MuddyWater estava por trás do PowGoop, havia outros sinais de que o grupo estava desenvolvendo novas ferramentas.
“A MuddyWater tem sido muito ativa no último ano, tanto em suas operações prolíficas quanto no desenvolvimento constante de ferramentas”, disse Saher Naumaan, analista sênior de inteligência de ameaças da BAE Systems. “Uma evolução significativa são os avanços do grupo em malware”, incluindo uma mudança para cargas maliciosas personalizadas, acrescentou Naumaan, que acompanha de perto os hackers associados ao Irã.
A recente atividade da MuddyWater está de acordo com sua reputação de campanhas de hackers prolíficas. De setembro a dezembro de 2018, por exemplo, o grupo comprometeu 131 vítimas em 30 organizações em todo o mapa, da Rússia à Arábia Saudita à América do Norte, disse a Symantec em pesquisas anteriores.
MuddyWater até agora evitou o escrutínio extra que vem de acusações públicas dos EUA. Não estava entre os supostos hackers iranianos que foram indiciados no mês passado pelos grandes jurados dos EUA. E enquanto as empresas de segurança continuam a expor as ferramentas da MuddyWater, o grupo não mostra sinais de desistência.
FONTE: CYBERSCOOP