O FBI emitiu um aviso dirigido aos defensores de redes, revelando que grupos de piratas informáticos ligados ao Ministério dos Serviços de Informações do Irão estão a utilizar o Telegram como infraestrutura de comando e controlo para a disseminação de software malicioso. A informação foi revelada através de um boletim de segurança oficial, que destaca a crescente preocupação com estas atividades face ao atual clima geopolítico e aos conflitos no Médio Oriente.
O alvo e as táticas utilizadas
Segundo a agência norte-americana, os ataques visam sobretudo jornalistas que criticam o governo iraniano, dissidentes e vários outros grupos da oposição espalhados pelo mundo. Estas operações estão associadas a grupos ativistas como o Handala, também conhecido por Handala Hack Team, Hatef ou Hamsa, e à ameaça patrocinada pelo Estado iraniano, Homeland Justice, que tem ligações à Guarda Revolucionária Islâmica.
A tática principal passa pelo uso de engenharia social para enganar os alvos e infetar os seus equipamentos com software malicioso destinado ao sistema operativo Windows. Uma vez instalada, a ameaça permite aos atacantes extrair ficheiros e capturas de ecrã dos computadores comprometidos. Esta recolha de informações tem resultado em fugas de dados e danos significativos na reputação das vítimas.
Apreensão de domínios e o ataque à Stryker
O alerta das autoridades surge um dia depois de o FBI ter apreendido quatro domínios na internet que eram utilizados de forma maliciosa. Os sites serviam de base para as operações dos grupos Handala, Homeland Justice e de um terceiro interveniente conhecido como Karma Below, sendo frequentemente usados para divulgar documentos sensíveis roubados em ciberataques contra entidades nos Estados Unidos e noutros países.
Um dos casos mais mediáticos levados a cabo pelo grupo Handala envolveu um ataque informático à gigante médica norte-americana Stryker. Os atacantes conseguiram comprometer uma conta de administrador de domínio e criar uma nova conta com privilégios globais. Através da plataforma Microsoft Intune, emitiram um comando de reposição de fábrica que afetou cerca de 80.000 equipamentos, o que incluiu computadores pessoais e dispositivos móveis dos funcionários que eram geridos pela empresa.
Ameaças da Rússia no radar
Para além das ameaças originárias do Irão, as autoridades norte-americanas mantêm-se atentas a outros vetores de ataque. Na semana passada, o FBI já tinha avisado que piratas informáticos associados aos serviços de informações russos estavam a tentar comprometer utilizadores do Signal e do WhatsApp através de campanhas de phishing. Estas operações procuram atingir indivíduos considerados de alto valor, como atuais e antigos funcionários governamentais, militares, figuras políticas e jornalistas. As campanhas já resultaram no comprometimento de milhares de contas, um cenário que foi igualmente confirmado por autoridades de cibersegurança em França e nos Países Baixos.
Nenhum comentário
Seja o primeiro!