Como o Irã terceiriza as suas forças de ameaça cibernética

• 0

Após o assassinato de um importante general iraniano pelos Estados Unidos e o ataque com mísseis de retaliação do Irã, os americanos devem se preocupar com a ameaça cibernética do Irã? Os hackers pró-iranianos já invadiram vários sites dos EUA para protestar contra a morte do general Qasem Soleimani. Um grupo escreveu: "Essa é apenas uma pequena parte da capacidade cibernética do Irã" em um dos sites invadidos.

Há dois anos, escrevi que as capacidades de guerra cibernética do Irã eram menores do que as da Rússia e da China, mas que se tornava uma grande ameaça que só pioraria. Já havia realizado vários ataques cibernéticos altamente prejudiciais.

Desde então, o Irã continuou a desenvolver e implantar suas capacidades de ataque cibernético. Realiza ataques através de uma rede de intermediários, permitindo que o regime atinja seus inimigos enquanto nega o envolvimento direto.

Hackers apoiados pela Guarda Revolucionária Islâmica

A capacidade de guerra cibernética do Irã reside principalmente na Guarda Revolucionária Islâmica do Irã, um ramo das forças armadas do país. No entanto, em vez de empregar sua própria força cibernética contra alvos estrangeiros, o Corpo da Guarda Revolucionária Islâmica parece terceirizar principalmente esses ataques cibernéticos.

De acordo com a Recorded Future, empresa de inteligência contra ameaças cibernéticas, o Corpo da Guarda Revolucionária Islâmica usa intermediários confiáveis ​​para gerenciar contratos com grupos independentes. Esses intermediários são leais ao regime, mas separados dele. Eles tranformam as prioridades das forças armadas iranianas em tarefas discretas, que são oferecidas a contratados independentes.

A Recorded Future estima que até 50 organizações competem por esses contratos. Vários deles podem estar envolvidos em uma única operação.

Os contratados iranianos se comunicam pela internet para contratar trabalhadores e trocar informações. O Ashiyane, o principal fórum de segurança online do Irã, foi criado por hackers em meados dos anos 2000, a fim de disseminar ferramentas e tutoriais sobre hackers na comunidade hacker. A Equipe de Segurança Digital da Ashiyane era conhecida por invadir sites e substituir suas home pages por conteúdo pró-iraniano. Em maio de 2011, o Zone-H, um site de monitoramento de segurança online, havia registrado 23.532 desfechos somente por esse grupo. Seu líder, Behrouz Kamalian, disse que eles cooperavam com as forças armadas iranianas, mas operavam de forma independente e espontânea.

O Irã tinha uma comunidade ativa de hackers pelo menos até 2004, quando um grupo que se autodenomina Iran Hackers Sabotage lançou uma sucessão de ataques na web "com o objetivo de mostrar ao mundo que os hackers iranianos têm algo a dizer na segurança mundial". É provável que muitos dos grupos cibernéticos contratados pelo Irã vêm desta comunidade.

O uso de intermediários pelo Irã dificulta a atribuição de ataques cibernéticos ao regime. No entanto, os investigadores conseguiram rastrear muitos ataques cibernéticos a pessoas dentro do Irã que operam com o apoio da Guarda Revolucionária Islâmica do país.

Campanhas cibernéticas

O Irã se envolve em operações de espionagem e sabotagem. Eles empregam malware que já estão disponíveis no mercado e ferramentas de software personalizadas, de acordo com um relatório de 2018 da Foundation to Defend Democracy. Eles atraem indivíduos específicos com mensagens fraudulentas para obter acesso inicial às máquinas-alvo, atraindo as vítimas a clicar em links que levam a sites falsos onde eles entregam nomes de usuário e senhas ou anexos abertos que plantam "backdoors" (porta de acesso ao sistema) em seus dispositivos. Uma vez dentro da máquina, eles usam várias ferramentas de hackers para se espalhar pelas redes e baixar ou destruir dados.

As campanhas de espionagem cibernética do Irã obtêm acesso às redes para roubar dados proprietários e confidenciais em áreas de interesse do regime. As empresas de segurança que rastreiam essas ameaças os identificam pelos nomes APT (Ameaça persistente avançada), como APT33, nomes de "gatinhos", como Magic Kitten, e diversos outros, como OilRig.

O grupo que a empresa de segurança FireEye chama de APT33 é especialmente digno de nota. Conduziu inúmeras operações de espionagem contra indústrias de petróleo e aviação nos EUA, Arábia Saudita e em outros lugares. Foi relatado recentemente que o APT33 usava pequenas redes de bots (redes de computadores comprometidos) para direcionar sites muito específicos para sua coleta de dados.

Outro grupo conhecido como APT35 (também conhecido como Phosphoros) tentou obter acesso a contas de e-mail pertencentes a indivíduos envolvidos em uma campanha presidencial dos EUA em 2020. Se eles tiverem sucesso, poderão usar informações roubadas para influenciar a eleição, por exemplo, divulgando informações publicamente que podem ser prejudiciais para um candidato.

Em 2018, o Departamento de Justiça dos EUA acusou nove iranianos de conduzir uma campanha maciça de roubo cibernético em nome da Guarda Revolucionária Islâmica. Todos estavam ligados ao Instituto Mabna, uma empresa iraniana por trás de invasões cibernéticas desde pelo menos 2013. Os acusados ​​roubaram 31 terabytes de dados de entidades americanas e estrangeiras. As vítimas incluíram mais de 300 universidades, quase 50 empresas e várias agências governamentais.

Sabotagem cibernética

As operações de sabotagem do Irã empregaram um malware "limpador" para destruir dados em discos rígidos. Eles também empregaram botnets para lançar ataques distribuídos de negação de serviço, onde uma enxurrada de tráfego desabilita efetivamente um servidor. Essas operações são frequentemente escondidas atrás de apelidos que se assemelham àquelas usadas por hacktivistas independentes que invadem máquinas por uma causa e não por dinheiro.

Em um ataque altamente prejudicial, um grupo que se autodenominava a Cutting Sword of Justice atacou a companhia de petróleo Saudi Aramco com um código limpador em 2012. Os hackers usaram um vírus chamado Shamoon para espalhar o código pela rede da empresa, destruindo dados em 35.000 computadores, interrompendo os negócios por semanas.

O software Shamoon reapareceu em 2016, apagando dados de milhares de computadores na agência de aviação civil da Arábia Saudita e em outras organizações. Então, em 2018, uma variante do Shamoon atingiu a empresa italiana de serviços de petróleo Saipem, paralisando mais de 300 computadores.

Os hackers iranianos realizaram ataques massivos distribuídos de negação de serviço. De 2012 a 2013, um grupo chamado Cyber ​​Fighters de Izz ad-Din al-Qasam lançou uma série de ataques implacáveis ​​de negação de serviço contra os principais bancos dos EUA. Dizem que os ataques causaram dezenas de milhões de dólares em perdas relacionadas a custos de mitigação e recuperação e perda de negócios.

Em 2016, os EUA indiciaram sete hackers iranianos por trabalharem em nome da Guarda Revolucionária Islâmica para conduzir os ataques bancários. A motivação pode ter sido uma retaliação pelas sanções econômicas impostas ao Irã.

Olhando para o futuro

Até agora, os ataques cibernéticos iranianos foram limitados a computadores e servidores desktop executando software comercial padrão. Eles ainda não afetaram os sistemas de controles industriais com redes de energia elétrica e outras infraestruturas físicas. Se eles entrassem e assumissem o controle desses sistemas de controle, poderiam, por exemplo, causar danos mais graves, como as falhas de energia de 2015 e 2016 causadas pelos russos na Ucrânia.

Um dos iranianos indiciados pelos ataques bancários entrou no sistema de controle de computadores da represa de Bowman Avenue, na zona rural de Nova York. De acordo com a acusação, nenhum dano foi feito, mas o acesso teria permitido que o portão da represa fosse manipulado se não fosse desconectado manualmente por problemas de manutenção.

Embora não haja relatos públicos de agentes iranianos demonstrando capacidade contra sistemas de controle industrial, a Microsoft informou recentemente que o APT33 parece ter mudado seu foco para esses sistemas. Em particular, eles tentam adivinhar senhas para os fabricantes, fornecedores e mantenedores dos sistemas. O acesso e as informações que podem ser adquiridas com êxito podem ajudá-los a entrar em um sistema de controle industrial.

Ned Moran, pesquisador de segurança da Microsoft, especulou que o grupo pode estar tentando obter acesso aos sistemas de controle industrial para produzir efeitos fisicamente perturbadores. Embora o APT33 não tenha sido diretamente envolvido em nenhum incidente de sabotagem cibernética, os pesquisadores de segurança descobriram links entre o código usado pelo grupo e o código usado nos ataques Shamoon para destruir dados.

É impossível conhecer as intenções do Irã, mas é provável que eles continuem operando inúmeras campanhas de espionagem cibernética enquanto desenvolvem recursos adicionais para sabotagem cibernética. Se as tensões entre o Irã e os Estados Unidos aumentarem, o Irã poderá responder com ataques cibernéticos adicionais, possivelmente mais danosos do que vimos até agora.

*Dorothy Denning é professora emérito de Análise de Defesa na Escola Naval de Pós-Graduação dos Estados Unidos.

© 2019 The Conversation. Publicado com permissão. Original em inglês.