Grupos de cibercriminosos estão sendo usados pelo governo iraniano. Segundo uma investigação da Check Point, o alvo são mais de 1.200 pessoas em sete países. A informação foi divulgada pela empresa a poucos minutos e teve colaboração da SafeBreach. Segundo a investigação, o alvo destes ciberataques são a maioria dissidentes, forças contrárioas ao regime, apoiadores do grupo terrorista ISIS e minitorias curdas.
Mas, dentre os países, o número de 1.200 pessoas estão divididos entre Estados Unidos, Irã, Grâ-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão. No entanto, vale lembrar que em 2018, a Check Point havia divulgado uma campanha chamada Domestic Kitten, aonde foi descoberto que o governo iraniano já estava por trás de ao menos 10 ataques.
Com tudo, em 2021 foi observado que desta dezena de ciberataques descoberta em 2018, ao menos 4 ainda estão ativos. Estes ataques de 2 anos atrás, tinha como foco a espionagem e vigilância com objetivos bastante específicos. No decorrer da investigação, foi identificado que o grupo conhecido como APT-C-50 foi o responsável por esses ataques, capaz de infectar mais de 600 dispositivos, espionar os aparelhos de dissidentes, coletando registros e gravações de ligações, mensagens, fotos, vídeos, dados do GPS e uma lista de aplicativos baixados.
Os pesquisadores da Check Point apontam que os atacantes enganaram as vítimas para fazer o download de um aplicativo aparentemente inofensivo que estava infectado com o malware Domestic Kitten. Para fazer isso, eles usaram vários vetores de ataque, como blogs, canais do Telegram e mensagens de texto (SMS) com um link de download. Além disso, para ganhar a confiança da vítima, os cibercriminosos ocultaram software malicioso em vários aplicativos e serviços aparentemente inofensivos, incluindo:
- VIPRE Mobile Security – Um falso aplicativo de segurança móvel
- ISIS Amaq – Um veículo de comunicação da agência de notícias Amaq
- Exotic Flowers – Uma versão reformulada de um jogo do Google Play
- MyKet – Uma loja de aplicativos para Android
- Iranian Woman Ninja – Um aplicativo de papéis de parede
- Aplicativo Mohen Restaurant – Um restaurante em Teerã
- Infy, o herdeiro do Domestic Kitten que espiona pelo computador
Na nova pesquisa realizada pela Check Point Research (CPR) com a SafeBreach foi identificado um novo grupo de cibercriminosos, conhecido como Infy, que espiona suas vítimas extraindo informações confidenciais de computadores pessoais e corporativos. Entre os arquivos que usaram para atrair a atenção estava uma foto de Mojtaba Biranvand, governador da cidade de Dorud (Lorestan, Irã), que inclui informações sobre seu escritório e seu suposto número de telefone. Além desse, outro arquivo usado ??foi uma imagem do logotipo da ISAAR, a Fundação para Assuntos de Mártires e Veteranos patrocinada pelo governo iraniano, que faz empréstimos a veteranos deficientes. O texto de ambos os documentos foi escrito em persa.
Os pesquisadores observaram que tanto Domestic Kitten quanto Infy estão atualmente ativos, embora observem que a operação deste último foi intermitente desde 2007. Da mesma forma, revelaram que o potencial tecnológico do Infy é muito superior ao das demais campanhas iranianas conhecidas até o momento, já que ataca apenas um pequeno grupo de pessoas e possui funcionalidades especiais para evitar ser detectado ou interrompido.
As evidências desta investigação mostram que o governo iraniano está conduzindo operações cibernéticas. Embora as duas campanhas em destaque já fossem conhecidas, conseguimos encontrar novas evidências de sua atividade recente. Os atacantes por trás dessas campanhas contornam todos os processos de controle para detectar e parar seus ataques: eles aprendem com a história, modificam suas táticas e permitem que o tempo passe antes de retornar aos seus velhos hábitos”, comenta Yaniv Balmas, chefe de pesquisas da Check Point Software Technologies. O governo iraniano está alocando uma grande quantidade de recursos para fortalecer seu controle, algo que se reflete em nossa pesquisa, a qual mostra pela primeira vez várias das técnicas utilizadas nessas campanhas. Tudo isso destaca o quão perigoso pode ser um ciberataque liderado por um país, bem como a importância de se tomar precauções extremas e ter medidas de segurança em vigor em qualquer dispositivo conectado à Internet, conclui Balmas.
Confira uma pequena demonstração em vídeo criado pela Check Point:
Diante disso, a Check Point destaca sua ampla linha de soluções de segurança para ajudar a proteger as informações confidenciais armazenadas em dispositivos móveis. Entre elas, destaca-se o SandBlast Mobile, uma solução de proteção contra ameaças móveis que protege os dispositivos contra ataques móveis avançados. Além disso, o SandBlast Mobile oferece segurança contra aplicativos infectados, ataques Man-in-the-Middle via Wi-Fi, explorações de sistema operacional e links maliciosos em mensagens SMS. As soluções de segurança móvel previnem, detectam e evitam os ciberataques mais sofisticados.