Um novo relatório revelou o aumento repentino na atividade de ameaças cibernéticas de grupos de hackers pró-Irã que acompanharam a guerra de 12 dias contra Israel no início deste verão.
O SecurityScorecard disse que analisou 250.000 mensagens do Telegram para descobrir várias atividades, incluindo coleta de inteligência, propaganda e ataques diretos a infraestruturas críticas e entidades públicas.
Isso veio de um conjunto diversificado de grupos, incluindo hackers apoiados pelo Estado, representantes e coletivos mais frouxos de “hacktivistas ideologicamente alinhados” que apoiam os objetivos de guerra do Irã.
Entre essas atividades estavam:
- Propaganda pró-Irã em pelo menos 178 grupos do Telegram que misturavam “mensagens ideologicamente orientadas com operações cibernéticas coordenadas”. Os canais incluíam “grupo do Exército Hacker Islâmico”, “Brinde da Resistência” e “Torrado Al-Qassam”
- Campanhas DDoS, operações de phishing e despejos de dados “sob a bandeira de narrativas de queixas locais” de hacktivistas ligados aos palestinos Cyber Islamic Resistance e Cyber Fattah team, Fatimion cyber team do Afeganistão, Maskers Cyber Force da Tunísia e grupos islâmicos como o grupo Islamic Hacker Army e sharp333
- Desfiguração da Web e DDoS por hacktivistas pró-Irã Fatimion Cyber Team
- Roubo de dados e despejo de milhares de registros, incluindo PII dos Jogos Sauditas, pelo grupo de resistência cibernética alinhado ao estado Cyber Fattah team. Isso foi conseguido verificando e explorando vulnerabilidades da web
- Desfigurações de sites, interrupções de serviço, transmissões de propaganda e “mensagens de moral” do grupo hacktivista Cyber Islamic Resistance
- Desfigurações de sites, operações de exfiltração de dados e venda de vulnerabilidades de dia zero pelo coletivo tunisiano Maskers Cyber Force com motivação financeira
Greves APT apoiadas pelo Estado
Essa atividade veio junto com ataques mais tradicionais patrocinados pelo estado pelo grupo APT Tortoiseshell (também conhecido como Cuboid Sandstorm, Yellow Lidercand Imperial Kitten).
“Apenas alguns dias após o início do conflito entre as duas nações, o ator começou a comprar nomes de domínio da NameCheap que giram em torno de temas do conflito, como nowsupportisrael[.]com, apoieisraelfunding[.]com ou stoprirannukes[.]com. O ator então comprou alguns servidores virtuais para hospedar seu domínio”, explicou o SecurityScorecard.
“O agente da ameaça usou esses VPSs junto com a estrutura de phishing Evilginx, para atrair vítimas que falam hebraico com formulários de petição oferecendo apoio a Israel enquanto se concentrava no ataque de 7 de outubro, quando o Hamas atacou Israel em 2023.”
O grupo então implantou o malware Trojan de acesso remoto RemCosRAT em alvos selecionados.
O relatório afirmou que os agentes de ameaças neste conflito exibiam vários graus de sofisticação e alinhamento com o Corpo da Guarda Revolucionária Islâmica (IRGC).
“Compreender a diferença entre grupos patrocinados pelo Estado e oportunistas é crucial para dar sentido a conflitos cibernéticos e cinéticos cada vez mais complexos e interligados”, afirmou.
“As principais recomendações incluem enfatizar a conscientização dos funcionários sobre os perigos do phishing e da engenharia social em momentos de conflito e pedir aos seus fornecedores de segurança que avaliem se sua organização pode se enquadrar no escopo de um campo direcionado.”