Table of Contents
Agências de cibersegurança dos EUA e de Israel emitiram um aviso recente, atribuindo a intenção de um grupo cibernético iraniano de atacar as Olimpíadas de Verão de 2024. O foco é comprometer um fornecedor francês de displays comerciais, com o intuito de veicular mensagens contrárias à participação de Israel no evento esportivo.
A atividade é ligada a uma entidade chamada Emennet Pasargad, que opera sob o nome de Aria Sepehr Ayandehsazan (ASA) desde meados de 2024. Este grupo é monitorado pela comunidade de cibersegurança sob as designações de Cotton Sandstorm, Haywire Kitten e Marnanbridge.
Segundo o aviso das agências, “o grupo mostrou novas táticas em suas operações de informação habilitadas por cibernética, utilizando uma variedade de identidades falsas. Isso inclui múltiplas operações cibernéticas que visam as Olimpíadas de Verão de 2024, como o comprometimento do fornecedor francês de displays dinâmicos.
O FBI dos EUA, junto com o Departamento do Tesouro e a Diretoria Nacional de Cibersegurança de Israel, relataram que o ASA também surrupiou conteúdo de câmeras IP. Além disso, usaram softwares de inteligência artificial, como Remini AI Photo Enhancer e Voicemod, para modulações de voz e geração de imagens via Appy Pie, visando espalhar propaganda.
A ASA é considerada parte do Corpo da Guarda Revolucionária Islâmica do Irã (IRGC). O grupo é conhecido por suas operações cibernéticas e de influência, utilizando identidades como Al-Toufan, Anzu Team e outras.
Recentemente, a Microsoft informou em um relatório que a Cotton Sandstorm tinha realizado “reconhecimento e sondagens limitadas” em sites relacionados a eleições nos EUA durante abril de 2024. Também foi associada a atividades de reconhecimento direcionadas a grandes publicações de mídia em maio de 2024.
Uma tática observada envolve o uso de revendedores de hospedagem fictícios para criar uma infraestrutura operacional, tanto para seus próprios fins quanto para um ator no Líbano, que abriga sites afiliados ao Hamas.
Desde meados de 2023, a ASA utilizou provedores de hospedagem de cobertura. Segundo as agências, dois provedores, ‘Server-Speed’ e ‘VPS-Agent’, foram empregados para essa gestão de infraestrutura.
Além disso, a ASA estabeleceu seus próprios revendedores e obteve espaço de servidores de várias empresas na Europa, como a BAcloud, na Lituânia, e Stark Industries Solutions/PQ Hosting, no Reino Unido e Moldávia.
O ataque ao fornecedor francês de displays ocorreu em julho de 2024, utilizando a infraestrutura VPS-agent. O objetivo era exibir montagens fotográficas criticando a participação de atletas israelenses nos Jogos Olímpicos e Paralímpicos de 2024.
A ASA também é acusada de contatar famílias de reféns israelenses após a guerra entre Israel e Hamas em outubro de 2023. Isso ocorreu sob a persona Contact-HSTG, visando causar “efeitos psicológicos adicionais”.
Outra persona conhecida, Cyber Court, promove atividades de vários grupos hacktivistas em canais dedicados, como Telegram e um site exclusivo chamado “cybercourt[.]io”.
Ambos os domínios, vps-agent[.]net e cybercourt[.]io, foram apreendidos em uma operação conjunta pelo Escritório do Advogado dos EUA e pelo FBI.
A ASA, após o início da guerra, procurou listar e obter conteúdo de câmeras IP em Israel, Gaza e Irã. Também coletou informações sobre pilotos de caça israelenses e operadores de drones via sites como knowem.com e facecheck.id.
Essa situação emergiu enquanto o Departamento de Estado dos EUA anunciou uma recompensa de até US$ 10 milhões por informações que possam levar à identificação de indivíduos associados ao grupo de hackers do IRGC, chamado Shahid Hemmat, que visa a infraestrutura crítica nos EUA.
Segundo a declaração oficial, “Shahid Hemmat está conectado a atores cibernéticos que visam a indústria de defesa dos EUA e setores de transporte internacional.
O grupo está vinculado a outros indivíduos e organizações que compõem o IRGC-CEC, incluindo pessoas e disfarces variados.
Táticas de Ofuscação na Cibersegurança
As táticas de ofuscação são amplamente empregadas em contextos de malware e segurança cibernética. Essas práticas têm como objetivo dificultar a detecção por softwares de segurança. Confira os principais aspectos:
- Ofuscação de Código: Malwares, como os utilizados para mineração de criptomoedas, aplicam técnicas de ofuscação para esconder seu código. Isso torna a identificação e análise por programas antivírus muito mais complexas.
- Técnicas Avançadas: Além da criptografia do código malicioso, essas táticas podem incluir alterações dinâmicas do código e o uso de bibliotecas legítimas para executar ações maliciosas.
Uso de Revendedores de Hospedagem
No universo dos negócios, o uso de revendedores de hospedagem é uma abordagem estratégica. Veja como isso funciona:
- Modelo de Negócios: Os revendedores atuam como intermediários, adquirindo recursos de hospedagem em larga escala para revendê-los aos clientes finais. Muitas vezes, eles oferecem serviços adicionais ou suporte personalizado.
- Benefícios: Ao escolher revendedores de hospedagem, os clientes podem obter flexibilidade e personalização, além de um suporte técnico especializado, que pode ser crucial para pequenos negócios e startups.
Embora não haja uma menção específica sobre garantias em revendas de hospedagem, é importante lembrar que em contextos de negócios, isso pode variar. Em suma, enquanto as táticas de ofuscação são associadas a atividades maliciosas em cibersegurança, o uso de revendedores de hospedagem representa uma prática legítima e eficaz no setor de tecnologia e serviços.
Táticas de Ofuscação em Ataques Cibernéticos
A cibersegurança enfrenta constantes desafios devido às táticas de ofuscação em ataques cibernéticos. Essas estratégias têm como objetivo ocultar as ações maliciosas dos cibercriminosos, dificultando a detecção por sistemas de segurança. A seguir, apresentamos algumas técnicas utilizadas:
Ofuscação de Código
A ofuscação de código consiste em modificar o código malicioso para torná-lo difícil de entender, sem alterar sua funcionalidade. As técnicas incluem renomeação de variáveis e funções, bem como a utilização de criptografia.
Uso de Nomes Legítimos
Os cibercriminosos frequentemente renomeiam softwares maliciosos para que tenham o mesmo nome de aplicações anti-malware ou softwares conhecidos. Essa prática ajuda a evitar a detecção, já que os sistemas de segurança não suspeitam de nomes confiáveis.
Técnicas de Ofuscação Passiva
Tais técnicas buscam coletar informações sem interação direta com o alvo, minimizando o risco de deteções. Fontes públicas como registros DNS, bases WHOIS e redes sociais são comuns para essa coleta de dados.
Uso de Canais de Comunicação Legítimos
Atacantes muitas vezes utilizam canais legítimos como DNS e HTTP para transmitir dados maliciosos. Essa abordagem dificulta a detecção, uma vez que esses canais são menos prováveis de serem bloqueados por sistemas de segurança.
Rootkits e Backdoors
Rootkits e backdoors são ferramentas utilizadas para ocultar componentes maliciosos. Enquanto rootkits modificam logs para evitar detecções, backdoors oferecem acesso remoto ao sistema sem autorizações.
Modificação de Chaves de Registro e Tarefas Agendadas
Os atacantes alteram chaves de registro ou criam tarefas agendadas que garantem a execução de malware durante a inicialização, mantendo assim uma presença maliciosa oculta.
Hijacking de DLLs
A substituição de Bibliotecas de Vínculo Dinâmico (DLLs) legítimas por maliciosas é uma técnica comum que provoca a execução de código malicioso sem ser detectado.
Desafios para a Detecção
A ofuscação torna o processo de detecção e remoção de malware extremamente desafiador. É essencial utilizar soluções de segurança avançadas que monitorem comportamentos anômalos e estabeleçam uma linha de base para identificar atividades suspeitas.
#cibersegurança #ameaçasiranianas #Olimpíadas2024 #ataquecibernético #alegon