Descoberto aumento nas atividades de APT ligada ao Irã na era pós Stuxnet*

Evidências no relatório sugerem que as metodologias do Ajax têm crescido com mais consistência com outros atores de Ameaça Persistente Avançada ou APT (sigla em inglês para Advanced Persistent Threat) dentro e em volta do Irã depois dos ciber-ataques contra o país no final da década de 2000.

“Há uma evolução em curso nos grupos de hackers baseados no Irã que coincide com os esforços do país em controlar a dissidência política e expandir suas capacidades cibernéticas ofensivas”, disse Nart Villeneuve, pesquisador sênior de inteligência de ameaças da FireEye.

“Temos assistido não só a atividade crescente de atores de ameaça baseados no Irã, mas também uma transição para táticas de ciber-espionagem. Nós não vemos estes atores realizando ataques para simplesmente espalhar a sua mensagem, em vez disso, estão escolhendo conduzir um reconhecimento detalhado e controle de máquinas alvo para iniciativas de longo prazo.”

Os alvos da Operação Saffron Rose incluem dissidentes iranianos e organizações de Defesa americanas. O laboratório da FireEye observou recentemente a Ajax Security Team conduzindo múltiplas operações de ciber-espionagem contra empresas da base industrial de defesa dentro dos EUA.

O grupo também tem como alvo usuários iranianos locais de Proxifier ou Psiphon, que são tecnologias anti-censura que evitam o sistema de filtragem de internet iraniana.

Se o Ajax Security Team opera isoladamente ou como parte de um esforço maior coordenado pelo governo, não está claro.

A equipe usa ferramentas de malware que não parecem estar disponíveis publicamente ou que são utilizadas por quaisquer outros grupos de ameaça. Este grupo usa táticas de engenharia social variada para atrair alvos e infectar seus sistemas com malware.

Embora o laboratório da FireEye não tenha observado o Ajax usando ataques zero-day para infectar as vítimas, membros do grupo usaram previamente códigos de exploit disponíveis publicamente para fazer “deface” de sites.

A FireEye descobriu informações sobre 77 vitimas de um servidor command-and-control (CnC) encontrado ao analisar amostras de malware disfarçadas como Proxifier ou Psiphon. Analisando os dados das vítimas, a FireEye descobriu que uma grande concentração delas teve seu fuso horário definido para “Horário Oficial do Irã” ou sua língua definida para o persa.

Abaixo, uma análise detalhada dos dados das vítimas:

• 44 tiveram o fuso horário definido para “Horário Oficial do Irã” e destes, 37 também tiveram a língua definida para o persa.
• Das 33 vítimas que não tiveram o fuso horário modificado, 10 tiveram a língua modificada para o persa.
• 12 das vítimas tinham ou Proxifier ou Psiphon instalados ou em execução (todas as 12 tinham definição de língua o persa, e todas menos uma tiveram o fuso horário definido para “Horário Oficial do Irã)

O Irã tem sido identificado publicamente em ataques cibernéticos avançados desde 2009, quando os planos para um novo helicóptero presidencial dos EUA, Marine Corps One, foram achados em uma rede de compartilhamento no país¹. Em 2010, o “Exército Cibernético do Irã” derrubou o Twitter e o mecanismo de busca chinês Baidu,

redirecionando os usuários para mensagens políticas iranianas². Em 2013 o Wall Street Journal relatou que invasores iranianos aumentaram seus esforços para comprometer a infraestrutura crítica dos EUA³. Por fim, ao longo do ano passado, outro grupo chamado Izz ad-Din al-Qassam lançou a “Operação Ababil”, uma série de ataques DDoS contra instituições financeiras dos EUA incluindo a Bolsa de Valores de Nova York⁴

*Stuxnet foi um “míssil cibernético” lançado em 2010, projetado com precisão meticulosa para se entocar dentro do programa nuclear do Irã e destruir infraestrutura física. Em certo ponto, este software substituiu um esquadrão de aviões de combate que teria violado o espaço aéreo estrangeiro, lançado bombas guiadas a laser e teria deixado uma cratera na superfície da Terra.

O relatório completo esta disponível aqui.

1.Borak, D. (3 Mar 2009) “Source in Iran views Marine One blueprints,” Marine Corps Times.
2.Wai-yin Kwok, V. (13 Jan 2010) “Baidu Hijacked By Cyber Army,” Forbes.
3.Gorman, S. & Yadron, D. (23 May 2013) “Iran Hacks Energy Firms, U.S. Says,” Wall Street Journal.
4.Walker, D. (8 Mar 2013) “Hacktivists plan to resume DDoS campaign against U.S. banks,” SC Magazine.

Sobre a FireEye, Inc.

A FireEye inventou uma plataforma de segurança baseada em máquina virtual especialmente construída para fornecer proteção contra ameaças em tempo real para empresas e governos no mundo inteiro contra a próxima geração de ataques cibernéticos. Esses ataques altamente sofisticados podem facilmente contornar defesas tradicionais baseadas em assinatura, tais como firewalls de próxima geração, IPS, anti-vírus e gateways. A Plataforma de Prevenção de Ameaças da FireEye (FireEye Threat Prevention Platform) fornece, em tempo real, proteção contra ameaças dinâmicas sem o uso de assinaturas para proteger uma organização em todos os vetores de ameaças primárias e nas diferentes etapas do ciclo de vida de um ataque. O núcleo da plataforma FireEye é um engine de execução virtual, complementado pela inteligência de ameaça dinâmica, para identificar e bloquear ataques cibernéticos em tempo real. A FireEye tem mais de 1.900 clientes em mais de 60 países, incluindo mais de 130 no Fortune 500.