.
Atores iranianos apoiados pelo governo supostamente criaram dezenas de sites de recrutamento e contas de mídia social falsos para caçar agentes duplos e dissidentes suspeitos de colaborar com os inimigos da nação, incluindo Israel.
A campanha teve como alvo falantes de farsi que viviam dentro e fora do Irã, começou em 2017 e durou pelo menos até março deste ano.
A equipe de inteligência de ameaças da Mandiant, de propriedade do Google, descobriu a atividade e a detalhou em um relatório publicado na quarta-feira.
Nesse documento, Ofir Rozmann, Asli Koksal e Sarah Bock, da Mandiant, ofereceram uma avaliação de “alta confiança” de que a operação foi conduzida em nome do regime do Irã e notaram uma “fraca sobreposição” entre esse trabalho de espionagem cibernética e o APT42 – uma unidade cibernética afiliada ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), acusada de hackear a campanha presidencial de Donald Trump.
Quem quer que tenha comandado a campanha usou várias contas de mídia social no X e no Virasty, uma versão iraniana do X, para promover mais de 35 sites falsos de recrutamento de empregos contendo conteúdo escrito em farsi. As postagens incluíam ofertas de emprego e imagens relacionadas a Israel e iscas como a bandeira israelense e os principais marcos, conteúdo usado para atrair falantes de farsi a pensar que estavam mais perto do emprego dos sonhos.
Um Xeet, traduzido do farsi, disse:
Clicar no link no Xeet enviava os usuários ao site de uma falsa empresa de recursos humanos que buscava “recrutar funcionários e oficiais das organizações de inteligência e segurança do Irã”.
Os sites incentivaram os candidatos a emprego com “experiência documentada e currículo[s]” em infosec e segurança cibernética para se candidatar. “Excelente salário” e proteção de privacidade foram anunciados como parte do pacote.
Um dos sites que os caçadores de ameaças da Mandiant detectaram – beparas[.]com – foi adaptado para dispositivos desktop e móveis. O site continha muitos elementos projetados para fazê-lo parecer uma operação legítima baseada em Israel.
Os sites falsos de recrutamento encorajavam os usuários a preencher um formulário registrando seu nome, data de nascimento, e-mail, endereço residencial, educação e experiência profissional. Os invasores obtiveram essas informações, o que pode significar que o Irã pontuou as informações pessoais dos dissidentes.
Esse é um problema óbvio de privacidade de dados. O golpe também pode criar problemas de segurança no mundo real, como o IRGC fez por trás de tentativas de assassinato e outras ameaças físicas contra seus inimigos.
Como observou a equipe da Mandiant: “Os dados coletados, como endereços, detalhes de contato, bem como experiência profissional e acadêmica, podem ser utilizados em operações futuras contra os indivíduos visados.”
Irã intensifica atividade maliciosa
Este último relatório surge no momento em que o Irã intensifica seus ataques cibernéticos contra alvos americanos e estrangeiros.
Ontem, a Microsoft revelou uma série de ataques direcionados aos setores de satélite, equipamentos de comunicação, petróleo e gás e governos federal e estaduais nos EUA e nos Emirados Árabes Unidos.
De acordo com Redmond, um grupo diferente ligado ao governo iraniano, também afiliado ao IRGC, foi responsável por essas intrusões, durante as quais a equipe do Peach Sandstrom implantou um novo backdoor personalizado chamado Tickler.
Além disso, agências do governo dos EUA disseram que outro grupo de ciberespiões iranianos, o Pioneer Kitten, atacou neste mês redes americanas e estrangeiras para roubar dados confidenciais e implantar ransomware.
O ransomware parece ser um negócio paralelo para a equipe, que trabalhou com gangues de ransomware como serviço NoEscape, Ransomhouse e ALPHV/BlackCat, de acordo com o FBI, CISA e Departamento de Defesa dos EUA.
A parte do roubo de dados, no entanto, que geralmente envolve o roubo de informações técnicas confidenciais de organizações de defesa nos EUA, Israel e Azerbaijão, provavelmente é conduzida em nome de Teerã, segundo nos disseram. ®
.
