.
Essa onda inicial de hackers de cyberav3ngers, real e fabricada, parece ter feito parte de um tit-for-tat com outro grupo de hackers altamente agressivo que se acredita que trabalhe em nome das agências militares ou de inteligência israelenses. Esse grupo rival, conhecido como pardal predatório, direcionou repetidamente os sistemas de infraestrutura crítica iraniana enquanto se escondia de maneira semelhante atrás de uma frente hacktivista. Em 2021, desativou mais de 4.000 postos de gasolina iranianos em todo o país. Então, em 2022, incendiou um moinho de aço no ataque cibernético mais destrutivo da história. Após a campanha de hackers do Cyberav3Ngers, e o Missile é lançado contra Israel por rebeldes houthis apoiados pelo Irã, o Peda Sparrow retaliou novamente ao derrubar milhares de postos de gasolina do Irã em dezembro daquele ano.
“Khamenei!” Predatation Sparrow escreveu em X, referindo -se ao líder supremo do Irã no farsi. “Vamos reagir contra suas provocações malignas na região”.
Os ataques predadores de pardal foram fortemente focados no Irã. Mas o Cyberav3ngers não se limitou a alvos israelenses, ou mesmo dispositivos fabricados israelenses usados em outros países. Em abril e maio do ano passado, diz Dragos, o grupo violou uma empresa de petróleo e gás dos EUA – Dragos se recusou a citar qual deles – comprometendo os aparelhos de segurança Sophos e Fortinet da empresa. Dragos descobriu que, nos meses que se seguiram, o grupo estava examinando a Internet em busca de dispositivos vulneráveis do sistema de controle industrial, além de visitar os sites dos fabricantes desses dispositivos para ler sobre eles.
Após seus ataques no final de 2023, o Tesouro dos EUA sancionou seis funcionários do IRGC O que diz estar vinculado ao grupo, e o Departamento de Estado colocou sua recompensa de US $ 10 milhões em suas cabeças. Mas, longe de serem dissuadidos, o Cyberav3ngers mostrou sinais de evolução para uma ameaça mais difundida.
Em dezembro passado, Claroty revelado O fato de o CyberAv3ngers ter infectado uma ampla variedade de sistemas de controle industrial e dispositivos da Internet-das Esquinhas (IoT) em todo o mundo usando uma peça de malware que desenvolveu. A ferramenta, que a Claroty chama de iocontrol, era um backdoor baseado em Linux que escondeu suas comunicações em um protocolo conhecido como MQTT usado pelos dispositivos IoT. Foi plantado em tudo, desde roteadores a câmeras e sistemas de controle industrial. Dragos diz que encontrou dispositivos infectados pelo grupo em todo o mundo, dos EUA para a Europa à Austrália.
De acordo com Claroty e Dragos, o FBI assumiu o controle do servidor de comando e controle para iocontrole ao mesmo tempo que o relatório de dezembro de Claroty, neutralizando o malware. (O FBI não respondeu ao pedido de comentário da Strong The One sobre a operação.) Mas, no entanto, a campanha de hackers dos Cyberav3ngers mostra uma evolução perigosa nas táticas e motivos do grupo, de acordo com Noam Moshe, que rastreia o grupo para Claroty.
“Estamos vendo cyberav3ngers se movendo do mundo de atacantes oportunistas, onde todo o seu objetivo estava divulgando uma mensagem para o reino de uma ameaça persistente”, diz Moshe. Na campanha de hackers do iocontrol, ele acrescenta: “Eles queriam poder infectar todos os tipos de ativos que eles identificam como críticos e apenas deixar seu malware lá como uma opção para o futuro”.
Exatamente o que o grupo poderia estar esperando – possivelmente algum momento estratégico em que o governo iraniano pudesse obter uma vantagem geopolítica de causar uma perturbação digital generalizada – está longe de ser clara. Mas as ações do grupo sugerem que ele não está mais procurando apenas enviar uma mensagem de protesto contra ações militares israelenses. Em vez disso, argumenta Moshe, está tentando obter a capacidade de interromper a infraestrutura estrangeira à vontade.
“Isso é como um botão vermelho em sua mesa. A qualquer momento, eles querem poder atacar muitos segmentos diferentes, muitos setores diferentes, muitas organizações diferentes, mas elas escolherem”, diz ele. “E eles não estão indo embora.”
.
