A empresa Cybereason diz que o grupo MalKamak usou o Dropbox para emitir comandos para seu Trojan; descobertas mostram semelhanças com hacks anteriores conhecidos do Irã
Pesquisadores de segurança publicaram na quarta-feira um relatório vinculando ataques cibernéticos a uma série de empresas aeroespaciais e de telecomunicações, principalmente no Oriente Médio, a grupos patrocinados pelo Estado iraniano.
MalKamak, um grupo de espionagem cibernética que se acredita estar ligado a outros grupos patrocinados pelo governo iraniano, como Chafer APT (também conhecido como APT39 ou Remix Kitten), foi responsável pelo recente ataque de hack, informou a empresa de segurança cibernética israelense-americana Cybereason.
A empresa não citou vítimas específicas, mas disse que incluía principalmente um “grupo seleto” de empresas no Oriente Médio, com outras nos Estados Unidos, Europa e Rússia. Embora Israel não tenha sido mencionado, o noticiário do Canal 12 de Israel informou que empresas israelenses estavam entre a lista de alvos no Oriente Médio, sem fornecer uma fonte ou detalhes.
De acordo com a Cybereason, o objetivo final do hack era o roubo de informações sobre sua infraestrutura, tecnologia e ativos críticos.
O grupo iraniano utilizou um Trojan de acesso remoto denominado ShellClient, que estava em uso desde pelo menos 2018, para obter informações das empresas. Cybereason disse que a ameaça ainda estava ativa em setembro.
O próprio Trojan é controlado pela plataforma de compartilhamento de arquivos Dropbox, o que aparentemente tornava sua detecção difícil.
Os comandos são enviados ao Trojan, que está disfarçado como um programa legítimo da Microsoft, para primeiro configurá-lo e identificar as informações do sistema e qual software antivírus está instalado.
Em seguida, ainda usando o Dropbox, os hackers enviam outro conjunto de comandos para transformar o Trojan em um programa persistente no computador da vítima, com privilégios de administrador.
Cybereason disse que sua equipe comparou suas observações com campanhas anteriores que foram atribuídas a atores iranianos conhecidos, “e foi capaz de apontar algumas semelhanças interessantes entre ShellClient e malware iraniano relatado anteriormente e atores de ameaças”.
Numerosos ataques cibernéticos iranianos suspeitos contra Israel foram relatados nos últimos anos, incluindo um que teve como alvo sua infraestrutura de água em 2020.
Israel e o Irã estão envolvidos em uma guerra de sombras de anos, com Israel supostamente direcionando a maioria de seus esforços – incluindo vários ataques cibernéticos suspeitos – para sabotar o programa nuclear da República Islâmica.
Publicado em 07/10/2021 22h17
Artigo original: