De acordo com uma nova investigação, hackers ligados ao governo do Irã teriram como alvos diversas organizações da indústrias de satélite, defesa e farmacêutica como parte de uma campanha de espionagem.
A Microsoft divulgou um relatório na quinta-feira que identificou um grupo de hackers chamado Peach Sandstorm como responsável por ataques a organizações em todo o mundo. O grupo teve sucesso em comprometer algumas das organizações visadas e roubar seus dados.
A Microsoft não divulgou quais países foram alvos dos ataques, mas os ataques recentes ligados ao Irã concentraram-se principalmente em Israel, nos EUA, no Brasil e nos Emirados Árabes Unidos.
o grupo Peach Sandstorm usou uma combinação de ferramentas publicamente disponíveis e personalizadas para atacar organizações em todo o mundo de fevereiro a julho, de acordo com um relatório da Microsoft. O grupo coletou informações "em apoio aos interesses do Estado iraniano", disse a empresa.
Para invadir as contas de suas vítimas, os hackers usaram uma técnica chamada “spraying password”, onde tentavam uma única senha ou uma lista de senhas comumente usadas para obter acesso não autorizado aos dispositivos dos alvos.
Por mais simples que pareça, esta técnica permite que os invasores aumentem suas chances de sucesso e reduzam o risco de desencadear bloqueios automáticos de contas, disse a Microsoft.
O grupo de hackers Peach Sandstorm, anteriormente conhecido como Holmium, também usou a técnica de spraying password em seus ataques anteriores. Esses ataques visaram organizações nos setores aeroespacial, defesa, produtos químicos e mineração.
Uma vez que o grupo consegue comprometer um alvo, seus ataques se tornam mais sofisticados. A Microsoft observou que os hackers usaram as ferramentas AzureHound e Roadtools da empresa para coletar informações do sistema da vítima, acessar dados na nuvem do alvo e transferir dados específicos para um banco de dados.
Os hackers também instalaram o cliente Azure Arc em um dispositivo comprometido e o vincularam à sua própria assinatura do Azure, dando-lhes controle sobre os dispositivos direcionados da infraestrutura em nuvem dos hackers.
Peach Sandstorm também tentou tirar vantagem de vulnerabilidades conhecidas publicamente, como a do Zoho ManageEngine, um serviço usado para gerenciamento de serviços de TI, e a ferramenta de colaboração em equipe Confluence.
A Peach Sandstorm também usou o AnyDesk, uma ferramenta comercial de monitoramento e gerenciamento remoto, para manter o acesso aos seus alvos. As autoridades de segurança cibernética dos EUA alertaram contra o uso indevido de tais ferramentas, pois são “uma maneira fácil de contornar os sistemas de segurança e estabelecer acesso duradouro às redes das vítimas”.
“As capacidades observadas nesta campanha são preocupantes”, disse a Microsoft, e mesmo o acesso inicial por hackers estrangeiros “poderia impactar negativamente as vítimas”.
Esta semana, pesquisadores encontraram uma nova ferramenta de backdoor usada por supostos hackers iranianos contra alvos no Brasil, Israel e Emirados Árabes Unidos. O grupo de hackers, conhecido como Ballistic Bobcat ou Charming Kitten, implantou esta ferramenta entre março de 2021 e junho de 2022, visando pelo menos 34 vítimas, a maioria em Israel, de acordo com a empresa de segurança cibernética ESET.
Um relatório recente da Microsoft também afirmou que os hackers apoiados pelo Estado iraniano estão utilizando cada vez mais operações de influência para amplificar o impacto dos ataques cibernéticos convencionais e promover a agenda política de Teerã em Israel e nos EUA.
Comments