Hackers do Irã vendem acessos a redes corporativas em fóruns ocultos

Com foco em alvos do estado iraniano, os invasores fornecem entrada para outros grupos de hackers locais, como o grupo Shamoon, o Oilrig e o Chafer
Da Redação01/09/2020 20h26, atualizada em 01/09/2020 21h55

20200901053156

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Hackers iranianos de um grupo mais conhecido como Pioneer Kitten estão promovendo ataques cibernéticos ao redor do planeta, mas com alvo principal nos Estados Unidos e em Israel. O que tem causado mais estragos é o modo de faturamento do grupo: ele vende em fóruns clandestinos acessos para as redes corporativas afetadas.

O grupo atacou desse modo no último mês de julho, mas está ativo desde ao menos 2017. Ele foi rastreado  primeiramente pela empresa de segurança cibernética Crowdstrike. Em relatório, publicado nesta terça-feira, 1, a companhia observou que o “adversário parece estar focado principalmente em obter e manter acesso a entidades”, que possuem dados de “provável interesse de inteligência para o governo iraniano”.

Apesar da identificação e da intenção clara do grupo, por outro lado, outras entidades de inteligência, como a ClearSky e a ICS Dragos, identificaram os hackers com dois títulos diferentes: Fox Kitten e Parasite (“parasita”, do inglês), respectivamente. O primeiro alvo de ataques dos hackers misteriosos foram os controladores de aplicativos BIG-IP da empresa de tecnologia F5 Networks, com sede em Seattle.

De onde vieram os ataques ?

Design-sem-nome-12.jpg

Os hackers do grupo Pioneer Kitten vendem acessos de redes corporativas para outros grupos para se manterem financeiramente. Crédito: Pixel2013/Pixabay

Houve uma vulnerabilidade de execução remota de código (RCE) na BIG-IP, que forçou a empresa F5 Networks a corrigir o problema. Então, o grupo hacker se aproveitou de clientes que não tinham ainda atualizado seus produtos. O resultado foi catastrófico: o Pioneer Kitten comprometeu os sistemas vulneráveis, interceptando o tráfico de aplicativos dos controladores.

Mais precisamente, as invasões aconteceram por meio de vulnerabilidades em VPNs (Rede Privada Virtual) e equipamentos de rede. Ou seja, os invasores afetaram a dinâmica que ocorria, por exemplo, entre dois computadores através de uma rede pública, como a Internet. A seguir, eles instalam backdoors (modos de escapar de autenticações), fornecendo acesso a outros grupos de hackers iranianos, como o grupo Shamoon, o grupo Oilrig e o Chafer.

É um ciclo vicioso de invasões. Para se ter uma ideia, anteriormente, o Pioneer Kitten já tinha dado acesso às redes para outros hackers patrocinados pelo Irã, como o Magnallium, Helix Kitten e o próprio Chafer. “Essa atividade sugere uma tentativa potencial de diversificação do fluxo de receita por parte da Pioneer Kitten, ao lado de suas intrusões direcionadas em apoio ao governo iraniano”, concluiu a CrowdStrike.

Fonte:Bleeping Computer

Colaboração para o Olhar Digital

Da Redação é colaboração para o olhar digital no Olhar Digital