Hackers iranianos atacam aeroportos e infraestrutura crítica em 16 países

Ao longo dos últimos dois anos, um grupo hacker Iraniano teria comprometido computadores e infraestrutura de redes de 50 organizações espalhadas por 16 países. A lista de atacados contempla companhias aéreas, empresas de segurança e defesa, universidades, instalações militares, hospitais, aeroportos, empresas de telecomunicações, agências de governo e provedores de serviço de energia.

Os ataques estão sendo chamados de Operation Cleaver e são creditados a um grupo de cibercriminosos a partir de Teerã. Os hackers utilizaram ferramentas públicas de ataque e exploração, além de programas específicos de malware criados por eles mesmos. Estima-se que pelo menos 20 cibercriminosos estejam envolvidos nas ações.

“Descobrimos mais de 50 vítimas, com base em nossas investigações, distribuídas ao redor do mundo”, delimitou a empresa de segurança Cylane, em um relatório extenso divulgado na terça-feira (02/12). “Dez desses alvos são baseados nos Estados Unidos e incluem uma grande companhia aérea, uma faculdade de medicina, concessionárias de energia, uma montadora de automóveis e uma instalação militar”, detalha.

Outras organizações atacadas foram identificadas no Canadá, China, Inglaterra, França, Alemanha, Índia, Israel, Kuwait, México, Paquistão, Qatar, Arábia Saudita, Coréia do Sul, Turquia e Emirados Árabes Unidos.

A Cylance acredita que os ataques foram patrocinados pelo Irã, devido a complexidade da infraestrutura disponível e utilizada. O grupo de hackers iraniano foi apelidado do Tarh Andishan – algo que no inglês significa algo como “pensadores” ou “inovadores”

Não há, até o momento, evidências de que os hackers tenham conseguido sabotar alguma rede. Contudo, esse pode ser uma consequência e eventual retaliação por conta de ameaças contra o Stuxnet, Duqu e Flame, malwares que atacaram o país.

“Talvez a informações ‘de gelar os ossos’ foram coletadas em campanhas de ataque segmentado a redes de transporte e sistemas de companhias aéreas e aeroportos na Coréia do Sul, Arábia Saudita e Paquistão”, indicam pesquisadores da Cylane. “O nível de acesso parecia onipresente: domínios de Active Directory foram totalmente comprometidos, bem como switches Cisco, roteadores e toda infraestrutura interna de rede”, acrescentou.

De acordo com a empresa, os hackers conseguiram acesso completo a portões de aeroporto e sistemas de controle de segurança, que “potencialmente permitam falsificar credenciais em portões de embarque”.

Os hackers do Tarh Andishan atacam a partir da injeção de SQLs comuns, phishing e ataques repetidos a brechas de segurança para ter acesso a um ou mais computadores de uma organização determinada. Depois dessa entrada inicial, abrem uma caixa de ferramentas para comprometer sistemas adicionais e aprofundarem-se na rede. O trojan “chave” do grupo se chama TinyZBot.