Duas investigações realizadas pela Check Point revelam que o governo iraniano tem coletado registos telefónicos, mensagens, localização e outros dados sensíveis
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, conduziu duas investigações no âmbito de dois cibergrupos iranianos que sugerem que o governo iraniano continua a vigiar e atacar dissidentes do regime, tanto no Irão como no estrangeiro. Os investigadores da Check Point conseguiram traçar as várias técnicas que têm permitido os atacantes ter sucesso na implementação das suas campanhas maliciosas.
O primeiro grupo, conhecido por APT-C-50, espia os telemóveis, armazenando registos telefónicos, mensagens, fotografias e dados de GPS. Através da campanha maliciosa “Domestic Kitten”, o grupo conseguiu atingir 1200 indivíduos a viver em 7 países diferentes, concretizando pelo menos 600 infeções. O segundo grupo, conhecido por Infy, espia os computadores das vítimas, extraindo dados sensíveis de dispositivos domésticos e empresariais após a abertura de um e-mail malicioso. Com a ajuda de investigadores da SafeBreach, a Check Point Research expôs uma campanha recente do grupo Infy que atingiu dissidentes do regime localizados em 12 países distintos. Ambas as campanhas, Domestic Kitten e Infy, continuam ativas de momento.
Domestic Kitten espia os dispositivos móveis das suas vítimas através de apps populares
A Domestic Kitten, campanha maliciosa denunciada pela Check Point Research pela primeira vez em 2018, é agora desvendada por completo, revelando a vigilância extensiva a que estão a ser sujeitos os cidadãos iranianos. Desde 2017, a operação Domestic Kitten tem consistido em 10 campanhas únicas, 4 das quais continuam ativas de momento, tendo a mais recente iniciado funções a novembro de 2020.
Nestas campanhas, os ciberatacantes utilizam vários vetores para fazer com que as vítimas procedam à instalação de uma aplicação maliciosa, entre os quais constam um blog iraniano, canais de Telegram ou via SMS, com o envio de links duvidosos. As capacidades do malware Domestic Kitten, apelidado pelos investigadores de “Furball”, incluem a gravação de chamadas, a gravação do ambiente envolvente, acesso a dados de localização, a identificadores de dispositivo, registo de mensagens SMS e chamadas, roubo de ficheiros de media, como vídeos e fotos, bem como a possibilidade de obtenção de uma lista das aplicações instaladas e o roubo de ficheiros a partir do armazenamento externo.
A FurBall recorre a várias capas para esconder as suas intenções maliciosas. Entre as mais proeminentes identificadas pelos investigadores da Check Point estão:
A Domestic Kitten já vitimou mais de 1200 indivíduos, com mais de 600 dispositivos infetados com sucesso, espalhados por sete países: Irão, Estados Unidos da América, Grã-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão. Entre as vítimas constam dissidentes internos, forças de oposição, apoiantes do ISIS, a minoria curda residente no Irão, e outros.
Download de anexos de e-mail é a porta de entrada da operação Infy para espiar computadores
Os investigadores da Check Point, em colaboração com a SafeBreach, encontraram evidências que sugerem que a Infy, uma cibercampanha maliciosa que tem estado em operação desde 2007, ainda que com algumas interrupções, retomou atividade. O seu mais recente ataque começa com o envio de e-mails atrativos que incitam o utilizador a fazer download dos ficheiros anexados. Após a abertura destes documentos, é instalada no computador da vítima uma ferramenta de espionagem que resulta no roubo de dados sensíveis.
A investigação conduzida pela Check Point expõe dois dos ficheiros utilizados pela Infy para atrair potenciais vítimas. O primeiro documento contém uma foto de Mojtaba Biranvand, o governador da cidade de Dorud, em Lorestan Province, Irão. O documento está em persa e inclui informação relativa ao seu gabinete, contendo ainda o alegado contacto telefónico do próprio governador. O segundo ficheiro, também em persa, apresenta o logotipo do ISAAR, a Fundação Iraniana de Mártires e Veteranos, apoiada pelo governo que garante empréstimos a veteranos incapacitados e familiares de mártires de guerra.
De acordo com os investigadores, as aptidões tecnológicas da Infy são largamente superiores a outras campanhas iranianas igualmente conhecidas, na medida em que se verificam consideráveis esforços dos atacantes para se manterem indetetáveis e funcionais. Além disso, reconhece-se ainda um conjunto de alvos identificados e atingidos com sucesso. O número de ataques da operação Infy por país distribui-se da seguinte forma:
“Não há dúvidas de que o governo iraniano está a investir significativamente os seus recursos em operações no ciberespaço. Embora ambas as operações que surgem em destaque nesta investigação fossem já nossas conhecidas, conseguimos encontrar novos detalhes relativos à sua atividade,” começa por afirmar Yaniv Balmas, Head of Cyber Research da Check Point. “Embora já tenham sido desvendados e até parados antes, os operadores destas campanhas de espionagem nunca param totalmente. Aprendem com os erros do passado, modificam as suas táticas e aguardam pelo timing certo para voltar à atividade,”. O responsável termina dizendo: “na nossa investigação são reveladas várias técnicas nunca antes vistas, algumas mais avançadas que outras, mas todas desconhecidas. De forma geral, penso que esta investigação coloca em evidência o perigo dos ciberataques quando utilizados pelos governos, reforçando a importância de, enquanto indivíduos, estarmos constantemente alerta ao utilizarmos os nossos telemóveis, computadores – todos os dispositivos eletrónicos para ser honesto.”
O primeiro grupo, conhecido por APT-C-50, espia os telemóveis, armazenando registos telefónicos, mensagens, fotografias e dados de GPS. Através da campanha maliciosa “Domestic Kitten”, o grupo conseguiu atingir 1200 indivíduos a viver em 7 países diferentes, concretizando pelo menos 600 infeções. O segundo grupo, conhecido por Infy, espia os computadores das vítimas, extraindo dados sensíveis de dispositivos domésticos e empresariais após a abertura de um e-mail malicioso. Com a ajuda de investigadores da SafeBreach, a Check Point Research expôs uma campanha recente do grupo Infy que atingiu dissidentes do regime localizados em 12 países distintos. Ambas as campanhas, Domestic Kitten e Infy, continuam ativas de momento.
Domestic Kitten espia os dispositivos móveis das suas vítimas através de apps populares
A Domestic Kitten, campanha maliciosa denunciada pela Check Point Research pela primeira vez em 2018, é agora desvendada por completo, revelando a vigilância extensiva a que estão a ser sujeitos os cidadãos iranianos. Desde 2017, a operação Domestic Kitten tem consistido em 10 campanhas únicas, 4 das quais continuam ativas de momento, tendo a mais recente iniciado funções a novembro de 2020.
Nestas campanhas, os ciberatacantes utilizam vários vetores para fazer com que as vítimas procedam à instalação de uma aplicação maliciosa, entre os quais constam um blog iraniano, canais de Telegram ou via SMS, com o envio de links duvidosos. As capacidades do malware Domestic Kitten, apelidado pelos investigadores de “Furball”, incluem a gravação de chamadas, a gravação do ambiente envolvente, acesso a dados de localização, a identificadores de dispositivo, registo de mensagens SMS e chamadas, roubo de ficheiros de media, como vídeos e fotos, bem como a possibilidade de obtenção de uma lista das aplicações instaladas e o roubo de ficheiros a partir do armazenamento externo.
A FurBall recorre a várias capas para esconder as suas intenções maliciosas. Entre as mais proeminentes identificadas pelos investigadores da Check Point estão:
- VIPRE Mobile Security – aplicação falsa de segurança móvel
- ISIS Amaq – aplicação de notícias da agência noticiosa Amaq
- Exotic Flowers – uma versão alternativa de um jogo da Google Play
- MyKet – uma loja de aplicações Android
- Iranian Woman Ninja – aplicação de wallpapers
- Mohsen Restaurant – um restaurante em Teerão
A Domestic Kitten já vitimou mais de 1200 indivíduos, com mais de 600 dispositivos infetados com sucesso, espalhados por sete países: Irão, Estados Unidos da América, Grã-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão. Entre as vítimas constam dissidentes internos, forças de oposição, apoiantes do ISIS, a minoria curda residente no Irão, e outros.
Download de anexos de e-mail é a porta de entrada da operação Infy para espiar computadores
Os investigadores da Check Point, em colaboração com a SafeBreach, encontraram evidências que sugerem que a Infy, uma cibercampanha maliciosa que tem estado em operação desde 2007, ainda que com algumas interrupções, retomou atividade. O seu mais recente ataque começa com o envio de e-mails atrativos que incitam o utilizador a fazer download dos ficheiros anexados. Após a abertura destes documentos, é instalada no computador da vítima uma ferramenta de espionagem que resulta no roubo de dados sensíveis.
A investigação conduzida pela Check Point expõe dois dos ficheiros utilizados pela Infy para atrair potenciais vítimas. O primeiro documento contém uma foto de Mojtaba Biranvand, o governador da cidade de Dorud, em Lorestan Province, Irão. O documento está em persa e inclui informação relativa ao seu gabinete, contendo ainda o alegado contacto telefónico do próprio governador. O segundo ficheiro, também em persa, apresenta o logotipo do ISAAR, a Fundação Iraniana de Mártires e Veteranos, apoiada pelo governo que garante empréstimos a veteranos incapacitados e familiares de mártires de guerra.
De acordo com os investigadores, as aptidões tecnológicas da Infy são largamente superiores a outras campanhas iranianas igualmente conhecidas, na medida em que se verificam consideráveis esforços dos atacantes para se manterem indetetáveis e funcionais. Além disso, reconhece-se ainda um conjunto de alvos identificados e atingidos com sucesso. O número de ataques da operação Infy por país distribui-se da seguinte forma:
Fig. 2 Número de vítimas da campanha Infy por país |
Post A Comment:
0 comments: