A Albânia anunciou na quarta-feira que estava cortando laços com o Irã e expulsando diplomatas iranianos devido a um ataque cibernético que diz ter sido realizado por iranianos em julho na tentativa de destruir a infraestrutura digital da Albânia.
No anúncio, o primeiro-ministro da Albânia, Edi Rama, afirmou que, após investigações minuciosas, foi confirmado “com evidências indiscutíveis” de que o ataque foi realizado pelo Irã.
Rama acrescentou que o ataque foi realizado por quatro grupos de hackers que atuaram em conjunto, incluindo um “notório grupo ciberterrorista internacional” que, segundo ele, realizou ataques contra Israel, Arábia Saudita, Emirados Árabes Unidos, Jordânia, Kuwait e Chipre. O primeiro-ministro não nomeou os grupos.
Em agosto, a empresa de segurança cibernética Mandiant informou que havia vinculado o ataque cibernético contra a Albânia a hackers iranianos.
Quem assumiu a autoria do ataque?
Embora Rama não tenha identificado os grupos específicos responsáveis pelo ataque, um grupo que se autodenomina “HomeLand Justice” publicou declarações, capturas de tela e informações em um canal do Telegram e um site usando um domínio russo que se vincula ao ciberataque em julho.
“Realizamos os #CyberAttacks para expressar nosso ódio e raiva contra o governo albanês. Terroristas estrangeiros (sic.) e lavadores de dinheiro (sic.) não pertencem à nossa (sic.) terra sagrada. Nossa terra precisa de pesticidas para ser limpo”, escreveu o grupo em um post do Telegram.
O grupo, que se apresentou como albanês, fez referência ao grupo de oposição iraniano Mujahedin-e-Khalq (MEK) ao longo de suas mensagens, reclamando que o governo albanês estava apoiando o MEK.
A HomeLand Justice também publicou arquivos que dizia conter dados das caixas de entrada de funcionários e escritórios do governo albanês.
Como a HomeLand Justice está ligada ao Irã?
De acordo com Mandiant, um ransomware chamado ROADSWEEP exibiu uma nota de resgate dizendo “Por que nossos impostos devem ser gastos em benefício dos terroristas DURRES?” em computadores infectados no ataque. A Cúpula Mundial do Irã Livre do MEK foi marcada para julho na cidade de Manëz, no condado de Durrës.
O logotipo do grupo HomeLand Justice parecia idêntico ao papel de parede usado pelo ransomware ROADSWEEP. O gráfico mostra um círculo contendo linhas que parecem circuitos e o contorno de uma estrela de Davi, além de uma águia com suas garras apontadas para a estrela.
Não está claro por que a Estrela de Davi foi usada no logotipo, já que o grupo não fez nenhuma referência a judeus ou ao Estado de Israel em suas mensagens.
A Mandiant descobriu que o ataque também usou um backdoor chamado CHIMNEYSWEEP, que provavelmente tem sido usado em ataques contra falantes de farsi e árabe desde 2012. CHIMNEYSWEEP e ROADSWEEP têm vários pedaços de código em comum.
CHIMNEYSWEEP opera através de um arquivo auto-extraível que o contém e um arquivo Excel, Word ou vídeo.
Uma ferramenta chamada ZEROCLEARE, que corrompe sistemas de arquivos, também pode ter sido usada no ataque, segundo Mandiant.
ZEROCLEARE foi usado por hackers iranianos várias vezes nos últimos anos, de acordo com vários relatórios. Outro limpador chamado Dustman, que foi identificado como um desdobramento muito semelhante do ZEROCLEARE, foi usado em um ataque à empresa petrolífera nacional Bahraini Bapco em 2019. Embora sejam muito semelhantes, não está claro se Dustman foi feito e usado pelo mesmos grupos usando ZEROCLEARE.
Mandiant estimou que um ou vários atores de ameaças que trabalham para o Irã estavam envolvidos no ataque cibernético contra a Albânia devido ao momento do ataque antes da conferência planejada do MEK, o conteúdo do grupo Telegram com foco no MEK e o longo histórico de uso do CHIMNEYSWEEP para segmentar falantes de farsi e árabe.
A empresa de segurança cibernética enfatizou que o ataque foi, no entanto, “significativamente mais complexo” do que as operações anteriores do CHIMNEYSWEEP, acrescentando que isso pode indicar uma colaboração entre equipes ou outros cenários.
“O uso de ransomware para conduzir uma operação disruptiva politicamente motivada contra os sites do governo e serviços ao cidadão de um estado membro da OTAN na mesma semana em que uma conferência de grupos de oposição iranianos estava marcada para ocorrer seria uma operação notavelmente descarada da ameaça Irã-nexo. atores”, disse Mandiant no relatório.
“À medida que as negociações em torno do acordo nuclear com o Irã continuam paralisadas, essa atividade indica que o Irã pode se sentir menos restringido na condução de operações de ataque à rede cibernética daqui para frente. Essa atividade também é uma expansão geográfica das operações cibernéticas disruptivas iranianas, conduzidas contra um estado membro da OTAN . pode indicar uma maior tolerância ao risco ao empregar ferramentas disruptivas contra países percebidos como trabalhando contra os interesses iranianos”.
Então, o que isso tem a ver com Israel e outros países do Oriente Médio?
De acordo com um relatório do X-Force IRIS da IBM, ZEROCLEARE foi usado em um ataque cibernético destrutivo no Oriente Médio. A X-Force IRIS estimou que um grupo iraniano conhecido como grupo de ameaça ITG13 ou APT34/OilRig e pelo menos um outro grupo provavelmente baseado no Irã colaboraram nesse ataque.
Os ataques do APT34 também usaram documentos do Word para infectar sistemas de computador em ataques anteriores, de acordo com a empresa israelense de segurança cibernética CheckPoint.
Um agente de ameaças russo chamado ITG12 ou Turla também tem acesso a ferramentas usadas pelo APT34, de acordo com o X-Force IRIS. A Turla usou a infraestrutura do APT34 para realizar seus próprios ataques, aparentemente sem cooperação ou acordo explícito do grupo iraniano, de acordo com a Agência de Segurança Nacional dos EUA (NSA) e o Centro Nacional de Segurança Cibernética do GCHQ.
Embora ainda não esteja claro se o APT34 foi o grupo por trás do ataque contra a Albânia, as ferramentas às quais ele foi vinculado foram usadas no ataque que foi vinculado ao Irã.
O APT34 atacou alvos em vários países, incluindo Líbano, Jordânia e Israel, entre outros, de acordo com vários relatórios de empresas de segurança cibernética.
Os países visados pelo ZEROCLEARE e APT34 no passado parecem estar amplamente alinhados com a lista de países visados declarada pelo primeiro-ministro armênio, embora nenhum ataque relatado publicamente em Chipre tenha sido vinculado ao APT34 ou ZEROCLEARE.
Os ataques cibernéticos iranianos atingiram repetidamente instalações civis no passado.
Em 2020, hackers apoiados pelo Irã tentaram atacar e sabotar instalações israelenses de água e esgoto. Ataques atribuídos a hackers apoiados pelo Irã também atingiram instalações médicas em Israel.
