Último ataque cibernético contra o Irã faz parte da campanha em andamento

O malware usado em um ataque cibernético contra uma siderúrgica iraniana na semana passada está conectado a um ataque que desligou o sistema ferroviário do país no ano passado. Em ambos os casos, a tensão do malware foi usada para impactar a infraestrutura física e crítica, de acordo com a um relatório da Check Point Research.

As sobreposições no código, combinadas com pistas contextuais e até piadas recicladas, indicam que o mesmo ator de ameaças, apelidado de Indra, está por trás dos ataques que afetam a infraestrutura do Irã.

Motivos alegados

Em 27 de junho, uma linha de produção de tarugos de aço na Khuzestan Steel Corporation começou a apresentar problemas. Segundo relatos, faíscas voaram provocando um incêndio no coração da planta.

Em declaração à imprensa, o CEO da Khuzestan Steel negou que qualquer dano tenha sido causado.

“Com ação oportuna e vigilância, o ataque falhou e nenhum dano foi causado à linha de produção”, disse a empresa em comunicado.

Um vídeo postado no Twitter com o nome de usuário @GonjeshkeDarand reivindicou a responsabilidade pelos dois ataques. O vídeo pretendia mostrar imagens de dentro da fábrica de aço. Uma mensagem foi incluída explicando os motivos dos atacantes:

“Essas empresas estão sujeitas a sanções internacionais e continuam suas operações apesar das restrições. Esses ataques cibernéticos, realizados com cuidado para proteger indivíduos inocentes, são uma resposta à agressão da República Islâmica”.

No ano passado – na manhã de sexta-feira, 9 de julho – o sistema ferroviário nacional do Irã ficou sob ataque. Em painéis de informações em estações de todo o país, os hackers postaram mensagens sobre atrasos e cancelamentos que na verdade não existiam. (Essas mensagens em si causaram atrasos, pois a confusão varreu as multidões de passageiros.) A Check Point atribuiu essa interrupção a Indra, um grupo que está ativo desde 2019.

Conectando esta semana ao ano passado

Tanto no ataque ao aço quanto ao ferroviário, os perpetradores postaram um aviso instruindo as vítimas e os passageiros a ligar para um determinado número de telefone. Esse número pertence ao escritório do aiatolá Khamenei, segundo a Check Point.

A Check Point afirma ter sobreposições entre o malware usado em ambas as campanhas.

Um executável (chaplin.exe) descoberto no ataque da semana passada é uma variante do malware identificado como meteoro, uma cepa de limpador que se acredita ter sido usada no ataque do ano passado contra o sistema ferroviário do Irã. “Está claro que ambas as variantes compartilham uma base de código”, segundo os pesquisadores. O malware foi apelidado separadamente como chaplin.

Mesmo sem um limpador, o malware é potente. “Ele começa sua execução desconectando os adaptadores de rede, desconectando o usuário e executando outro binário em um novo thread”, twittaram os pesquisadores. O binário “força a tela a ficar LIGADA e impede que o usuário interaja com o computador”. Depois de bloquear completamente a operação da vítima em seu próprio computador, Chaplin exibe a mensagem dos hackers na tela e “exclui a chave de registro “Lsa”, impedindo que o sistema inicialize corretamente”.

A investigação sobre os ataques da última segunda-feira ainda está em andamento.

Inscreva-se agora para este EVENTO AO VIVO na SEGUNDA-FEIRA, 11 DE JULHO: Junte-se ao Threatpost e ao Tom Garrison, da Intel Security, em uma conversa ao vivo sobre inovação, permitindo que as partes interessadas fiquem à frente de um cenário dinâmico de ameaças e o que a Intel Security aprendeu em seu último estudo em parceria com o Ponemon Institue. Os participantes do evento são incentivados a visualizar o relatório e faça perguntas durante a discussão ao vivo. Saiba mais e registre-se aqui.