A indústria de fabricação de aço do Irã é vítima de ataques cibernéticos em andamento que anteriormente impactaram o sistema ferroviário do país.
O malware usado em um ataque cibernético contra uma siderúrgica iraniana na semana passada está conectado a um ataque que desligou o sistema ferroviário do país no ano passado. Em ambos os casos, a tensão do malware foi usada para impactar a infraestrutura física e crítica, de acordo com a um relatório da Check Point Research.
As sobreposições no código, combinadas com pistas contextuais e até piadas recicladas, indicam que o mesmo ator de ameaças, apelidado de Indra, está por trás dos ataques que afetam a infraestrutura do Irã.
Motivos alegados
Em 27 de junho, uma linha de produção de tarugos de aço na Khuzestan Steel Corporation começou a apresentar problemas. Segundo relatos, faíscas voaram provocando um incêndio no coração da planta.
Em declaração à imprensa, o CEO da Khuzestan Steel negou que qualquer dano tenha sido causado.
“Com ação oportuna e vigilância, o ataque falhou e nenhum dano foi causado à linha de produção”, disse a empresa em comunicado.
Um vídeo postado no Twitter com o nome de usuário @GonjeshkeDarand reivindicou a responsabilidade pelos dois ataques. O vídeo pretendia mostrar imagens de dentro da fábrica de aço. Uma mensagem foi incluída explicando os motivos dos atacantes:
“Essas empresas estão sujeitas a sanções internacionais e continuam suas operações apesar das restrições. Esses ataques cibernéticos, realizados com cuidado para proteger indivíduos inocentes, são uma resposta à agressão da República Islâmica”.
No ano passado – na manhã de sexta-feira, 9 de julho – o sistema ferroviário nacional do Irã ficou sob ataque. Em painéis de informações em estações de todo o país, os hackers postaram mensagens sobre atrasos e cancelamentos que na verdade não existiam. (Essas mensagens em si causaram atrasos, pois a confusão varreu as multidões de passageiros.) A Check Point atribuiu essa interrupção a Indra, um grupo que está ativo desde 2019.
Conectando esta semana ao ano passado
Tanto no ataque ao aço quanto ao ferroviário, os perpetradores postaram um aviso instruindo as vítimas e os passageiros a ligar para um determinado número de telefone. Esse número pertence ao escritório do aiatolá Khamenei, segundo a Check Point.
A Check Point afirma ter sobreposições entre o malware usado em ambas as campanhas.
Um executável (chaplin.exe) descoberto no ataque da semana passada é uma variante do malware identificado como meteoro, uma cepa de limpador que se acredita ter sido usada no ataque do ano passado contra o sistema ferroviário do Irã. “Está claro que ambas as variantes compartilham uma base de código”, segundo os pesquisadores. O malware foi apelidado separadamente como chaplin.
Mesmo sem um limpador, o malware é potente. “Ele começa sua execução desconectando os adaptadores de rede, desconectando o usuário e executando outro binário em um novo thread”, twittaram os pesquisadores. O binário “força a tela a ficar LIGADA e impede que o usuário interaja com o computador”. Depois de bloquear completamente a operação da vítima em seu próprio computador, Chaplin exibe a mensagem dos hackers na tela e “exclui a chave de registro “Lsa”, impedindo que o sistema inicialize corretamente”.
A investigação sobre os ataques da última segunda-feira ainda está em andamento.
Inscreva-se agora para este EVENTO AO VIVO na SEGUNDA-FEIRA, 11 DE JULHO: Junte-se ao Threatpost e ao Tom Garrison, da Intel Security, em uma conversa ao vivo sobre inovação, permitindo que as partes interessadas fiquem à frente de um cenário dinâmico de ameaças e o que a Intel Security aprendeu em seu último estudo em parceria com o Ponemon Institue. Os participantes do evento são incentivados a visualizar o relatório e faça perguntas durante a discussão ao vivo. Saiba mais e registre-se aqui.
- blockchain
- Coingenius
- Infraestrutura crítica
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Governo
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
- zefirnet