Agências de cibersegurança e inteligência dos EUA emitiram um comunicado conjunto alertando sobre potenciais ciberataques provenientes de atores de ameaças patrocinados ou afiliados ao estado iraniano.
"Nos últimos meses, houve um aumento da atividade por parte de hacktivistas e atores afiliados ao governo iraniano, o que deve se intensificar devido a eventos recentes", disseram as agências.
Esses ciberatores frequentemente exploram alvos de oportunidade baseados no uso de software não atualizado ou ultrapassado com vulnerabilidades e exposições comuns conhecidas (Common Vulnerabilities and Exposures) ou no uso de senhas padrão ou comuns em contas e dispositivos conectados à internet.
Atualmente, não há evidências de uma campanha coordenada de atividade cibermaligna nos EUA que possa ser atribuída ao Irã, observaram a Cybersecurity and Infrastructure Security Agency (CISA), o Federal Bureau of Investigation (FBI), o Departamento de Defesa Cyber Crime Center (DC3) e a National Security Agency (NSA).
Enfatizando a necessidade de "vigilância aumentada", as agências destacaram empresas da Defense Industrial Base (DIB), especificamente aquelas com ligações com firmas israelenses de pesquisa e defesa, como estando em risco elevado.
Entidades dos EUA e de Israel também podem estar expostas a ataques distribuídos de negação de serviço (DDoS) e campanhas de ransomware, acrescentaram.
Os atacantes geralmente começam com ferramentas de reconhecimento como Shodan para encontrar dispositivos vulneráveis voltados para a internet, especialmente em ambientes de sistema de controle industrial (ICS).
Uma vez dentro, eles podem explorar a segmentação fraca ou firewalls mal configurados para se mover lateralmente através das redes.
Grupos iranianos anteriormente utilizaram ferramentas de acesso remoto (RATs), keyloggers e até utilitários administrativos legítimos como PsExec ou Mimikatz para escalar o acesso, tudo isso evitando defesas básicas de endpoint.
Baseando-se em campanhas anteriores, ataques montados por atores de ameaças iranianos aproveitam técnicas como a adivinhação automática de senhas, quebra de hashes de senha e senhas padrão do fabricante para obter acesso a dispositivos expostos na internet.
Eles também foram encontrados empregando ferramentas de engenharia de sistemas e diagnóstico para violar redes de tecnologia operacional (OT).
O desenvolvimento vem dias após o Departamento de Homeland Security (DHS) lançar um boletim, instando organizações dos EUA a estarem atentas a possíveis "ciberataques de baixo nível" por hacktivistas pró-iranianos em meio às tensões geopolíticas em andamento entre Irã e Israel.
Na semana passada, a Check Point revelou que o grupo de hacking do estado-nação iraniano rastreado como APT35 mirou jornalistas, especialistas em cibersegurança de alto perfil e professores de ciência da computação em Israel como parte de uma campanha de spear-phishing projetada para capturar suas credenciais de conta do Google usando páginas falsas de login do Gmail ou convites do Google Meet.
Como medidas de mitigação, aconselha-se que as organizações sigam os passos abaixo:
- Identificar e desconectar ativos OT e ICS da internet pública
- Garantir que dispositivos e contas estejam protegidos com senhas fortes e únicas, substituir senhas fracas ou padrão e impor autenticação multi-fatores (MFA)
- Implementar MFA resistente a phishing para acessar redes OT de qualquer outra rede
- Assegurar que os sistemas estão executando os patches de software mais recentes para proteção contra vulnerabilidades de segurança conhecidas
- Monitorar logs de acesso de usuários para acesso remoto à rede OT
- Estabelecer processos OT que previnem alterações não autorizadas, perda de visão ou perda de controle
- Adotar backups completos de sistema e dados para facilitar a recuperação
Para organizações que se perguntam por onde começar, uma abordagem prática é revisar primeiro sua superfície de ataque externo — quais sistemas estão expostos, quais portas estão abertas e se algum serviço desatualizado ainda está em execução.
Ferramentas como o programa de Cyber Hygiene da CISA ou scanners de código aberto como Nmap podem ajudar a identificar riscos antes dos atacantes.
Alinhar suas defesas com o framework MITRE ATT&CK também facilita a priorização de proteções baseadas em táticas do mundo real usadas por atores de ameaça.
"Apesar de um cessar-fogo declarado e negociações em andamento para uma solução permanente, atores cibernéticos afiliados ao Irã e grupos hacktivistas ainda podem conduzir atividades cibermalignas", disseram as agências.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...