iraniano os intervenientes cibernéticos passaram o ano passado a utilizar “força bruta” e outras técnicas para obter acesso a múltiplas organizações de infraestruturas críticas e roubar informações, afirma um comunicado dos EUA, Canadá e Austrália.
O comunicado conjunto divulgado quarta-feira pelos EUA Cibersegurança e a Agência de Infraestrutura e o Federal Bureau of Investigation afirmam que os atores têm como alvo organizações dos setores de saúde, governo, tecnologia da informação, engenharia e energia.
“Os atores provavelmente pretendem obter credenciais e informações que descrevam a rede da vítima, que podem então ser vendidas para permitir o acesso aos cibercriminosos”, afirma o comunicado.
O Estabelecimento de Segurança de Comunicações do Canadá, o Centro Australiano de Segurança Cibernética e a Polícia Federal Australiana juntaram-se às agências dos EUA na elaboração do comunicado conjunto, que afirma que a atividade remonta a outubro de 2023.
As técnicas de “força bruta” envolvem a adivinhação sistemática de senhas para obter acesso às contas de e-mail de usuários e grupos das vítimas, ou o uso de uma ferramenta de redefinição de senha.
O comunicado diz que os atores iranianos também usaram “push bombing” em contas protegidas por autenticação multifator (MFA) – bombardeando os usuários com notificações até que a solicitação fosse aprovada por engano ou a MFA fosse desativada.
Os atores então registram seus próprios dispositivos na MFA para garantir que permaneçam conectados à conta hackeada, de acordo com o comunicado.
Uma vez logados, as agências afirmam que os atores iranianos realizaram “descobertas” nas redes comprometidas para obter credenciais adicionais e outras informações que permitiriam o acesso.
Receba notícias nacionais diárias
Receba as principais notícias, manchetes políticas, econômicas e de assuntos atuais do dia, entregues em sua caixa de entrada uma vez por dia.
“As agências autoras avaliam que os atores iranianos vendem essas informações em fóruns cibercriminosos para atores que podem usar as informações para realizar atividades maliciosas adicionais”, diz o comunicado.
As agências dizem que as organizações podem detectar atividades de força bruta procurando repetidas tentativas de login malsucedidas em seus registros de autenticação, bem como logins e autenticações MFA de “locais inesperados ou de dispositivos desconhecidos”. A verificação de endereços IP em contas de usuários conhecidos também pode revelar contas comprometidas.
As organizações podem proteger-se ainda mais revisando procedimentos de senha, excluindo completamente contas e credenciais de funcionários que partiram, implementando MFA resistente a phishing e revisando consistentemente as configurações de MFA para proteger “serviços exploráveis”.
“Essas mitigações se aplicam a entidades de infraestrutura crítica em todos os setores”, afirma o comunicado.
O comunicado foi divulgado um dia depois de o último relatório de ameaças digitais da Microsoft ter identificado o Irão como um dos principais actores de ameaças cibernéticas que, juntamente com a Rússia e a China, depende cada vez mais de redes criminosas para liderar operações de espionagem cibernética e hackers contra adversários como os EUA e os seus aliados.
Num exemplo, os analistas da Microsoft descobriram que um grupo criminoso de hackers com ligações ao Irão se infiltrou num site de encontros israelita e depois tentou vender ou resgatar as informações pessoais obtidas. A Microsoft concluiu que os hackers procuravam constranger os israelenses e ganhar dinheiro.
Autoridades dos EUA acusaram o Irã de apoiar secretamente os protestos americanos contra o conflito de Israel com o Hamas em Gaza. O relatório da Microsoft afirma que os intervenientes iranianos têm como alvo os EUA e os seus aliados do Médio Oriente, como os Emirados Árabes Unidos e o Bahrein, devido ao seu aparente apoio a Israel no conflito mais amplo do Médio Oriente.
Redes ligadas ao Irão, à Rússia e à China também têm como alvo os eleitores americanos, utilizando websites falsos e contas de redes sociais para espalhar alegações falsas e enganosas sobre as próximas eleições presidenciais dos EUA.
Hackers iranianos atacaram a campanha de Donald Trump e contas de e-mail de alguns apoiadores e roubaram algum material, que o FBI disse que os hackers tentaram, sem sucesso, vender para a campanha democrata. Três agentes iranianos foram acusados do ataque cibernético.
O Irão negou qualquer conhecimento ou envolvimento em atividades cibernéticas dirigidas a outros países.
– com arquivos da Associated Press
© 2024 Global News, uma divisão da Corus Entertainment Inc.
