O grupo de ameaça persistente avançada (APT) iraniano MuddyWater invadiu as redes de múltiplas organizações nos Estados Unidos, incluindo uma contratada do setor aeroespacial e de defesa, conforme relatório divulgado ontem pela equipe de caça a ameaças da Symantec, da Broadcom, e da Carbon Black.
Infecções atingem aeroporto, banco e ONGs
Segundo os especialistas da Broadcom, o ator da ameaça esteve presente nos ambientes de um aeroporto, um banco, uma organização não governamental com operações nos EUA e no Canadá, e uma empresa de software com presença em Israel. A firma de software comprometida, que também é a contratada do setor aeroespacial, possui atuação em Israel, tornando-se um alvo de interesse para os hackers do MuddyWater.
Backdoors DinDoor e FakeSet identificados
Como parte da campanha, o APT implantou um novo backdoor, batizado de DinDoor, nas redes da filial israelense da fornecedora de software, do banco norte-americano e da ONG canadense. O backdoor foi assinado com um certificado emitido para “Amy Cherne”. Ainda de acordo com o relatório da Symantec, o grupo também tentou exfiltrar dados da filial israelense da empresa de software.
A equipe de cibersegurança da Broadcom descobriu ainda um backdoor em Python, chamado FakeSet, nas redes de um aeroporto dos EUA e de uma organização sem fins lucrativos. O malware também foi assinado com um certificado em nome de Amy Cherne, além de um certificado emitido para “Donald Gay”, que já havia sido utilizado em ataques anteriores do MuddyWater. A atividade observada foi interrompida, mas a equipe da Symantec e Carbon Black alerta que outras organizações ainda podem estar vulneráveis a comprometimentos.
Presença prévia oferece posição perigosa
Os especialistas da Broadcom destacam que a atividade do APT continuou “nos últimos dias, na sequência dos ataques militares dos EUA e de Israel contra o Irã, que desencadearam um conflito na região”. “Embora não se saiba se as operações do Seedworm [outro nome do grupo] foram interrompidas pelo conflito atual, o fato de já terem presença em redes norte-americanas e israelenses antes do início das atuais hostilidades significa que o grupo de ameaça está numa posição potencialmente perigosa para lançar ataques”, afirmaram os especialistas.
Ativo desde pelo menos 2017 e também conhecido como Mango Sandstorm, Mercury, Seedworm e Static Kitten, o MuddyWater foi oficialmente vinculado pelos EUA ao Ministério da Inteligência e Segurança do Irã (MOIS). O ator da ameaça é conhecido por ter como alvo entidades no Oriente Médio como parte de operações de espionagem e, no ano passado, foi visto implantando um spyware Android atualizado durante o conflito entre Israel e Irã. Além disso, a Amazon detalhou no ano passado o envolvimento do APT em ataques cinéticos habilitados ciberneticamente, invadindo transmissões ao vivo de CFTV em Jerusalém para apoiar um ataque com mísseis.






