A campanha está em andamento há pelo menos três anos, contra instalações de TI, telecomunicações, óleo e gás, aviação, governo e segurança
Hackers iranianos obtiveram sucesso no acesso às infraestruturas de dezenas de empresas e foram acusados de uma série de ataques cibernéticos importantes, incluindo os da Citrix e da Palo Alto Networks. A campanha, apelidada de ‘Fox Kitten’, tem como alvo grandes empresas, com o objetivo de obter controle e acesso permanente às suas redes para fins de reconhecimento e, ocasionalmente, como trampolim para lançar ataques de malware devastadores.
As informações constam de um relatório da empresa de segurança cibernética ClearSky. Segundo o documento, vários grupos conhecidos e suas atividades cibernéticas podem ser vinculados à infraestrutura comum e à atividade de grupos de hackers que são considerados como tendo laços com o Irã, como APT34-OilRig, APT33-Elfin e APT39 -Chafer. Essa campanha está em andamento há pelo menos três anos, e foi orquestrada contra empresas dos setores de TI, telecomunicações, óleo e gás, aviação, governo e segurança em todo o mundo.
Ferramentas de ataque hacker
Os pesquisadores do ClearSky também determinaram que há uma probabilidade média de que o APT33 e o APT34 estejam trabalhando juntos desde 2017 por meio de uma infraestrutura compartilhada que a empresa localizou. A principal ferramenta ofensiva da campanha foi a exploração de vulnerabilidades de one day (vulnerabilidades de zero day tornadas públicas) em diferentes redes privadas virtuais (VPNs) e em serviços remotos de acesso (RDP). Isso incluiu os serviços fornecidos pela Pulse Secure, Fortinet e Palo Alto Networks.
Algumas dessas vulnerabilidades e sua subsequente exploração ganharam notoriedade. O National Cyber Security Center (NCSC) e a National Security Agency (NSA) , por exemplo, alertaram contra hackers que exploram falhas nas VPNs das três empresas anunciadas em outubro de 2019. Os hackers já realizaram atividades significativas em 2020, explorando novas vulnerabilidades em sistemas remotos da Citrix, informa o relatório. “Atribuímos a campanha ‘Fox Kitten’, com confiança média-alta, ao grupo APT34 e com confiança média aos grupos APT33 e APT39”, afirma o relatório. “E avaliamos que existe uma cooperação entre os grupos em infraestrutura e possivelmente além disso. Avaliamos como principal objetivo desta campanha coletar informações sobre os alvos e criar um ataque à cadeia de suprimentos. Em nossa análise, não identificamos distribuição de malware destrutivo nas organizações atacadas.”
Depois de se estabelecerem na rede da organização, os hackers mantiveram o acesso implantando e uma variedade de ferramentas de comunicação, incluindo a abertura de links RDP (Remote Desktop Protocol). O objetivo disso era camuflar e criptografar a comunicação com seus respectivos destinos. Finalmente, tendo se infiltrado e mantido acesso dentro da organização, os atacantes realizaram identificação, exame e filtragem de informações sensíveis ou valiosas de suas vítimas. Isso foi enviado de volta aos servidores dos atacantes para análise, espionagem ou infecção adicional das redes infiltradas.
Os pesquisadores afirmaram que, como resultado de suas descobertas, os sistemas VPN que permitem acesso remoto às redes corporativas representam um risco significativo, porque eles basicamente ignoram todas as defesas implantadas na Internet.