Foram detectadas comunicações entre um servidor de comando e controle e a organização vítima desde o final de novembro de 2019 até pelo menos 5 de janeiro de 2020
Pesquisadores da empresa de monitoramento de segurança Recorded Future descobriram uma nova operação de espionagem cibernética cujas características são as mesmas dos grupos de hackers que trabalham para o governo iraniano. O alvo foi uma organização européia de energia cuja identidade não foi revelada.
A equipe da Recorded Future detectou comunicações entre um servidor C&C e a organização vítima desde o final de novembro de 2019 até pelo menos 5 de janeiro de 2020. O servidor C&C está associado ao PupyRAT, um Trojan de acesso remoto (RAT) de código aberto, já usado no passado por vários grupos de atores iranianos de ameaças, como APT33 e Cobalt Gypsy.
“Embora os metadados sozinhos não sirvam para confirar um comprometimento, consideramos que o alto volume e a repetição das comunicações do servidor de correio da empresa para um servidor C&C de PupyRAT são suficientes para indicar uma provável invasão”, diz a nota da Recorded Future. “Quem quer que seja o invasor, usar como alvo um servidor de correio de uma organização de infraestrutura crítica de alto valor pode dar ao adversário acesso a informações confidenciais sobre alocação e recursos de energia na Europa”, acrescenta a nota.
A Recorded Future enfatizou que essa atividade aconteceu antes da escalada de tensões entre o Ocidente e Teerã, causada pelo assassinato de um general iraniano por um drone dos EUA e pela derrubada de um jato comercial da Ucrânia por um míssil iraniano. Especialistas em segurança alertaram que o clima atual pode levar a uma nova onda de tentativas iranianas de comprometer a infraestrutura crítica nos EUA e em países aliados.
De fato, como a Recorded Future explicou, os hackers que trabalham para o governo iraniano “ampliaram sua infraestrutura de rede ao longo de 2019” e mudaram seu foco das redes de TI para os sistemas de controle físico em serviços públicos, instalações de manufatura e refinarias de petróleo. A empresa recomendou às organizações que adotem uma abordagem de defesa ampla, para se proteger contra RATs como o PupyRat.