A Fireeye lançou nesta terça-feira, 13, a "Operação Saffron Rose," um relatório de estudos detalhando as atividades de um grupo de ciberespionagem provavelmente baseado no Irã. O grupo, que os pesquisadores da FireEye estão investigando é o Ajax Security Team, que progrediu de fazer "deface" de alguns sites em 2009 para uma completa espionagem contra dissidentes iranianos e firmas de defesa americanas. Evidências no relatório sugerem que as metodologias do Ajax têm crescido com mais consistência com outros atores de Ameaça Persistente Avançada ou APT (sigla em inglês para Advanced Persistent Threat) dentro e em volta do Irã depois dos ciberataques contra o país no final da década de 2000.
"Há uma evolução em curso nos grupos de hackers baseados no Irã que coincide com os esforços do país em controlar a dissidência política e expandir suas capacidades cibernéticas ofensivas", disse Nart Villeneuve, pesquisador sênior de inteligência de ameaças da FireEye. "Temos assistido não só a atividade crescente de atores de ameaça baseados no Irã, mas também uma transição para táticas de ciberespionagem. Nós não vemos estes atores realizando ataques para simplesmente espalhar a sua mensagem, em vez disso, estão escolhendo conduzir um reconhecimento detalhado e controle de máquinas alvo para iniciativas de longo prazo."
Os alvos da Operação Saffron Rose incluem dissidentes iranianos e organizações de Defesa americanas. O laboratório da FireEye observou recentemente a Ajax Security Team conduzindo múltiplas operações de ciber-espionagem contra empresas da base industrial de defesa dentro dos EUA. O grupo também tem como alvo usuários iranianos locais de Proxifier ou Psiphon, que são tecnologias anticensura que evitam o sistema de filtragem de internet iraniana.
Se o Ajax Security Team opera isoladamente ou como parte de um esforço maior coordenado pelo governo, não está claro. A equipe usa ferramentas de malware que não parecem estar disponíveis publicamente ou que são utilizadas por quaisquer outros grupos de ameaça. Este grupo usa táticas de engenharia social variada para atrair alvos e infectar seus sistemas com malware. Embora o laboratório da FireEye não tenha observado o Ajax usando ataques zero-day para infectar as vítimas, membros do grupo usaram previamente códigos de exploit disponíveis publicamente para fazer "deface" de sites.
A FireEye descobriu informações sobre 77 vitimas de um servidor command-and-control (CnC) encontrado ao analisar amostras de malware disfarçadas como Proxifier ou Psiphon. Analisando os dados das vítimas, a FireEye descobriu que uma grande concentração delas teve seu fuso horário definido para "Horário Oficial do Irã" ou sua língua definida para o persa.
Abaixo, uma análise detalhada dos dados das vítimas:
• 44 tiveram o fuso horário definido para "Horário Oficial do Irã" e destes, 37 também tiveram a língua definida para o persa.
• Das 33 vítimas que não tiveram o fuso horário modificado, 10 tiveram a língua modificada para o persa.
• 12 das vítimas tinham ou Proxifier ou Psiphon instalados ou em execução (todas as 12 tinham definição de língua o persa, e todas menos uma tiveram o fuso horário definido para "Horário Oficial do Irã)
O Irã tem sido identificado publicamente em ataques cibernéticos avançados desde 2009, quando os planos para um novo helicóptero presidencial dos EUA, Marine Corps One, foram achados em uma rede de compartilhamento no país. Em 2010, o "Exército Cibernético do Irã" derrubou o Twitter e o mecanismo de busca chinês Baidu, redirecionando os usuários para mensagens políticas iranianas. Em 2013 o Wall Street Journal relatou que invasores iranianos aumentaram seus esforços para comprometer a infraestrutura crítica dos EUA. Por fim, ao longo do ano passado, outro grupo chamado Izz ad-Din al-Qassam lançou a "Operação Ababil", uma série de ataques DDoS contra instituições financeiras dos EUA incluindo a Bolsa de Valores de Nova York.
