Hackers iranianos invadem sistemas no Brasil pelo Microsoft Exchange

Pesquisadores da ESET revelaram na segunda-feira (11) uma agressiva campanha de ataques de hackers iranianos, que invadiram sistemas do Brasil e de outras nações.

• Hackers atacam observatórios no Chile e paralisam pesquisas astronômicas
• Hackers criam 1º ransomware para Mac, alertam analistas

Embora famosos por atacar organizações em Israel, Oriente Médio e EUA, os hackers do país persa agora preocupam o Brasil.

O grupo hacker responsável pelos ataques é conhecido pelos nomes ‘Ballistic Bobcat’ ou ‘Charming Kitten’ e explorou vulnerabilidades em 34 organizações entre março de 2021 e junho de 2022.

Em seu ataque mais recente, eles desenvolveram um novo backdoor (uma forma de acesso sem autorização a sistemas) chamado ‘Sponsor’. Com uma precisão assustadora, o novo programa backdoor explora vulnerabilidades em servidores do Microsoft Exchange — servidor de e-mails da Microsoft.

O ‘Sponsor’, foi criado em linguagem C++, invadindo os sistemas para extrair dados. O diferencial do backdoor é o uso de arquivos de configuração armazenados discretamente nos discos rígidos de um computador.

Assim, eles implantam o ‘Sponsor’ através de batches (arquivos em lote que automatizam tarefas), que se disfarçam como dados sem risco, contornando, assim, mecanismos de detecção de ameaças.

Os hackers iranianos invadiram 34 instituições, a maioria era de Israel, mas houve também ataques isolados no Brasil e nos Emirados Árabes Unidos.

Hackers criaram backdoor durante pandemia

No auge da pandemia, o Ballistic Bobcat mirava exclusivamente organizações com vínculo ao combate à Covid-19. Grandes instituições mundiais, como a Organização Mundial da Saúde e Gilead Pharmaceuticals, sofreram ataques.

O relatório da ESET não cita os ataques hackers que o Ministério da Saúde do Brasil sofreu em 2021, descartando o envolvimento de grupos iranianos.

Linha do tempo das invasões entre março de 2021 a junho de 2022. O Brasil foi uma das vítimas dos ataques que utilizaram a primeira versão do backdoor criado pelos hackers iranianos. Imagem: ESET/Divulgação

O ‘Ballistic Bobcat’ lançou o ‘Sponsor’ em setembro de 2021, mas a sua identificação ocorreu após uma análise de uma amostra de um sistema israelense comprometido em maio de 2022. Isso revelou a presença significativa do backdoor criado pelo grupo.

O relatório da ESET não divulgou os nomes das instituições, mas no Brasil os hackers iranianos atacaram uma empresa do ramo de saúde em setembro de 2021.  No entanto, possivelmente, o ataque dos hackers iranianos no Brasil foi ao Laborátorio Crsitália, que ocorreu no dia 15 de setembro de 2021.