Pesquisadores da ESET revelaram na segunda-feira (11) uma agressiva campanha de ataques de hackers iranianos, que invadiram sistemas do Brasil e de outras nações.
Embora famosos por atacar organizações em Israel, Oriente Médio e EUA, os hackers do país persa agora preocupam o Brasil.
O grupo hacker responsável pelos ataques é conhecido pelos nomes ‘Ballistic Bobcat’ ou ‘Charming Kitten’ e explorou vulnerabilidades em 34 organizações entre março de 2021 e junho de 2022.
Em seu ataque mais recente, eles desenvolveram um novo backdoor (uma forma de acesso sem autorização a sistemas) chamado ‘Sponsor’. Com uma precisão assustadora, o novo programa backdoor explora vulnerabilidades em servidores do Microsoft Exchange — servidor de e-mails da Microsoft.
O ‘Sponsor’, foi criado em linguagem C++, invadindo os sistemas para extrair dados. O diferencial do backdoor é o uso de arquivos de configuração armazenados discretamente nos discos rígidos de um computador.
Assim, eles implantam o ‘Sponsor’ através de batches (arquivos em lote que automatizam tarefas), que se disfarçam como dados sem risco, contornando, assim, mecanismos de detecção de ameaças.
Os hackers iranianos invadiram 34 instituições, a maioria era de Israel, mas houve também ataques isolados no Brasil e nos Emirados Árabes Unidos.
Hackers criaram backdoor durante pandemia
No auge da pandemia, o Ballistic Bobcat mirava exclusivamente organizações com vínculo ao combate à Covid-19. Grandes instituições mundiais, como a Organização Mundial da Saúde e Gilead Pharmaceuticals, sofreram ataques.
O relatório da ESET não cita os ataques hackers que o Ministério da Saúde do Brasil sofreu em 2021, descartando o envolvimento de grupos iranianos.
Linha do tempo das invasões entre março de 2021 a junho de 2022. O Brasil foi uma das vítimas dos ataques que utilizaram a primeira versão do backdoor criado pelos hackers iranianos. Imagem: ESET/Divulgação
O ‘Ballistic Bobcat’ lançou o ‘Sponsor’ em setembro de 2021, mas a sua identificação ocorreu após uma análise de uma amostra de um sistema israelense comprometido em maio de 2022. Isso revelou a presença significativa do backdoor criado pelo grupo.
O relatório da ESET não divulgou os nomes das instituições, mas no Brasil os hackers iranianos atacaram uma empresa do ramo de saúde em setembro de 2021. No entanto, possivelmente, o ataque dos hackers iranianos no Brasil foi ao Laborátorio Crsitália, que ocorreu no dia 15 de setembro de 2021.
