A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, desvendou um ataque cibernético direcionado ao governo iraquiano, revelando um padrão preocupante que destaca a sofisticação e a persistência de ameaças cibernéticas ligadas a Estados.
Após investigar arquivos carregados no Virus Total, a Check Point Research descobriu que o malware utilizado no ataque apresenta semelhanças significativas com malwares de outros ataques regionais realizados por grupos ligados ao Irã. No cenário em constante evolução das ameaças de cibersegurança, entender os padrões e atores por trás dos ataques é essencial para construir defesas mais adequadas e detectar ameaças de forma proativa.
Visão geral do ataque
A Check Point Research monitorou de perto um ataque cibernético contra o governo iraquiano nos últimos meses, identificando que os arquivos afetados continham malware sofisticado e tinham como alvo organizações iraquianas, como o Gabinete do Primeiro-Ministro e o Ministério das Relações Exteriores.
Os pesquisadores constataram que o ataque está vinculado ao APT34, um grupo cibernético iraniano associado ao Ministério da Inteligência e Segurança do Irã (MOIS). Esse grupo já havia usado táticas semelhantes contra os governos da Jordânia e do Líbano. Resultados de uma fonte paquistanesa também indicam a presença de famílias de malware relacionadas, sugerindo que o mesmo grupo está por trás desses ataques na região.
O malware
Duas novas famílias de malware, Veaty e Spearal, foram usadas no ataque, demonstrando capacidades avançadas e evasivas. Essas variantes de malware foram disseminadas por meio de arquivos falsos que se passavam por documentos legítimos, como o Assistente de Configuração abaixo. Os atacantes utilizaram engenharia social e esses arquivos foram abertos de forma enganosa; o malware foi instalado nos sistemas ao ser ativado, embutindo-se para garantir persistência mesmo após reinicializações.
O Veaty tenta sistematicamente diversas abordagens até que uma conexão seja estabelecida com sucesso. Ele utilizava caixas de e-mail específicas para comando e controle, organizando e ocultando suas comunicações por meio de regras de e-mail cuidadosamente estruturadas. Essas regras buscavam e-mails com o assunto “Gabinete do Primeiro-Ministro”. O malware transmitia mensagens de “Alive” para indicar sua atividade contínua e mensagens de “Command” para executar instruções. Essas mensagens eram meticulosamente formatadas e criptografadas para minimizar o risco de detecção.
Em um ataque semelhante, um malware chamado Karkoff se comunicava por meio de endereços de e-mail comprometidos pertencentes a entidades governamentais libanesas, idêntico ao Veaty, que usava contas de e-mail comprometidas de entidades governamentais iraquianas.
Já o Spearal, o malware usado no ataque, compartilha várias táticas vinculadas a famílias de malware afiliadas ao Ministério da Inteligência e Segurança do Irã, como o malware Saitama. Semelhanças notáveis incluem o uso de tunelamento DNS para comunicação de comando.
As famílias de malware utilizam o tunelamento DNS para transmitir comandos, o que ajuda a evitar mecanismos convencionais de detecção. Esse método também foi observado em ataques contra entidades governamentais jordanianas, mostrando um padrão consistente no foco regional e nas técnicas operacionais do grupo.
Prevenção e detecção de ameaças
Malwares antigos, atualizados e novos continuam a representar ameaças para governos, organizações e empresas. O ataque iraniano contra o Iraque demonstra que os malwares estão se tornando cada vez mais sofisticados e difíceis de serem detectados.
Nesse sentido, as soluções de segurança precisam oferecer uma defesa robusta contra malwares avançados, bem como proteção a dispositivos detectando e mitigando ameaças avançadas. O Sistema de Prevenção de Intrusões (IPS), igualmente importante no contexto, monitora o tráfego de rede em tempo real, bloqueando ameaças potenciais. Juntas, as soluções criam uma defesa em camadas que previne eficazmente os ataques de malware.
