[bsa_pro_ad_space id=3 delay=8]

Companhia siderúrgica do Irã é paralisada por ataque cibernético

Pesquisadores analisam e comentam este ataque, ocorrido nesta terça-feira (28), pelo Predatory Sparrow, um grupo hacktivista que assumiu a responsabilidade pelo ataque que interrompeu a indústria siderúrgica do Irã

Compartilhar:

A Check Point Software avaliou o ataque cibernético massivo ocorrido nesta terça-feira, dia 28, a uma das maiores empresas siderúrgicas do Irã, a Khuzestan Steel Company (KSC), paralisando a indústria.

 

“Este recente ataque se junta a uma enxurrada de outros conduzidos por grupos que se apresentam como hacktivistas contra o regime. O número de ataques, seu sucesso e sua qualidade podem sugerir que eles foram conduzidos por um ou mais atacantes avançados, talvez um estado-nação com interesse em sabotar a infraestrutura crítica do Irã, bem como gerar pânico entre o público e as autoridades iranianas”, explica Itay Cohen, chefe de pesquisa cibernética da Check Point Software.

 

De acordo com Cohen, o grupo que assumiu a responsabilidade por este ataque, chamado Predatory Sparrow, é o mesmo responsável pelo ataque contra as ferrovias iranianas, a radiodifusão iraniana e os postos de gasolina. Os pesquisadores da Check Point Software examinaram vários ataques ao Irã e à sua infraestrutura crítica ao longo do ano passado. Em fevereiro de 2022, os pesquisadores desconstruíram as ferramentas cibernéticas usadas em um ataque cibernético contra a corporação nacional de mídia iraniana, a Radiodifusão da República Islâmica do Irã. Em agosto de 2021, rastrearam ciberataques nas estações ferroviárias e ferrovias do Irã a um grupo que se identificou como Indra.

 

A divisão Check Point Research (CPR) encontrou arquivos relacionados a ataques recentes contra instalações siderúrgicas no Irã. Uma análise inicial do malware, apelidado de “Chaplin” pelos atacantes, mostrou que ele é baseado em um malware limpador chamado Meteor, que foi usado nos ataques contra o sistema de ferrovias iranianas e o Ministério de Estradas e Desenvolvimento Urbano  em 2021. Embora “Chaplin” seja baseado em ferramentas de ataques anteriores, ele não contém a funcionalidade de limpeza e não corrompe o sistema de arquivos da vítima. No entanto, o “Chaplin” impede que o usuário interaja com a máquina, faz logoff e exibe na tela um vídeo de quadro único que anuncia o ataque cibernético. O malware corrompe a máquina, impedindo-a de inicializar corretamente.

 

O vídeo exibido no computador da vítima apresenta os logotipos das vítimas recentes do grupo Predatory Sparrow:

 

– Khouzestan Steel Company (KSC)

– Companhia de Petróleo Offshore Iraniana

– Ministério das Estradas e Desenvolvimento Urbano

– Ferrovias da República Islâmica do Irã

 

Pode ser que os arquivos obtidos tenham sido usados no ataque contra a KSC, pois a empresa confirmou que estava sob ataque. Finalmente, como nos ataques anteriores do grupo, eles direcionaram as vítimas para “64411”, que é o número do escritório do Líder Supremo do Irã.

 

No ano passado, os pesquisadores da CPR analisaram os ataques contra os sistemas ferroviários do Irã e conseguiu conectá-lo a ataques anteriores de um grupo chamado “Indra” que opera desde 2019 contra os alvos no Irã e na Síria.

 

O Predatory Sparrow, que assumiu a responsabilidade pelo recente ataque contra a indústria siderúrgica iraniana, é também o grupo que se responsabilizou pelos ataques contra os sistemas ferroviários do Irã e o Ministério iraniano de Estradas e Desenvolvimento Urbano. Dado o uso das mesmas ferramentas, métodos e técnicas, não é improvável que Indra e Predatory Sparrow sejam o mesmo grupo.

 

Os pesquisadores da Check Point Research continuarão monitorando e analisando ataques cibernéticos relacionados aos que foram relatados acima.

Conteúdos Relacionados

Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...
Security Report | Overview

Nova ameaça do AllaSenha no Brasil faz setor financeiro entrar em alerta

Novo método de ataque, baseado em infecção de scripts Python e uso de plataforma Azure como Comando e Controle tem...
Security Report | Overview

95% das empresas têm problemas de segurança nas APIs, apura novo relatório

Relatório Salt Security State of API destaca ecossistemas de API em rápido crescimento, o aumento da atividade de ataques e...
Security Report | Overview

Laboratório de threat intel detecta roubo de credenciais em quase 800 empresas globais

O grupo Sophos X-Ops, focado em pesquisas no cenário cibercriminoso internacional, detectou uma nova campanha de comprometimento de credenciais válidas...