Os pesquisadores da Check Point conduziram uma nova investigação que revelou que o governo iraniano continua monitorando e lançando ataques cibernéticos contra dissidentes e pessoas contrárias ao regime, tanto dentro de suas fronteiras como em outros seis países. Ao contar com a colaboração da SafeBreach, os pesquisadores da Check Point puderam descobrir como essa nova série de ciberataques contra mais de 1.200 vítimas – a maioria dissidentes, forças contrárias ao regime, apoiadores do grupo terrorista ISIS e minorias curdas – ocorreram no Irã, Estados Unidos, Grã-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão.
Em 2018, a Check Point já havia divulgado sobre a campanha Domestic Kitten na qual se descobriu que o governo iraniano estava por trás de uma dezena de ciberataques (quatro dos quais ainda estão ativos), cujo propósito era realizar espionagem e vigilância sobre objetivos específicos. Identificou-se também que o grupo de cibercriminosos conhecido como APT-C-50 foi o responsável por esses ataques, capaz de infectar mais de 600 dispositivos, espionar os aparelhos de dissidentes, coletando registros e gravações de ligações, mensagens, fotos, vídeos, dados do GPS e uma lista de aplicativos baixados.
Os pesquisadores da Check Point apontam que os atacantes enganaram as vítimas para fazer o download de um aplicativo aparentemente inofensivo que estava infectado com o malware Domestic Kitten. Para fazer isso, eles usaram vários vetores de ataque, como blogs, canais do Telegram e mensagens de texto (SMS) com um link de download. Além disso, para ganhar a confiança da vítima, os cibercriminosos ocultaram software malicioso em vários aplicativos e serviços aparentemente inofensivos, incluindo:
• VIPRE Mobile Security – Um falso aplicativo de segurança móvel
• ISIS Amaq – Um veículo de comunicação da agência de notícias Amaq
• Exotic Flowers – Uma versão reformulada de um jogo do Google Play
• MyKet – Uma loja de aplicativos para Android
• Iranian Woman Ninja – Um aplicativo de papéis de parede
• Aplicativo Mohen Restaurant – Um restaurante em Teerã
Infy, o herdeiro do Domestic Kitten que espiona pelo computador
Na nova pesquisa realizada pela Check Point Research (CPR) com a SafeBreach foi identificado um novo grupo de cibercriminosos, conhecido como Infy, que espiona suas vítimas extraindo informações confidenciais de computadores pessoais e corporativos. Entre os arquivos que usaram para atrair a atenção estava uma foto de Mojtaba Biranvand, governador da cidade de Dorud (Lorestan, Irã), que inclui informações sobre seu escritório e seu suposto número de telefone. Além desse, outro arquivo usado foi uma imagem do logotipo da ISAAR, a Fundação para Assuntos de Mártires e Veteranos patrocinada pelo governo iraniano, que faz empréstimos a veteranos deficientes. O texto de ambos os documentos foi escrito em persa.
Os pesquisadores observaram que tanto Domestic Kitten quanto Infy estão atualmente ativos, embora observem que a operação deste último foi intermitente desde 2007. Da mesma forma, revelaram que o potencial tecnológico do Infy é muito superior ao das demais campanhas iranianas conhecidas até o momento, já que ataca apenas um pequeno grupo de pessoas e possui funcionalidades especiais para evitar ser detectado ou interrompido.
“As evidências desta investigação mostram que o governo iraniano está conduzindo operações cibernéticas. Embora as duas campanhas em destaque já fossem conhecidas, conseguimos encontrar novas evidências de sua atividade recente. Os atacantes por trás dessas campanhas contornam todos os processos de controle para detectar e parar seus ataques: eles aprendem com a história, modificam suas táticas e permitem que o tempo passe antes de retornar aos seus velhos hábitos”, comenta Yaniv Balmas, chefe de pesquisas da Check Point Software Technologies.