Pesquisadores de segurança no Check Point desvendaram uma operação de vigilância em andamento, administrada por entidades iranianas contra dissidentes do regime, há seis anos. Voltando a 2014, os invasores usaram vários vetores de ataque para espionar suas vítimas, incluindo sequestro de contas do Telegram, extração de códigos de autenticação de dois fatores de mensagens SMS, gravação do ambiente de áudio de um telefone, acesso a informações da conta KeePass e distribuição de phishing malicioso do Telegram páginas usando contas de serviço falsas do Telegram.
As vítimas parecem ter sido selecionadas a dedo de organizações anti-regime e movimentos de resistência, como Mujahedin-e Khalq, a Organização de Resistência Nacional do Azerbaijão e cidadãos do Baluchistão.
Vários vetores de ataque
Os invasores usaram documentos com malware para atrair as vítimas à infecção. A principal funcionalidade do malware é roubar o máximo de informações possível do dispositivo de destino. A carga útil tem como alvo dois aplicativos principais: Telegram Desktop e KeePass, o famoso armazenamento de senhas. Os principais recursos do malware incluem:
• Roubo de informações
o Carrega arquivos relevantes do Telegram do computador da vítima. Esses arquivos permitem que os invasores façam uso completo da conta do Telegram da vítima
o Rouba informações do aplicativo KeePass
o Carrega qualquer arquivo que possa encontrar que termine com extensões predefinidas
o Registra dados da área de transferência e faz capturas de tela da área de trabalho
• Persistência Única
o Implementa um mecanismo de persistência baseado no procedimento de atualização interna do Telegram
Android Backdoor
Durante a investigação, os pesquisadores da Check Point descobriram um aplicativo Android malicioso vinculado aos mesmos agentes de ameaça. O aplicativo se mascara como um serviço para ajudar os falantes de persa na Suécia a obter sua carteira de motorista. Este backdoor Android contém os seguintes recursos:
• Roubar mensagens SMS existentes
• Encaminhar mensagens SMS de autenticação de dois fatores para um número de telefone fornecido pelo servidor C&C controlado pelo invasor
• Recupere informações pessoais como contatos e detalhes de contas
• Inicie uma gravação de voz nas proximidades do telefone
• Realizar phishing na conta do Google
• Recupere informações do dispositivo, como aplicativos instalados e processos em execução
Outros possíveis vetores de ataque
Uma entrada de blog removida de 2018 acusou um especialista em cibersegurança de plágio, quando ele foi entrevistado pelo canal de notícias AlArabiya para discutir ciberataques iranianos. Acreditamos que esta página foi criada como parte de um ataque direcionado contra essa pessoa ou seus associados. O blog incluía um link para baixar um arquivo protegido por senha contendo evidências do plágio de `endupload [.] Com`. Parece que `endupload [.] Com` foi controlado pelos atacantes por anos, já que algumas das amostras maliciosas relacionadas a este ataque e datadas de 2014 se comunicaram com este site.
Citação: Lotem Finkelsteen, gerente de inteligência de ameaças da Check Point Software:
“Depois de conduzir nossa investigação, algumas coisas se destacaram. Primeiro, há um foco impressionante na vigilância de mensagens instantâneas. Embora o Telegram não possa ser decifrado, ele pode ser sequestrado. Vigilância de mensagens instantâneas, especialmente no Telegram, é algo que todos devem ser cautelosos e conscientes. Em segundo lugar, os ataques de phishing no celular, no PC e na web estão todos conectados à mesma operação. Ou seja, essas operações são geridas de acordo com a inteligência e os interesses nacionais, em oposição aos desafios tecnológicos. Continuaremos monitorando diferentes regiões em todo o mundo para informar melhor o público sobre a segurança cibernética.”