17 de maio de 2024

EUA sancionam governo iraniano e empresa que escondia operações de hacking

18 de setembro de 2020

Os EUA dizem que o governo iraniano usou a “Rana Intelligence Computing Company” como fachada para o grupo de hackers APT39.

O governo dos EUA impôs sanções hoje a uma empresa de fachada que escondeu uma grande operação de hacking perpetrada pelo governo iraniano contra seus próprios cidadãos, empresas estrangeiras e governos no exterior.

Sanções foram impostas à ” Rana Intelligence Computing Company “, também conhecida como Rana Institute, ou Rana, bem como a  45 funcionários atuais e antigos , como gerentes, programadores ou especialistas em hackers.

Autoridades dos EUA disseram que Rana atuou como uma fachada para o Ministério de Inteligência e Segurança iraniano (MOIS). As principais funções de Rana eram montar campanhas de hacking nacionais e internacionais.

Por meio de suas operações locais, Rana ajudou o governo a monitorar cidadãos iranianos, dissidentes, jornalistas, ex-funcionários do governo, ambientalistas, refugiados, estudantes, professores e qualquer pessoa considerada uma ameaça para o regime local.

Externamente, Rana também hackeava redes governamentais de países vizinhos, mas também empresas estrangeiras nos setores de viagens, acadêmico e de telecomunicações. As autoridades disseram que Rana usou o acesso às empresas estrangeiras hackeadas para rastrear indivíduos que o MOIS considerava uma ameaça.

rana-graph.png
Imagem: Departamento do Tesouro dos EUA

Ao longo dos anos, as operações de hacking de Rana deixaram uma longa trilha de pistas que as empresas de segurança cibernética rastrearam até o Irã.

As investigações sobre essas operações anteriores ligadas a Rana podem ser encontradas em relatórios de segurança cibernética sobre as atividades de um grupo de hackers conhecido como  APT39 , ou Chafer, Cadelspy, Remexi e ITG07 – todos nomes diferentes dados por empresas de segurança diferentes, mas referindo-se ao mesmo ator de ameaça, neste caso, Rana.

No entanto, por muito tempo, ninguém sabia que Rana existia, muito menos que era uma empresa de fachada para a APT39 e o regime iraniano.

A primeira vez que o mundo ouviu sobre Rana foi em um  artigo da ZDNet  publicado em maio de 2019, documentando o vazamento de informações confidenciais pertencentes a grupos de hackers iranianos.

Na época, entidades obscuras vazaram o código-fonte do malware APT34, dados sobre back-ends de servidores MuddyWater e fragmentos de documentos internos da Rana rotulados como “secretos”.

“Esses documentos [Rana] contêm listas de vítimas, estratégias de ataque cibernético, supostas áreas de acesso, uma lista de funcionários e capturas de tela de sites internos relevantes para sistemas de espionagem”, disse a empresa israelense de segurança cibernética ClearSky em  relatório  publicado em maio 2019.

Vazamento de Iran Rana na web clara
Imagem: ZDNet

Na época, o vazamento de Rana foi considerado estranho porque não combinava com os outros dois.

Os primeiros dois vazamentos —APT34 e MuddyWater— foram dois grupos de hackers iranianos muito conhecidos.

Por outro lado, Rana foi descrito como um mero contratante do governo. 

Na época, as empresas de segurança suspeitavam que Rana também era uma APT iraniana (ameaça persistente avançada), mas ninguém poderia vincular Rana a qualquer grupo conhecido.

Este mistério foi resolvido hoje. Em comunicados à imprensa do  Departamento do Tesouro dos EUA  e do  Federal Bureau of Investigations , o governo dos EUA vinculou formalmente Rana ao APT39 e ao MOIS pela primeira vez.

Este link oficial agora permite que todo o espectro de hacks do contratante chegue ao centro das atenções. E, de acordo com as autoridades americanas, algumas dessas operações podem ter cruzado a linha da coleta de inteligência aos abusos dos direitos humanos, como prisões injustificadas, seguidas de intimidação física e psicológica por agentes do MOIS.

As sanções de hoje proíbem as empresas americanas de fazer negócios com Rana e seus 45 funcionários atuais ou antigos.

Ao mesmo tempo com as sanções de hoje, o FBI também emitiu uma  notificação privada do setor (PIN)  com oito conjuntos separados e distintos de malware usados ​​por Rana (MOIS) para conduzir suas atividades de invasão de computador.

rana-fbi-pin.png

SEMANA IRANIANA

As sanções APT39 são apenas as mais recentes de uma longa série de ações que os EUA prepararam contra entidades iranianas nesta semana. Nesta semana, o DOJ também cobrou:

  • um hacker iraniano  na terça-feira por desfigurar sites dos EUA após a morte de um general militar iraniano pelos EUA;
  • dois hackers  na quarta-feira por orquestrarem uma campanha de hackers de anos a pedido do governo iraniano, mas também para seus próprios ganhos financeiros pessoais;
  • três iranianos  hoje, quinta-feira, por hackear empresas aeroespaciais e de satélites nos Estados Unidos.

Fonte: https://www.zdnet.com/article/us-sanctions-iranian-government-front-company-hiding-major-hacking-operations/

Matérias Relacionadas

Como as autoridades identificaram o suposto chefe do Lockbit?

15 de maio de 2024

FCC revela Royal Tiger, seu primeiro ator de ameaça robocall

14 de maio de 2024

O rápido crescimento da IA ​​pressiona os CISOs para que se adaptem aos novos riscos de segurança

14 de maio de 2024

Veja mais..

Irmãos presos por roubo de US$ 25 milhões em ataque à blockchain Ethereum

16 de maio de 2024

Unimed gaúcha é alvo de ataque de ransomware

15 de maio de 2024

Como as autoridades identificaram o suposto chefe do Lockbit?

15 de maio de 2024

Especialistas alertam que o backlog do NVD está atingindo um ponto de ruptura

15 de maio de 2024

Exploit lançado para 0day RCE em roteadores D-Link EXO AX4800

15 de maio de 2024