Hackers iranianos estão vendendo acesso a empresas comprometidas em um fórum clandestino
O grupo de hackers iraniano, que vem atacando VPNs corporativas há meses, está agora tentando monetizar alguns dos sistemas hackeados vendendo o acesso a algumas redes para outros hackers.
Um dos grupos de hackers patrocinados pelo Estado do Irã foi flagrado vendendo acesso a redes corporativas comprometidas em um fórum clandestino de hackers, disse a empresa de segurança cibernética Crowdstrike em um relatório hoje .
A empresa identificou o grupo usando o codinome Pioneer Kitten , que é uma designação alternativa para o grupo, também conhecido como Fox Kitten ou Parisite.
O grupo, que Crowdstrike acredita ser um contratante do regime iraniano, passou 2019 e 2020 invadindo redes corporativas por meio de vulnerabilidades em VPNs e equipamentos de rede , tais como:
- VPNs corporativos “Connect” do Pulse Secure (CVE-2019-11510)
- Servidores VPN Fortinet executando FortiOS (CVE-2018-13379)
- Servidores VPN “Global Protect” da Palo Alto Networks (CVE-2019-1579)
- Servidores Citrix “ADC” e gateways de rede Citrix (CVE-2019-19781)
- Balanceadores de carga F5 Networks BIG-IP (CVE-2020-5902)
O grupo tem violado dispositivos de rede usando as vulnerabilidades acima, plantando backdoors e, em seguida, fornecendo acesso a outros grupos de hackers iranianos, como APT33 (Shamoon), Oilrig (APT34) ou Chafer, de acordo com relatórios das empresas de segurança cibernética ClearSky e Dragos .
Esses outros grupos iriam então expandir o “acesso inicial” que o Pioneer Kitten conseguiu obter movendo-se lateralmente através de uma rede usando malware e exploits mais avançados e, em seguida, pesquisar e roubar informações confidenciais de interesse do governo iraniano.
No entanto, em um relatório hoje, Crowdstrike diz que Pioneer Kitten também foi flagrado vendendo acesso a algumas dessas redes comprometidas em fóruns de hackers, desde pelo menos julho de 2020.
Crowdstrike acredita que o grupo está apenas tentando diversificar seu fluxo de receita e monetizar redes que não têm valor de inteligência para os serviços de inteligência iranianos.
Os alvos clássicos de grupos de hackers patrocinados pelo estado iraniano geralmente incluem empresas e governos dos Estados Unidos, Israel e outros países árabes do Oriente Médio. Os setores-alvo geralmente incluem defesa, saúde, tecnologia e governo. Qualquer outra coisa provavelmente está fora do escopo dos hackers do governo iraniano e muito provavelmente estará disponível em fóruns de hackers para outras gangues.
Hoje, os maiores clientes de ” corretores de acesso inicial ” (como Pioneer Kitten) geralmente são gangues de ransomware.
