Hackers iranianos estão vendendo acesso a empresas comprometidas em um fórum clandestino

Um dos grupos de hackers patrocinados pelo Estado do Irã foi flagrado vendendo acesso a redes corporativas comprometidas em um fórum clandestino de hackers, disse a empresa de segurança cibernética Crowdstrike em  um relatório hoje .

A empresa identificou o grupo usando o codinome  Pioneer Kitten , que é uma designação alternativa para o grupo, também conhecido como Fox Kitten ou Parisite.

O grupo, que Crowdstrike acredita ser um contratante do regime iraniano, passou 2019 e 2020 invadindo redes corporativas por meio de vulnerabilidades em  VPNs  e  equipamentos de rede , tais como:

• VPNs corporativos “Connect” do Pulse Secure (CVE-2019-11510)
• Servidores VPN Fortinet executando FortiOS (CVE-2018-13379)
• Servidores VPN “Global Protect” da Palo Alto Networks (CVE-2019-1579)
• Servidores Citrix “ADC” e gateways de rede Citrix (CVE-2019-19781)
• Balanceadores de carga F5 Networks BIG-IP (CVE-2020-5902)

O grupo tem violado dispositivos de rede usando as vulnerabilidades acima, plantando backdoors e, em seguida, fornecendo acesso a outros grupos de hackers iranianos, como APT33 (Shamoon), Oilrig (APT34) ou Chafer, de acordo com relatórios das empresas de segurança cibernética ClearSky e Dragos .

Esses outros grupos iriam então expandir o “acesso inicial” que o Pioneer Kitten conseguiu obter movendo-se lateralmente através de uma rede usando malware e exploits mais avançados e, em seguida, pesquisar e roubar informações confidenciais de interesse do governo iraniano.

No entanto, em um relatório hoje, Crowdstrike diz que Pioneer Kitten também foi flagrado vendendo acesso a algumas dessas redes comprometidas em fóruns de hackers, desde pelo menos julho de 2020.

Crowdstrike acredita que o grupo está apenas tentando diversificar seu fluxo de receita e monetizar redes que não têm valor de inteligência para os serviços de inteligência iranianos.

Os alvos clássicos de grupos de hackers patrocinados pelo estado iraniano geralmente incluem empresas e governos dos Estados Unidos, Israel e outros países árabes do Oriente Médio. Os setores-alvo geralmente incluem defesa, saúde, tecnologia e governo. Qualquer outra coisa provavelmente está fora do escopo dos hackers do governo iraniano e muito provavelmente estará disponível em fóruns de hackers para outras gangues.

Hoje, os maiores clientes de ” corretores de acesso inicial ” (como Pioneer Kitten) geralmente são gangues de ransomware.