Malware empregado em ataques cibernéticos perpetrados contra uma usina de aço iraniana na semana passada se relaciona a um incidente de há um ano atrás, quando um sistema ferroviário do país foi desativado. De acordo com o relatório da Check Point Research, a tensão de malware foi usada para afetar a infraestrutura física e crítica.
As intersecções no código, juntamente com dicas contextualizadas e até piadas repetidas, dão indícios de que o mesmo perpetrador de ameaça, denominado Indra, está por trás dos ataques que têm causado estragos na infraestrutura do Irã.
Razões dadas para o abandono da avaliação
No dia 27 de junho, houve um incidente na Khuzestan Steel Corporation, quando uma linha de produção de boletins de aço começou a falhar. Conforme os relatórios, as faíscas voaram, causando um incêndio no interior da fábrica.
O dirigente da Khuzestan Steel informou aos meios de comunicação que nenhum prejuízo havia sido sofrido.
A empresa afirmou em uma declaração que, graças a agilidade e vigilância, o plano de ataque não obteve êxito e nenhum prejuízo foi causado à linha de produção.
Um clip publicado pelo usuário @GonjeshkeDarand no Twitter alegou responsabilidade pelos dois assaltos. O vídeo supostamente seria mostrar imagens do interior da fábrica de aço. Uma mensagem foi fornecida para explicar os motivos dos agressores.
Estas companhias estão sujeitas a punições globais e ainda assim prosseguem suas atividades apesar das restrições. Estes ataques virtuais, que são feitos com cautela para preservar seres inocentes, são uma reação à violência da República Islâmica.
No ano anterior, na sexta-feira, 9 de julho, os meios de transporte ferroviários nacionais do Irã foram alvo de uma invasão. Em painéis de informação em estações de trem por todo o país, os hackers publicaram mensagens sobre atrasos e cancelamentos inexistentes. (Estas mensagens, por si só, levaram a atrasos, como a confusão que espalhou as multidões de passageiros.) A Check Point atribuiu esse incidente à Indra, um grupo que está ativo desde 2019.
Relacionando o presente à passagem do ano anterior.
Em ambos os ataques de aço e ferrovia, os autores divulgaram um anúncio solicitando que as vítimas e os passageiros ligassem para um número de telefone particular. De acordo com o Check Point, o número pertencia ao gabinete do Ayatollah Khamenei.
A empresa Check Point declarou que os programas maliciosos usados nas duas campanhas tem características em comum.
O executável encontrado na ação da semana passada, chamado chaplin.exe, é uma variação do malwares identificado como Meteoro, uma classe de agentes de limpeza especulada para ter sido usada no ataque ocorrido no ano anterior ao sistema ferroviário do Irã. Segundo os especialistas, é óbvio que as duas variantes têm algo em comum em seu código. O vírus foi nominado de forma separada como chaplin.exe e Meteoro.exe.
Mesmo sem um limpador, o malware tem muita força. Quando executado, ele desliga os adaptadores de rede, inativa o usuário e executa outro binário em um novo thread, de acordo com os pesquisadores. O binário “ativa a exibição e impede que o usuário interaja com o computador”. Quando a vítima é bloqueada de usar seu computador, o Chaplin exibe a mensagem dos hackers na tela e “modifica a chave de registro ‘Lsa’, o que impede que o sistema inicialize corretamente”.
A investigação a respeito dos incidentes que ocorreram na última segunda-feira está ainda em processo.
Registre-se agora para o próximo EVENTO AO VIVO na segunda-feira, 11 de julho: Junto com a Threatpost e Tom Garrison da Intel Security, discuta inovação e aprenda com o estudo mais recente da Intel Security em parceria com a Ponemon Institute. Estimule os participantes a examinarem o relatório e façam perguntas durante a discussão. Descubra mais e inscreva-se aqui.
Editar e divulgar este artigo.
- Infraestruturas são essenciais para o progresso de um país.
- O governo brasileiro acaba de anunciar novos meios de prevenção para conter o avanço da epidemia de COVID-19.
- Malware é um programa maligno que pode ser usado para saquear dados confidenciais.