Ataques Cibernéticos Iranianos Visando Infraestrutura dos EUA, Alerta DHS

Uma coalizão das principais agências de cibersegurança e inteligência dos EUA emitiu na segunda-feira um aviso contundente: hackers patrocinados pelo estado iraniano e hacktivistas afiliados devem intensificar os ciberataques direcionados a sistemas de defesa americanos, infraestrutura crítica e redes industriais, particularmente aquelas com vínculos com Israel.

Em um aviso conjunto, a Agência de Cibersegurança e Segurança de Infraestrutura (CISA), o Federal Bureau of Investigation (FBI), o Centro de Crimes Cibernéticos do Departamento de Defesa (DC3) e a Agência de Segurança Nacional (NSA) instaram as organizações americanas a permanecerem vigilantes para possíveis atividades cibernéticas direcionadas contra a infraestrutura crítica dos EUA e outras entidades americanas por atores cibernéticos afiliados ao Irã, à medida que as ameaças crescem em frequência e sofisticação.

“Apesar de um cessar-fogo declarado e negociações em andamento em direção a uma solução permanente, atores cibernéticos afiliados ao Irã e grupos hacktivistas ainda podem realizar atividades cibernéticas maliciosas.

As agências autoras estão monitorando a situação e divulgarão informações pertinentes sobre ameaças cibernéticas e defesa cibernética assim que estiverem disponíveis”, diz o aviso conjunto.

Embora nenhuma campanha coordenada em larga escala tenha sido detectada até agora, as agências estão alertando sobre um potencial aumento nos ciberataques de hackers ligados ao Irã, especialmente à medida que as tensões no Oriente Médio continuam a aumentar.

Atividade de Ameaça

Empresas da Base Industrial de Defesa (DIB)—particularmente aquelas conectadas a organizações de pesquisa ou defesa israelenses—são consideradas em maior risco. Esses atores frequentemente exploram sistemas mal protegidos aproveitando software não corrigido, vulnerabilidades conhecidas e senhas padrão ou fracas.

“Atores cibernéticos afiliados ao Irã e grupos hacktivistas alinhados frequentemente exploram alvos de oportunidade com base no uso de software não corrigido ou desatualizado com Vulnerabilidades e Exposições Comuns (CVEs) conhecidas ou no uso de senhas padrão ou comuns em contas e dispositivos conectados à internet”, acrescentou o aviso.

Os grupos de ameaça cibernética iranianos, muitos ligados ao Corpo da Guarda Revolucionária Islâmica (IRGC), utilizam uma variedade de técnicas, como adivinhação automatizada de senhas, quebra de hashes de senhas usando recursos online e inserção de senhas padrão do fabricante, para invadir sistemas e se mover de forma indetectável por redes.

Ao atacar sistemas de tecnologia operacional (OT), eles também usam ferramentas de engenharia de sistemas e diagnóstico para comprometer o desempenho, a segurança e os sistemas de manutenção.

Recentemente, hacktivistas alinhados ao Irã aumentaram a deface de sites e vazamentos de dados, e provavelmente expandirão ataques de negação de serviço distribuído (DDoS) em sites dos EUA e de Israel. Além disso, atores cibernéticos iranianos podem colaborar com grupos de ransomware para criptografar dados, roubar informações sensíveis e publicá-las online.

Campanhas de Ameaça Anteriores

Entre novembro de 2023 e janeiro de 2024, atores cibernéticos afiliados ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã lançaram uma campanha cibernética global visando controladores lógicos programáveis (PLCs) e interfaces homem-máquina (HMIs) fabricados em Israel, afetando setores dos EUA como água, energia, alimentos e saúde.

Os atores de ameaça aproveitaram sistemas de controle industrial (ICSs) que eram acessíveis pela internet e ainda usavam senhas padrão de fábrica ou nenhuma senha, juntamente com portas do Protocolo de Controle de Transmissão (TCP) padrão que não haviam sido protegidas.

Em protesto ao conflito Israel-Hamas, esses atores cibernéticos iranianos também realizaram várias operações de hack-and-leak para roubar e divulgar publicamente dados sensíveis, muitas vezes amplificados por meio de redes sociais.

Os ataques causaram perdas financeiras, danos à reputação e visavam minar a confiança pública na cibersegurança. Embora a maioria dos alvos fosse israelense, pelo menos uma empresa de televisão por protocolo de internet (IPTV) dos EUA também foi afetada.

Mitigações

As agências autoras, em colaboração com parceiros governamentais dos EUA e estrangeiros, sugerem passos imediatos para organizações, especialmente aquelas em infraestrutura crítica:

• Identificar e desconectar sistemas OT e ICS da internet pública.
• Substituir senhas fracas/padrão e implementar autenticação multifator (MFA) resistente a phishing.
• Aplicar prontamente os patches de software mais recentes do fabricante.
• Monitorar comportamentos incomuns de acesso remoto.
• Realizar backups completos de sistemas e dados.
• Limitar privilégios de administrador e adotar microsegmentação.

Para informações adicionais, as organizações podem consultar a Visão Geral da Ameaça do Irã da CISA e as páginas da web da Ameaça do Irã do FBI.