Os hackers iranianos estão a travar uma sofisticada campanha de espionagem visando os rivais do país em todo o Médio Oriente e atacando as principais agências de defesa e inteligência, de acordo com uma importante empresa israelo-americana de segurança cibernética, um sinal de como os ataques cibernéticos do Irão, em rápida melhoria, se tornaram uma nova e importante alavanca na uma guerra sombria.
Durante o ano passado, os hackers atacaram países como Israel, Arábia Saudita e Jordânia, numa campanha de meses ligada ao Ministério de Inteligência e Segurança do Irão, de acordo com um novo relatório da empresa Check Point.
Os hackers iranianos pareciam ter acesso a e-mails de uma série de alvos, incluindo funcionários do governo, militares, empresas de telecomunicações e organizações financeiras, segundo o relatório.
O malware utilizado para se infiltrar nos computadores também parecia mapear as redes que os hackers tinham invadido, fornecendo ao Irão um modelo de ciberinfraestrutura estrangeira que poderia ser útil para planear e executar ataques futuros.
“O objetivo principal desta operação é a espionagem”, escreveram os especialistas em segurança da Check Point no relatório, acrescentando que a abordagem era “notavelmente mais sofisticada em comparação com atividades anteriores” que a Check Point tinha ligado ao Irão.
A missão do Irã nas Nações Unidas não respondeu a uma investigação na segunda-feira sobre o hack. Mas o ministro da defesa do Irã, Brig. O general Mohammad Reza Ashtiani disse na semana passada, num discurso aos responsáveis da defesa do seu país, que dada a actual complexa situação de segurança no Médio Oriente, o Irão teve de redefinir as suas defesas nacionais para além das suas fronteiras geográficas.
Ele disse que isso significava utilizar novas estratégias de guerra para defender o Irão, incluindo o uso do espaço, do ciberespaço e de outras formas. “Os nossos inimigos sabem que se cometerem um erro, a República Islâmica do Irão responderá com força”, disse o general Ashtiani, segundo a imprensa iraniana.
Embora o relatório não especifique quais dados o Irã obteve, se houver, a Check Point disse que a campanha de hackers invadiu com sucesso computadores associados ao Ministério da Defesa da Arábia Saudita e agências, bancos e empresas de telecomunicações em vários outros países do Oriente Médio, incluindo a Jordânia. , Kuwait e Omã. O relatório também não especificou quais sistemas israelenses foram hackeados.
Um alto funcionário israelense que lida com questões cibernéticas confirmou que nos últimos meses um ataque de um grupo conhecido como LionTail esteve em andamento contra agências governamentais locais e nacionais e várias instituições em Israel. O funcionário disse que os ataques são identificados e administrados pelo Shin Bet, a agência de segurança interna de Israel, e pela Diretoria Cibernética Nacional de Israel.
Outro funcionário disse que o LionTail é um dos 15 grupos afiliados, diretamente ou por procuração, ao Corpo da Guarda Revolucionária Iraniana ou ao Ministério da Inteligência iraniano.
O segundo funcionário israelense acrescentou que nos últimos meses houve tentativas de cibergrupos iranianos ou pertencentes ao Hamas ou ao Hezbollah de hackear câmeras em Israel, incluindo câmeras privadas perto da fronteira com o Líbano, e que a Direção Nacional Cibernética emitiu um alerta urgente ao público com instruções sobre como proteger melhor as câmeras.
O Centro de Comunicação Internacional do governo saudita, que cuida das questões da mídia, não respondeu imediatamente a um pedido de comentário na segunda-feira. O ministro da Informação da Jordânia não respondeu imediatamente a um pedido semelhante.
Os ataques cibernéticos marcam uma nova fase num conflito digital entre o Irão e os seus rivais. Os hacks generalizados e surpreendentemente sofisticados, de acordo com a Check Point, sublinharam como o Irão encontrou formas de revidar numa arena onde tinha sido derrotado.
“Este é o ataque cibernético iraniano mais sofisticado e furtivo que já vimos”, disse Sergey Shykevich, que supervisiona a inteligência de ameaças na Check Point e liderou a pesquisa para o relatório. “Há um claro denominador comum entre as vítimas que detectámos em todo o Médio Oriente: quer sejam do sector governamental, financeiro ou de ONG – todas são uma prioridade máxima da inteligência para o governo iraniano.”
A campanha segue-se a uma série de outros ataques cibernéticos iranianos nos últimos dois anos, disseram os especialistas, incluindo um que visava infra-estruturas críticas dos EUA e outro que procurava fazer-se passar por um especialista nuclear de um instituto de investigação americano.
Pesquisadores da Microsoft disseram no início deste ano que o Irã estava executando operações mais sofisticadas que procurava minar os laços de aquecimento entre Israel e a Arábia Saudita e fomentar a agitação no Bahrein. O ataque mais recente pode ser o mais bem-sucedido do Irão, pois ajudou o país a obter informações potencialmente críticas e conhecimentos que poderiam ajudar em futuros ataques cibernéticos, de acordo com o relatório da Check Point.
“Os invasores conseguiram exfiltrar grandes quantidades de dados despercebidos por um longo período de tempo, de dias a meses, obtendo potencialmente dados significativos e confidenciais que poderiam ser úteis para vários fins”, disse Shykevich.
“Algumas das informações que o Irão obteve de ataques cibernéticos anteriores no passado foram usadas por eles muito depois de o ataque ter ocorrido”, acrescentou. “Isto pode indicar que esta campanha específica, com a sua amplitude e sofisticação, poderá ser útil para o Irão nos próximos anos.”
A campanha silenciosa mas sustentada equivale a uma espécie de contra-ofensiva iraniana numa guerra digital paralela que dura há mais de uma década contra países como Israel, e na qual Teerão tem estado em desvantagem. Sublinha a rápida melhoria das capacidades e a determinação do Irão em invadir as redes de rivais regionais num momento em que as tensões no Médio Oriente explodiram em guerra.
Durante anos, Israel e o Irão envolveram-se numa guerra secreta, por terra, mar, ar e computador, mas os alvos têm sido geralmente militares ou governamentais. Há dois anos, a guerra cibernética alargou-se para atingir civis em grande escala. De repente, milhões de pessoas comuns no Irão e em Israel viram-se apanhadas no fogo cruzado de uma guerra cibernética entre os seus países.
O Irã acusou Israel de um hack que derrubou parte dos postos de gasolina do país em 2021, deixando os motoristas sem combustível. Em Israel, centenas de milhares de pessoas entraram em pânico quando souberam que os seus dados privados foram roubados de um site de encontros LGBTQ e carregados nas redes sociais, num de uma série de ataques de cibergrupos associados ao Irão.
Os ataques cibernéticos mais recentes destacam-se, de acordo com a Check Point, pela forma como os iranianos redesenharam o malware que antes utilizavam para roubar abertamente dados, transformando-os num meio menos detectável de acumular enormes quantidades de dados governamentais secretos, não muito diferente de uma escuta telefónica.
O código tinha semelhanças impressionantes com um programa usado para atacar o governo albanês no ano passado, disse a Check Point. Esse hack, no qual uma grande quantidade de dados policiais sensíveis foi recolhida e publicada online, levou a Albânia a romper relações diplomáticas com o Irão, que negou oficialmente ser responsável.
O malware explora uma vulnerabilidade conhecida em versões desatualizadas de servidores Microsoft Windows. Depois de infectar um computador vulnerável, o programa penetra profundamente na rede, em alguns casos durante meses, recolhendo e transmitindo silenciosamente dados de volta ao Irão. A Check Point observou que os atacantes conseguiram personalizar o malware para cada rede, revelando a escala crescente das capacidades cibernéticas do Irão.
Inicialmente, à medida que o mundo aprendia sobre os poderes do hacking, o Irão foi talvez a vítima mais conhecida do impacto das armas digitais no mundo real. Em 2010, centrífugas numa instalação nuclear iraniana foram sequestradas por uma arma cibernética construída e utilizada pelos Estados Unidos e Israel. Ao longo de um ano, a arma cibernética, chamada Stuxnet, foi usada para manipular equipamento nuclear iraniano e, mais tarde, para destruir parte das instalações.
Na época, especialistas nos Estados Unidos disseram que as capacidades de hacking do Irã eram desajeitadas e elementares. Mas o Stuxnet “foi um grande alerta”, disse Adam Meyers, vice-presidente sênior de operações contra adversários da empresa de segurança cibernética Crowd Strike. “O que vimos depois do Stuxnet foi que os atores da ameaça iraniana começaram a se profissionalizar.”
Meyers também notou um aumento na ciberactividade regional depois que o acordo nuclear com o Irão entrou em vigor no final de 2015. “Os actores da ameaça iraniana deixaram de visar o Ocidente” e concentraram a sua energia em alvos regionais, disse ele.
Nos últimos anos, grupos de segurança cibernética alertaram para a rápida evolução das capacidades do Irão, à medida que diminuía a distância com outros rivais dos Estados Unidos, como a Rússia e a China. Em particular, as autoridades afirmaram que uma nova onda de ataques cibernéticos começou em 2018, depois de o presidente Donald J. Trump ter retirado o acordo nuclear com o Irão.
Em 2019, o Irão tinha atacado mais de meia dúzia de agências governamentais dos Estados Unidos com hacks que exploravam fraquezas subjacentes na espinha dorsal da Internet e eram mais difíceis de detectar.
Viviane Nereim contribuíram com reportagens de Riad, Arábia Saudita e Farnaz Fassihi de nova York.
