Grupos ligados a Estados e de hacktivistas reivindicaram uma série de ciberataques contra os Estados Unidos e Israel desde o início da guerra com o Irão.
Empresa norte-americana de tecnologia médica Stryker confirmou, a 11 de março, que um ciberataque tinha perturbado a sua rede global. Colaboradores nos vários escritórios da empresa encontraram o logótipo de Handala, um grupo de hackers com ligações ao Irão, exibido nas páginas de início de sessão, noticiou o Wall Street Journal.
PUBLICIDADE
PUBLICIDADE
O ataque teve como alvo o ambiente Microsoft da Stryker, mas a dimensão total dos danos e o calendário para a reposição dos serviços continuam por esclarecer.
Handala reivindicou a autoria e afirmou ter explorado a plataforma de gestão na nuvem da Microsoft, Intune, para apagar remotamente mais de 200 000 dispositivos em 79 países, de acordo com a plataforma de ciberinteligência SOCRadar. Euronews Next contactou a Microsoft para verificar esta alegação.
O grupo disse que a operação foi uma retaliação a um ataque com mísseis contra uma escola feminina em Minab, no Irão, que matou mais de 160 pessoas.
A intrusão insere-se numa vaga mais ampla de operações cibernéticas levadas a cabo por grupos ligados a Estados e por hacktivistas contra os Estados Unidos e Israel, em resposta à Operação Epic Fury.
Que atores estatais estão envolvidos?
Um relatório (fonte em inglês) da empresa de cibersegurança CloudSek indica que vários grupos iranianos de longa data com ligação ao Estado estão a agir contra infraestruturas críticas norte-americanas.
Grupos apoiados pela Guarda Revolucionária Islâmica do Irão (IRGC), incluindo os CyberAv3ngers, APT33 e APT55, lançaram ataques (fonte em inglês) a sistemas de controlo industrial norte-americanos, os computadores que gerem infraestruturas físicas como estações de tratamento de água, redes elétricas e linhas de produção.
Segundo o relatório, os piratas informáticos do grupo CyberAv3nger entram em máquinas industriais com palavras-passe predefinidas e instalam software malicioso que pode controlar esses sistemas.
A APT33 utiliza várias palavras-passe comuns para obter acesso a múltiplas contas em empresas energéticas dos Estados Unidos. Depois tenta desativar sistemas de segurança, instalando malware nos respetivos sistemas informáticos, prossegue o documento.
No caso da APT55, o grupo conduz ciberespionagem contra pessoas ligadas aos setores energético e da defesa dos Estados Unidos para recolher informações para o aparelho de informações iraniano, adiantou a CloudSek.
O Ministério dos Serviços de Informação e Segurança do Irão (MOIS) também coopera com grupos como MuddyWater, APT34 e Handala em operações contra Israel e os Estados Unidos.
O papel do MuddyWater tem sido atacar organizações de telecomunicações, do setor do petróleo e gás e entidades governamentais. Atua como corretor de acesso inicial: invade redes para recolher palavras-passe e depois partilha-as com outros atacantes.
Handala reivindicou outros ataques além do da Stryker, como o apagamento de mais de 40 terabytes (TB) de dados em servidores da Universidade Hebraica de Jerusalém e uma intrusão na Verifone, empresa norte-americana de telecomunicações presente em Israel, segundo a SOC Radar.
No entanto, meios de comunicação norte-americanos noticiaram que a Verifone negou ter sido alvo de violação, alegando não existir qualquer prova de comprometimento ou perturbação de serviços.
Estados Unidos dizem "perturbar" redes de comunicações, segundo responsáveis
Estados Unidos e Israel também levam a cabo ciberataques.
O general Dan Caine, o mais alto responsável militar dos Estados Unidos, afirmou, em declarações de 2 de março, que o Comando Cibernético norte-americano foi um dos primeiros a atuar na Operação Epic Fury.
A divisão perturbou redes de comunicações e de sensores, deixando o Irão "sem capacidade para ver, coordenar ou responder de forma eficaz", disse.
Caine não revelou mais pormenores sobre as operações cibernéticas dos EUA no Irão.
Numa declaração separada, em 13 de março, Pete Hegseth, secretário da Defesa dos EUA, confirmou que o país está a utilizar inteligência artificial (IA) e ferramentas cibernéticas como parte da sua guerra no Irão.
Segundo o Financial Times, serviços secretos israelitas também terão usado informação obtida através do ataque a câmaras de trânsito em Teerão para apoiar planos para derrubar o aiatola Ali Khamenei, de acordo com o Financial Times (fonte em inglês).
'Sala de operações' coordenada de hacktivistas
Mais de 60 grupos de hacktivistas foram mobilizados nas primeiras horas da Operação Epic Fury e formaram uma coligação denominada Cyber Islamic Resistance, de acordo com a CloudSek.
Este coletivo pró-iraniano organiza os seus ataques numa "Sala de Operações Eletrónica", na plataforma Telegram, conclui o relatório. O grupo "atua por iniciativa ideológica e não sob direção central do Estado", o que dificulta o acompanhamento dos seus movimentos, lê-se ainda no documento da CloudSek.
"Estes atores são menos disciplinados do que os grupos dirigidos pelo Estado, potencialmente mais imprudentes e sem restrições políticas quanto ao impacto sobre civis", acrescentou. Os elementos deste coletivo são também os que mais provavelmente recorrem à IA "para compensar a falta de profundidade técnica".
Nas primeiras duas semanas da guerra, a Cyber Islamic Resistance reivindicou mais de 600 ataques distintos em mais de 100 canais no Telegram, segundo a plataforma de ciberinteligência SOC Radar.
O grupo atribuiu-se uma operação contra os sistemas de defesa aérea da empresa israelita de armamento Rafael, um ataque ao serviço de deteção de drones VigilAir e a coordenação de um ataque aos sistemas de eletricidade e água de um hotel em Telavive.
O mesmo grupo afirmou ter pirateado a aplicação iraniana BadeSaba Calendar, uma app religiosa popular com mais de cinco milhões de descarregamentos na loja Google Play, durante o primeiro fim de semana do conflito.
Os utilizadores receberam notificações com mensagens como "A ajuda está a caminho!" e "Chegou a hora de acertar contas", segundo capturas de ecrã que circulam nas redes sociais.
Rússia, Síria e Iraque: grupos entram em ação
A SOC Radar assinala que há menos hacktivistas localizados no Irão envolvidos no conflito devido às restrições contínuas à Internet em todo o país, que, segundo a empresa, perturbam a coordenação através do Telegram.
À medida que o conflito prossegue, a plataforma afirma estar a registar ações de grupos pró-iranianos no Sudeste Asiático, no Paquistão e noutras partes do Médio Oriente.
A Islamic Cyber Resistance, no Iraque, conhecida como 313 Team, é uma célula pró-Irão que reivindicou ataques aos sites de vários ministérios do governo do Kuwait, incluindo as Forças Armadas e o Ministério da Defesa, de acordo com a empresa de cibersegurança Unit 42. O grupo também visou sites da Roménia e do Bahrein.
A DieNet, grupo de hacktivistas pró-Irão com raízes em vários países do Médio Oriente, também reivindicou ciberataques a aeroportos no Bahrein, na Arábia Saudita e nos Emirados Árabes Unidos, escreveu a Unit 42 numa nota de análise de ameaças.
Existem ainda grupos pró-iranianos de hackers russos, como o NoName057(16), grupo que, segundo a SOC Radar, tem realizado múltiplos ataques contra a Ucrânia.
O NoName057(16) lançou uma vaga de ataques de negação de serviço (DDoS) para sobrecarregar os sites de entidades israelitas municipais, políticas, de telecomunicações e ligadas à defesa, incluindo a empresa de armamento Elbit Systems, segundo (fonte em inglês) a plataforma de informação sobre ameaças FalconFeeds.
O grupo tem igualmente uma aliança com o Hider-Nex, sediado no Norte de África, que afirma ter atacado os domínios de vários sites do governo do Kuwait durante a guerra no Irão, de acordo com a SOC Radar.
Existem alguns grupos pró-Israel ativos, como os Anonymous Syria Hackers (fonte em inglês), que recentemente afirmaram (fonte em inglês) ter violado uma empresa tecnológica iraniana e divulgado credenciais, emails e palavras-passe de contas PayPal.
A SOC Radar afirmou que Israel conduz a maioria dos seus ciberataques a partir de estruturas estatais, o que torna os grupos independentes "em grande medida redundantes".
Os grupos pró-Israel que existem estão, em grande medida, pouco documentados, uma vez que não originam alertas da Agência de Cibersegurança e Segurança de Infraestruturas dos Estados Unidos (CISA).