Extenso e seletivo ciberataque revelado pela Check Point

Investigadores da Check Point publicou revelam um extenso e seletivo ciberataque que começou em 2016 e que tem permanecido escondidoaté agora.

Os cibercriminosos, através da utilização de aplicações para telemóveis, usam conteúdos falsos para atrair as suas vítimas a fazer download das mesmas.

A partir do momento em que a conteúdo falso é descarregado um spyware instala-se, conseguindo aceder a informações importante das vítimas.

Os investigadores verificaram que, curiosamente, os alvos deste extenso e seletivo ciberataque incluem os kurdos, turcos nativos e simpatizantes do ISIS.

• O objetivo dos ataques é aceder aos dados de algumas minorias no Irão, como o ISIS e os grupos extremistas Kurdos
• Até agora foram assinalados 240 utilizadores que foram vítimas desta campanha de vigilância
• Para além dos objetivos iranianos encontrados, também foram encontradas vítimas no Afeganistão, Iraque e Grã-Bretanha

Qual é a informação que reúne este extenso e seletivo ciberataque?

Os dados que são recolhidos sobre estes grupos oferecem informações altamente valiosas que podem ser utilizadas contras eles.

Na realidade, o malware acede a informações como a lista de contactos guardados no dispositivo móvel infetado, registo de chamadas telefónicas, mensagens de SMS, historial de navegação e marcadores, localização geográfica, fotografias e gravações de voz.

Quem é que está por detrás do ciberataque?

Se bem que a identidade exata do agente por detrás do ataque permanece sem ser confirmado, as investigações nas vítimas, a natureza das aplicações e a infraestrutura envolvida nos ataques faz com se pense que esta operação tenha origem no Irão.

Na realidade, alguns dos especialistas em serviços secretos assinalam que as entidades governamentais iranianas, como o Corpo da Guarda Revolucionária Islâmica (CGRI), o Ministério da Inteligência, o Ministério do Interior e outros, de forma frequente realizam vigilância exaustivas a estes grupos.

Este programa de vigilância são utilizados, de facto, contra indivíduos e grupos que poderia representar uma ameaça para a estabilidade e regime iraniano. Isto inclui dissidentes internos e forças da oposição, assim com os defensores do ISIS e da minoria curda principalmente radicada na zona oeste do país.

Apesar da investigação ainda estar a decorrer, já foi revelado o alcance total destes ataques dirigidos, a sua infraestrutura e as suas vítimas, e a possível relação política por detrás do mesmo. Esta operação foi dominada “Domestic Kitten”, seguindo assim a linha de outros ataques APT iranianos.

Recolha de dados através de aplicações móveis

Este tipo de ataques utiliza aplicações de interesse para as vítimas. Por exemplo, os investigadores encontraram um fundo de ecrã com a marca ISIS, “atualizações” da agência de notícias ANF Kurdistan e uma versão falsa da aplicação de mensagens, Vidogram.

O ataque parece que aponta em grande medida aos defensores e seguidores do ISIS, já que uma das aplicações infetadas continha fundos de ecrã da organização terrorista.

No caso do ANF, uma página oficial de notícias curdas, os cibercriminosos desenharam uma aplicação que substituía a página original com o fim de enganar o seu alvo.

Por isso, os nomes e o conteúdo destas aplicações fazem pensar que os grupos políticos e utilizadores específicos, principalmente os partidários do ISIS e o grupo curdo, são os alvos desta operação.

Origem das vítimas deste extenso e seletivo ciberataque

Depois analisar o alcance completo da operação, assim como com uma ampla informação sobre os dispositivos atacados e dos arquivos recuperados, afirma-se que até agora 240 utilizadores foram vítimas desta campanha de vigilância.

Além disso, devido à cuidada estratégia dos seus criadores, é possível saber que mais de 97% das vítimas são iranianas.

A investigação também descobriu que dispositivos do Afeganistão, Iraque e Grã-Bretanha foram infetados.

Apesar de já existir muito informação sobre o número de vítimas e as suas características, a quantidade de pessoas afetadas pela operação é muito maior.

Os atacantes recolheram a lista de contactos guardada nos dispositivos de cada vítima, o que inclui nomes completos e pelo menos um dos números de telefone.

Como consequência das chamadas telefónicas e dos conteúdos das mensagens de SMS roubadas pelos cibercriminosos, a informação privada de centenas de utilizadores que não pertencem a estes grupos também ficou comprometida.

As soluções móveis da Check Point podem proteger contra este tipo de ataques. Para as empresas existe o Sand Blast Mobile de Check Point e para o consumidores existe a Zone Alarm Mobile de Check Point.