Falhas em VPNs abriram porta para Hackers iranianos em setor estratégico do Oriente Médio

Um grupo de hackers com ligações ao governo iraniano foi responsabilizado por uma longa intrusão cibernética que atingiu uma infraestrutura nacional crítica (CNI) no Oriente Médio por quase dois anos. A operação, que se estendeu de pelo menos maio de 2023 a fevereiro de 2025, envolveu "extensivas operações de espionagem e suspeita de preposicionamento de rede – uma tática frequentemente utilizada para manter acesso persistente para futuras vantagens estratégicas", conforme relatou a equipe de Resposta a Incidentes FortiGuard (FGIR) em um relatório.

A empresa de segurança de rede observou que o ataque apresenta semelhanças táticas com um conhecido grupo de hackers patrocinado pelo estado iraniano chamado Lemon Sandstorm (anteriormente Rubidium), também rastreado como Parisite, Pioneer Kitten e UNC757. Este grupo está ativo desde pelo menos 2017, atacando os setores aeroespacial, de petróleo e gás, água e energia nos Estados Unidos, Oriente Médio, Europa e Austrália.

Segundo a empresa de cibersegurança industrial Dragos, os invasores exploraram vulnerabilidades de segurança conhecidas em redes privadas virtuais (VPNs) da Fortinet, Pulse Secure e Palo Alto Networks para obter acesso inicial. No ano passado, agências de inteligência e segurança cibernética dos EUA acusaram o Lemon Sandstorm de implantar ransomware contra entidades nos EUA, Israel, Azerbaijão e Emirados Árabes Unidos.

O ataque analisado pela Fortinet contra a entidade de CNI se desenrolou em quatro estágios a partir de maio de 2023, empregando um arsenal de ferramentas em evolução à medida que a vítima implementava contramedidas. Inicialmente, os hackers estabeleceram um ponto de apoio explorando credenciais roubadas para acessar o sistema SSL VPN da vítima, instalando web shells em servidores expostos à internet e implantando três backdoors – Havoc, HanifNet e HXLibrary – para acesso de longo prazo.

Em um segundo estágio, consolidaram sua presença plantando mais web shells e um backdoor adicional chamado NeoExpressRAT, utilizando ferramentas como plink e Ngrok para se aprofundarem na rede, realizando a exfiltração direcionada de e-mails da vítima e movendo-se lateralmente para a infraestrutura de virtualização. Em resposta às medidas de contenção e remediação iniciais da vítima, os invasores implantaram mais web shells e dois backdoors adicionais, MeshCentral Agent e SystemBC.

Na fase final, tentaram se infiltrar novamente na rede explorando vulnerabilidades conhecidas no Biotime (CVE-2023-38950, CVE-2023-38951 e CVE-2023-38952) e realizando ataques de spear-phishing contra 11 funcionários para coletar credenciais do Microsoft 365, após a vítima ter removido com sucesso o acesso dos invasores.

É relevante notar que tanto o Havoc quanto o MeshCentral são ferramentas de código aberto que funcionam como uma estrutura de comando e controle (C2) e software de monitoramento e gerenciamento remoto (RMM), respectivamente. Por outro lado, o SystemBC é um malware comum que frequentemente precede a implantação de ransomware. A análise da infraestrutura de C2 utilizada – domínios como apps.gist.githubapp[.]net e gupdate[.]net – reforça a ligação com as operações anteriores do grupo Lemon Sandstorm.

A Fortinet destacou que a rede de Tecnologia Operacional (OT) restrita da vítima era um alvo principal do ataque, evidenciado pela extensa atividade de reconhecimento e pela invasão de um segmento de rede que hospedava sistemas adjacentes à OT.

No entanto, não há evidências de que os invasores tenham conseguido penetrar na rede OT propriamente dita. A maior parte da atividade maliciosa foi classificada como operações manuais realizadas por diferentes indivíduos, dados os erros de comando e o cronograma de trabalho consistente. Uma análise mais aprofundada do incidente revelou que os hackers podem ter tido acesso à rede já em 15 de maio de 2021.

A Fortinet concluiu que "ao longo da intrusão, o invasor utilizou proxies encadeados e implantes personalizados para contornar a segmentação da rede e se mover lateralmente dentro do ambiente" e que, "em estágios posteriores, encadearam consistentemente quatro ferramentas de proxy diferentes para acessar segmentos internos da rede, demonstrando uma abordagem sofisticada para manter a persistência e evitar a detecção".

Via - THN