A FireEye, empresa global de segurança avançada de TI que proporciona proteção dinâmica contra ameaças em tempo real, aponta em sua mais recente análise as operações, potenciais capacidades destrutivas e principais motivações do grupo APT33.
De acordo com as investigações realizadas pelos consultores de resposta a incidentes da FireEye® Mandiant® com a avaliação de inteligência de ameaças da equipe da FireEye iSight®, este grupo realiza operações de ciberespionagem desde 2013 e, presumivelmente, é um colaborador ativo do governo iraniano.
Para esta ação, o APT33 visou organizações provenientes de várias indústrias, com sedes nos Estados Unidos, na Arábia Saudita e Coréia do Sul. Assim como demonstrou interesse específico por organizações dos setores de aviação, com atividades militar e comercial, e de energia, as quais são vinculadas à produção petroquímica.
De meados de 2016 até o início de 2017, o APT33 comprometeu uma organização norte-americana no setor de aviação e mirou um conglomerado empresarial do mesmo segmento, localizado na Arábia Saudita. Neste período, o grupo ainda passou a observar uma empresa sul-coreana envolvida em refinação de petróleo e petroquímica. Em maio de 2017, o APT33 tentou atacar uma organização da Arábia Saudita e um grupo empresarial da Coréia do Sul ao utilizar um arquivo malicioso para atrair vítimas com vagas de emprego em uma empresa petroquímica árabe.
Para os analistas da FireEye, o fato de uma organização da Arábia Saudita ser alvo de um ataque pode significar o interesse em obter informações de rivais regionais, enquanto o motivo para o ataque às empresas sul-coreanas estaria ligado com as parcerias da Coréia do Sul e a indústria petroquímica do Irã, bem como as relações com empresas petroquímicas da Arábia Saudita. O grupo APT33 pode, ainda, ter alvejado essas organizações como expressão do desejo do Irã de expandir a produção petroquímica e melhorar a sua competitividade na região.
O grupo enviou e-mails de spear phishing para funcionários cujos cargos estivessem relacionados ao setor de aviação, com sugestões temáticas de recrutamento e links contidos em arquivos maliciosos HTML. Os conteúdos continham descrições de cargos e links com o objetivo de legitimar as postagens de vagas de trabalho dentro de sites de emprego populares, relevantes para direcionar estes indivíduos.
Em alguns casos, os operadores do APT33 deixaram o módulo phishing com valores padrão, o que pode ser considerado um erro por parte dos ciberatacantes, uma vez que minutos após o envio destes e-mails, o grupo realizou um novo disparo – para os mesmos destinatários –, já com os valores padrão removidos.
Além disso, foram registrados inúmeros domínios que simulam empresas de aviação da Arábia Saudita e organizações ocidentais, as quais têm parcerias para fornecer treinamento, manutenção e suporte às frotas militar e comercial no país. Baseados nos padrões de atuação observados, o grupo provavelmente utilizou estes domínios em e-mails de spear phishing para atacar as organizações-alvo.
O objetivo do APT33 de alvejar organizações envolvidas na aviação e na energia se alinha com os interesses do Estado-nação, o que indica o patrocínio das atividades pelo governo local. Esta conclusão se deu ao reunir as informações do momento das operações – que coincidem com o horário de trabalho iraniano –, o uso de múltiplas ferramentas de hackers iranianos e os nomes dos servidores, reforçando a hipótese inicial dos pesquisadores da FireEye de que o APT33 possivelmente age em nome do governo iraniano.
“O Irã demonstrava repetidamente uma vontade de alavancar globalmente suas capacidades de ciberespionagem. O uso agressivo destas técnicas, combinado à geopolítica em um momento de transição, evidencia o perigo que o APT33 representa para governos e interesses comerciais não apenas Oriente Médio, como em todo o mundo. Identificar esse grupo e sua capacidade destrutiva representa uma oportunidade para as organizações detectar e lidar de forma proativa com ameaças relacionadas”, afirma John Hultquist, diretor de análise da ciberespionagem da FireEye.
