A fornecedora de soluções de segurança FireEye disse que a Rússia e o Irã estão buscando realizar ataques cibernéticos que interrompam as metas de OT [tecnologia operacional] no Oriente Médio em uma tentativa de interromper a produção industrial. O “OT” consiste em equipamentos de máquinas, sistemas de monitoramento de ativos e sistemas de controle industrial.
Alister Shepherd, diretor do Oriente Médio e África da Mandiant, uma unidade da FireEye, disse à TechRadar no Oriente Médio que a Rússia vai usar o malware Triton, que tem como alvo sistemas de segurança em plantas industriais.
O Triton é um dos malwares notórios focados em interromper o equipamento físico. O primeiro foi o Stuxnet, conhecido por ter desenvolvido os EUA e Israel para sabotar as ambições nucleares do Irã, enquanto o segundo foi o malware iraniano conhecido como Shamoon 1, em 2012, que teria destruído milhares de computadores na Saudi Aramco e no RasGas do Catar. Shamoon 2 fez ataques semelhantes em 2016 e 2017, enquanto Shamoon 3 fez uma nova onda de ataques contra alvos nas instalações de petróleo e gás do Oriente Médio em dezembro de 2018.
“No primeiro trimestre deste ano, vimos grandes volumes de ataques patrocinados pelo governo iraniano tendo como alvo clientes e vítimas na região, incluindo Arábia Saudita, Emirados Árabes Unidos, Bahrein, Líbano e Kuwait, e combinados com volumes menores de outros APT com motivação financeira. grupos “, disse Shepherd.
Ele acrescentou que o Irã definitivamente pretende responder ao aumento das sanções da isenção de seis meses do petróleo, que entrou em vigor em 2 de maio de 2019.
Capacidade limitada
Os EUA introduziram sanções contra o Irã em novembro de 2018, mas concederam uma isenção a oito países – Índia, China, Turquia, Grécia, Itália, Japão, Taiwan e Coréia do Sul.
Os EUA já saíram do Plano Conjunto de Ação Conjunta (JCPOA), também conhecido como “acordo nuclear com o Irã”, criado em 2015.
“Até agora, vimos a capacidade limitada do Irã de tomar medidas destrutivas contra os EUA, apesar do aumento da sofisticação e do volume de ataques, enquanto a segurança e a maturidade na região são menores”, disse ele.
Além disso, ele disse que o Irã tem como alvo a Arábia Saudita e as indústrias regionais de petróleo e gás, mas o Irã está achando difícil ter o mesmo impacto em 2012 e 2013.
Grupos de ameaças persistentes (APT) patrocinados pelo Estado, como APT33, APT34, APT35 e APT39, são do Irã e suas vítimas abrangem todos os setores e se estendem muito além dos conflitos regionais no Oriente Médio.
Os antigos e os novos jogadores
Os países que se acredita terem as capacidades de guerra cibernética mais desenvolvidas são os EUA, Israel, China, Rússia, Irã e Coréia do Norte, mas Shepherd disse que o Paquistão e a Turquia estão se tornando ativos este ano, além de grupos de ameaças financeiras como FIN6 e FIN7
Nos EUA, o grupo de hackers FIN7 roubou mais de 15 milhões de números de crédito de mais de 3.600 locais e roubou mais de US $ 1 bilhão de empresas de todo o mundo.
“Vamos ver os estados-nação continuarem desenvolvendo suas capacidades ofensivas e algumas delas implantadas de forma agressiva nos sistemas de TI e OT”, disse Shepherd.
Ele disse que quando o malware iraniano não está realizando ataques contra seus alvos, eles estão conduzindo espionagem e roubando dados.
Além disso, ele disse que a Rússia continuará conduzindo operações via mídia social em notícias falsas, como fez com as eleições nos EUA, e por meio de mais operações secretas como hacking e vazamento táctico de dados de maneiras que possam semear discórdia, incluindo o Oriente Médio.
