FBI alerta sobre uso do Telegram em ataques de hackers iranianos

O Departamento Federal de Investigação dos EUA (FBI) emitiu um alerta sobre o uso do Telegram em ataques cibernéticos. A agência avisou profissionais de segurança de redes sobre incidentes envolvendo agentes ligados ao Ministério da Inteligência e Segurança do Irã (MOIS)

O FBI afirma que o Telegram está sendo usado como infraestrutura de comando e controle (C2) para malwares. Os principais alvos são jornalistas que criticam o governo iraniano, dissidentes iranianos e grupos de oposição em todo o mundo.

Handala e Homeland Justice são os principais suspeitos

“Devido ao clima geopolítico tenso no Oriente Médio e ao conflito atual, o FBI está destacando essa atividade cibernética do MOIS”, afirmou o departamento. “Esse malware resultou na coleta de inteligência, vazamentos de dados e danos à reputação das partes visadas.”

A agência afirma que está divulgando essas informações para maximizar a conscientização sobre as atividades cibernéticas maliciosas do Irã. Além de fornecer estratégias de mitigação para reduzir o risco de comprometimento.

O órgão associou esses ataques ao grupo hacktivista Handala, ligado ao Irã e com posicionamento pró-palestino. Além disso, a atividade também foi atribuída ao grupo de ameaças Homeland Justice, patrocinado pelo Estado iraniano e vinculado à Guarda Revolucionária Islâmica do Irã (IRGC).

Hackers iranianos miram dispositivos Windows

Nesses ataques, os hackers iranianos estão usando engenharia social para infectar os dispositivos dos alvos com malware para Windows. Isso lhes permite extrair capturas de tela ou arquivos de computadores comprometidos.

“Os criminosos podem usar — e de fato usam — qualquer canal disponível para controlar malware, incluindo outros aplicativos de mensagens, e-mails ou até mesmo conexões diretas à web”, afirmou um porta-voz do Telegram ao BleepingComputer. 

“Embora não haja nada de excepcional no uso do Telegram para controlar software, os moderadores removem rotineiramente quaisquer contas envolvidas com malware”, explicou o porta-voz.

Agência apreende quatro domínios

O alerta foi publicado um dia após o FBI apreender quatro domínios: handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org e karmabelow80[.]org. Os sites eram usados pelos grupos Handala e Homeland Justice, além de um terceiro ator rastreado como Karma Below.

Eles serviam para apoiar ataques e vazar documentos e dados confidenciais roubados de vítimas nos Estados Unidos e em outros países.

80 mil dispositivos resetados via Microsoft Intune

As ações ocorrem após um ataque do Handala contra a gigante médica americana Stryker. Na ocasião, o grupo realizou a redefinição de fábrica de cerca de 80 mil dispositivos, incluindo computadores de funcionários e celulares corporativos.

A operação foi feita por meio do comando de limpeza do Microsoft Intune. Para isso, os invasores comprometeram uma conta de administrador de domínio do Windows e criaram uma nova conta de Administrador Global.

Alerta para campanhas russas contra Signal e WhatsApp

Na semana passada, o FBI também alertou sobre campanhas de phishing ligadas à inteligência russa. Os ataques têm como alvo usuários do Signal e do WhatsApp e já comprometeram milhares de contas.

“A atividade tem como alvo indivíduos de grande valor para os serviços de inteligência, como funcionários atuais e ex-funcionários do governo dos EUA, militares, figuras políticas e jornalistas”, afirmou o órgão.

O comunicado foi divulgado após autoridades de cibersegurança da Holanda e da França descreverem operações semelhantes de sequestro de contas.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.