Facebook derruba espionagem militar operada por cibercriminosos iranianos
Por Felipe Gugelmin | Editado por Claudio Yuge | 15 de Julho de 2021 às 18h20
O Facebook divulgou nesta quinta-feira (15) que derrubou 200 contas usadas por uma operação cibercriminosa baseada no Irã. Os envolvidos usavam os perfis na rede social para espionar pessoas ligadas às forças militares dos Estados Unidos e funcionários de empresas aeroespaciais e do setor da defesa.
- Facebook demitiu mais de 52 engenheiros que violaram a privacidade de usuários
- Facebook vai dar bônus para compensar atraso em pagamentos de caçadores de bugs
- Golpe promete verificação no Facebook, Twitter e Instagram para raptar contas
Segundo a empresa, as atividades do grupo identificado como Tortoiseshell duraram meses e envolviam criar perfis falsos que faziam conexões e conquistavam a amizade dos alvos. Após a confiança ter sido estabelecida, as vítimas eram direcionadas a acessar sites que instalavam malwares de espionagem em suas máquinas.
“Esta atividade tinha as características de uma operação persistente e com bons recursos, enquanto confiava em medidas de segurança operacional fortes para esconder quem está por trás dela”, afirmaram Mike Dvilyanski, Chefe de Investigações de Espionagem Cibernética, e David Agranovich, Diretor de Interrupção de Ameaças.
O Facebook afirma que sua plataforma participava somente da parte de engenharia social usada pelos atacantes, que tentavam direcionar conversas para mensagens de e-mail e comunicadores externos. Os criminosos também usavam uma série de sites de recrutamento falsos, copiavam páginas oficiais de serviços de e-mail e invadiam sistemas digitais para obter informações confidenciais das vítimas.
Ligações com a Guarda Revolucionária do Irã
Segundo a análise conduzida pela rede social, parte dos malwares usados pelo grupo foi desenvolvida pela Mahak Rayan Afraz (MRA), companhia de tecnologia da informação de Tehran que possui ligações com a Guarda Revolucionária do Irã. A empresa julga que as ferramentas usadas são únicas ao grupo, que desenvolveu trojans de acesso remoto com funções completas, ferramentas de detecção de redes e softwares capazes de registrar palavras tecladas.
A empresa afirma que compartilhou suas descobertas com outros nomes da indústria para que eles também possam detectar e bloquear as atividades dos criminosos. Além de banir os perfis usados pelo grupo, o Facebook também bloqueou o compartilhamento dos domínios usados por eles e entrou em contato com todas as pessoas que se tornaram alvos dos criminosos.
Em um comunicado enviado à Reuters, a Microsoft afirmou que está ciente das ameaças e já tomou as medidas necessárias para bloqueá-la. A Alphabet (empresa dona do Google) reforçou a segurança do Gmail para evitar os ataques de phishing usados pelo grupo, enquanto a Slack Technologies afirmou que derrubou os perfis usados pelos cibercriminosos, bem como os Workspaces que violavam suas regras.