As agências de segurança cibernética dos EUA e de Israel publicaram um novo comunicado atribuindo a um grupo cibernético iraniano o ataque aos Jogos Olímpicos de Verão de 2024 e o comprometimento de um fornecedor francês de exibição dinâmica comercial para mostrar mensagens denunciando a participação de Israel no evento esportivo.
A atividade foi atribuída a uma entidade conhecida como Emennet Pasargad, que, segundo as agências, opera sob o nome falso de Aria Sepehr Ayandehsazan (ASA) desde meados de 2024. É rastreado pela comunidade mais ampla de segurança cibernética como Cotton Sandstorm, Haywire Kitten e Marnanbridge.
“O grupo exibiu novas habilidades em seus esforços para conduzir operações de informação cibernéticas até meados de 2024, usando uma miríade de personas de cobertura, incluindo múltiplas operações cibernéticas que ocorreram durante e visando os Jogos Olímpicos de Verão de 2024 – incluindo o compromisso de uma exibição dinâmica comercial francesa provedor”, de acordo com a assessoria.
ASA, o Federal Bureau of Investigation (FBI) dos EUA, o Departamento do Tesouro e a Diretoria Nacional Cibernética de Israel disseram, também roubaram conteúdo de câmeras IP e usaram software program de inteligência synthetic (IA), como Remini AI Picture Enhancer, Voicemod e Murf AI para modulação de voz e Appy Pie para geração de imagens para divulgação de propaganda.
Avaliado como parte do Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), o ator da ameaça é conhecido por suas operações cibernéticas e de influência sob as personas Al-Toufan, Equipe Anzu, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus e Market of Knowledge , entre outros.
Uma das táticas recentemente observadas diz respeito ao uso de revendedores de hospedagem fictícios para fornecer infraestrutura operacional de servidores para seus próprios fins, bem como a um ator no Líbano para hospedar websites afiliados ao Hamas (por exemplo, alqassam(.)ps).
“Desde aproximadamente meados de 2023, a ASA tem usado vários provedores de hospedagem de cobertura para gerenciamento e ofuscação de infraestrutura”, disseram as agências. “Esses dois provedores são 'Server-Pace' (server-speed(.)com) e 'VPS-Agent' (vps-agent(.)web).”
“A ASA criou seus próprios revendedores e adquiriu espaço de servidor de fornecedores baseados na Europa, incluindo a empresa BAcloud e a Stark Industries Options/PQ Internet hosting, sediada na Lituânia (localizadas no Reino Unido e na Moldávia, respectivamente). A ASA então aproveita esses revendedores de cobertura para fornecer servidores operacionais aos seus próprios atores cibernéticos para atividades cibernéticas maliciosas.”
O ataque dirigido contra o fornecedor de exibição comercial francês não identificado ocorreu em julho de 2024 usando infraestrutura de agente VPS. Procurou exibir montagens fotográficas criticando a participação de atletas israelenses nos Jogos Olímpicos e Paraolímpicos de 2024.
Além disso, a ASA teria tentado contactar familiares de reféns israelitas após a guerra Israel-Hamas no início de Outubro de 2023 sob a persona Contact-HSTG e enviar mensagens susceptíveis de “causar efeitos psicológicos adicionais e infligir mais trauma”.
O ator da ameaça também foi vinculado a outra pessoa conhecida como Cyber Courtroom, que promoveu as atividades de vários grupos de hackers disfarçados administrados por ele mesmo em um canal do Telegram e em um web site dedicado criado para esse fim (“cybercourt(.)io”) .
Ambos os domínios, agente vps(.)web e cybercourt(.)io, foram apreendidos após uma operação conjunta de aplicação da lei realizada pelo Gabinete do Procurador dos EUA para o Distrito Sul de Nova York (SDNY) e pelo FBI.
Isso não é tudo. Após o início da guerra, acredita-se que a ASA tenha prosseguido esforços para enumerar e obter conteúdo de câmeras IP em Israel, Gaza e Irã, bem como coletar informações sobre pilotos de caça israelenses e operadores de veículos aéreos não tripulados (UAV) por meio de websites como knowem.com, facecheck.id, socialcatfish.com, ancestry.com e familysearch.org.
O desenvolvimento ocorre no momento em que o Departamento de Estado dos EUA anuncia uma recompensa de até 10 milhões de dólares por informações que levem à identificação ou ao paradeiro de pessoas associadas a um grupo de hackers associado ao IRGC, apelidado de Shahid Hemmat, por ter como alvo a infraestrutura crítica dos EUA.
“Shahid Hemmat tem sido associado a atores cibernéticos maliciosos que visam a indústria de defesa dos EUA e os setores de transporte internacional”, afirmou.
“Como componente do IRGC-CEC (Comando Cibereletrônico), Shahid Hemmat está conectado a outros indivíduos e organizações associadas ao IRGC-CEC, incluindo: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab e a empresa de fachada Emennet Pasargad, Dadeh Afzar Arman (DAA) e Mehrsam Andisheh Saz Nik (MASN).”
