Hackers baseados no Irã têm usado um malware para espionar indivíduos, incluindo potenciais dissidentes e ativistas no país, de acordo com uma nova pesquisa da Symantec.

Os ataques não são particularmente sofisticados, mas os hackers têm tido acesso aos computadores de seus alvos há mais de um ano, segundo a Symantec, o que significa que eles ganharam acesso a uma enorme quantidade de informações sensíveis.

Dois grupos de hackers, chamados Cadelle e Chafer, distribuíram um malware que rouba informação de PCs e servidores, incluindo de companhias aéreas e empresas de Telco na região.

Os grupos têm operado desde meados de 2014, mas a Symantec indica que detalhes de registro para servidores de comando e controle indicam que eles podem estar rodando desde 2011.

No caso, o Cadelle usa um malware chamado backdoor.cadellespy, e o Chafer usa um que a Symantec chamou de backdoor.remexi.

Ainda não está claro como o Cadelle distribuiu o malware, mas há evidência de que o Chafer usa ataques SQL para comprometer servidores web. Tal ataque pode permitir que um hacker submeta comandos baseados na Web e obtenha a base de dados back-end para responder.

De acordo com a Symantec, cada grupo deve ter comprometido de cinco a dez pessoas. Apesar de eles não compartilharem a mesma infraestrutura de ataque, ambos estão interessados nos mesmos alvos no Irã e têm trabalhado a mesma quantidade de horas.

Uma análise de sequências de arquivos Cadelspy revelou que algumas datas usam o formato do calendário Solar Hijri, comum no Irã e Afeganistão.

Alguns computadores foram infectados tanto com Cadelyspy e Remexi, com as infecções tendo ocorrido dentro de cinco minutos uma da outra.

“Um computador que foi infectado tanto com Remexi  e Cadelspy era um sistema que rodava uma aplicação de edição de cartão SIM”, escreveu a Symantec. “Outros computadores comprometidos incluíam aqueles que pertenciam a desenvolvedores web ou servidores de base de dados e arquivos”.

Outro alvo parece ser pessoas que usam proxies anônimos – serviços que ajudam a mascarar o serviço que uma pessoa está conectando para escapar blocos em determinados sites.

“Relatórios têm mostrado que muitos iranianos se aproveitam desses serviços para acessar sites que estão bloqueados pela censura do governo em relação à Internet”, escreveu a Symantec. “Dissidentes, ativistas e pesquisadores na região podem usar esses proxies na tentativa de manter suas atividades online privadas”.

Fonte: Idgnow