Ameaças patrocinadas pelo Estado Iraniano têm trabalhado de perto para espionar e depois causar estragos contra organizações importantes na Albânia e em Israel.
O Scarred Manticore (também conhecido como Storm-861), vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS), tem espionado organizações de alto valor em todo o Oriente Médio e além por algum tempo. O grupo é tão eficaz no que faz que outro APT (Ameaça Persistente Avançada) do MOIS, o Void Manticore (também conhecido como Storm-842), está se aproveitando de seu acesso inicial para lançar campanhas destrutivas próprias.
Até o momento, o Void Manticore afirma ter atacado com sucesso mais de 40 organizações israelenses, com uma série de campanhas de destaque na Albânia também.
Conforme descrito em um post no blog da Check Point Research, o acordo entre as manticores é simples e aproveita os pontos fortes de cada grupo.
Primeiro, o Scarred Manticore faz a espionagem. Seu engenhoso framework de malware Liontail permite que ele realize silenciosamente a exfiltração de dados por e-mail, muitas vezes por mais de um ano.
Então, diz Sergey Shykevich, gerente do grupo de inteligência de ameaças na Check Point, “Quando há alguma escalada, como com o Mojahedin-e-Khalq (MEK) na Albânia ou com a guerra em Israel, há um tomador de decisões no governo que decide, ‘Vamos queimar nosso acesso cibernético para espionagem e, em vez disso, fazer operações de influência e destruição’. E então eles passam para o outro ator, focado na mesma organização.”
Onde o Scarred Manticore é incisivo e sutil, o Void Manticore é barulhento e bagunçado.
Parte da operação envolve hack-and-leaks, onde o Void Manticore opera sob as personas “faketivistas” Homeland Justice, para campanhas relacionadas à Albânia, e Karma, para Israel.
O outro trabalho do grupo é a demolição pura. Usando principalmente ferramentas básicas e amplamente disponíveis – como o protocolo de desktop remoto (RDP) para movimentação lateral e a shell web reGeorg – ele mira nos arquivos de uma organização e então começa a atacar. Às vezes, isso envolve a exclusão manual de arquivos e unidades compartilhadas.
O grupo também tem um arsenal de limpadores personalizados, que geralmente podem ser pensados em duas categorias. Alguns são projetados para corromper arquivos ou tipos específicos de arquivos, uma abordagem mais direcionada.
Outros limpadores do Void Manticore visam a tabela de partição – a parte do sistema hospedeiro responsável por mapear onde os arquivos estão localizados no disco. Ao arruinar a tabela de partição, os dados no disco permanecem intocados, mas inacessíveis.
Organizações que estão na mira de ataques de nível estatal iranianos podem achar ainda mais desafiador se defender contra dois atores de ameaça diferentes, cada um com suas próprias ferramentas, infraestrutura, táticas, técnicas e procedimentos (TTPs). “É um novo fenômeno”, admite Shykevich, “portanto, acredito que ninguém realmente pensou profundamente sobre isso ainda.”
O caminho mais fácil pode ser focar na ameaça inicial, apesar de sua maior sofisticação, porque as campanhas de espionagem geralmente levam muito mais tempo do que as destrutivas. “Uma vez que alguém se depara com o ator destrutivo, ele precisa agir imediatamente. Vimos que quando o ator destrutivo obtém acesso à rede, ele opera quase imediatamente. Portanto, o intervalo de tempo, da transferência entre esses dois atores antes que a destruição comece, é muito curto”, diz ele.
Existem também defesas simples que qualquer organização pode preparar para manter afastados qualquer um dos grupos. As TTPs simplistas do Void Manticore, por exemplo, geralmente podem ser bloqueadas com uma segurança de endpoint competente.
Mesmo a espionagem furtiva do Scarred Manticore pode ser interrompida precocemente, na fonte. Na maioria dos casos, ele inicia seus ataques explorando a CVE-2019-0604, uma vulnerabilidade crítica, mas com meio século de vida, do Microsoft Sharepoint. “Portanto, é evitável”, diz Shykevich. “Não é como se fosse um dia zero, ou alguma outra coisa onde não há meios de prevenção.”