As táticas de terra arrasada do exército cibernético do Irã

no início horas de 5 de janeiro, uma conta popular de um dissidente iraniano anônimo chamado Júpiter anunciou no Twitter que seus amigos mataram Abolqasem Salavati, um magistrado caluniado apelidado de “Juiz da Morte”. O tweet se tornou viral, e milhares de pessoas jubilosas lotaram o Twitter Space da conta para agradecê-los por assassinar o homem responsável por condenar à morte centenas de prisioneiros políticos.

Logo, no entanto, alguns participantes expressaram dúvidas sobre a veracidade da afirmação. Eles foram xingados e expulsos da sala, enquanto o anfitrião insistia: “Esta noite é para comemorar!” enquanto encoraja repetidamente os espectadores a tornar o Space viral. No dia seguinte, ativistas no local e a mídia iraniana confirmaram que Salavati estava, de fato, vivo. Vários especialistas suspeitam que Júpiter tenha sido uma operação cibernética da República Islâmica do Irã destinada a distrair as pessoas, enquanto o governo iraniano executou dois manifestantes na mesma noite do Twitter Space.

Dentro de suas fronteiras, o regime iraniano controla sua população por meio de um dos sistemas de filtragem de internet mais rígidos do mundo, repressões físicas e prisões em massa realizadas com impunidade. No entanto, o IRI é vulnerável além de suas fronteiras físicas e virtuais, pois o regime luta para conter o discurso e silenciar os dissidentes. Para combater as narrativas da oposição no Ocidente e entre os ativistas domésticos armados por VPN online, o exército cibernético do IRI emprega táticas multifacetadas, tortuosas e às vezes desajeitadas. Com a agitação política em andamento no Irã, velhas táticas cibernéticas foram intensificadas e novos truques que visam distrair, desacreditar, distorcer e semear desconfiança vieram à tona quando o regime se encontra em um momento crítico.

Tempos desesperados, medidas desesperadas

Entre as táticas usadas pelos agentes cibernéticos do IRI — conhecidos coloquialmente como Cyberi — está o hacking à moda antiga. O grupo de hackers Charming Kitten, vinculado ao Irã, ganhou notoriedade em 2020 por suas tentativas de spear phishing contra jornalistas, acadêmicos e especialistas em políticas no Ocidente. O grupo foi reconhecido por sua estratégia de fingir ser repórteres ou pesquisadores e fingir interesse no trabalho de seus alvos como pretexto para configurar pedidos de entrevista incorporados a um link de spear phishing. Relatórios recentes do Centro Nacional de Segurança Cibernética do governo do Reino Unido e da empresa de segurança Mandiant descobriram que tais grupos cibernéticos de atividades de spear phishing TA453 e APT42, que são afiliados ao Corpo de Guardas Revolucionários Iranianos, têm sido cada vez mais prevalentes. No mês passado, a popular conta anti-regime RKOT reivindicado ter recebido um pedido de entrevista geolocalizado para um departamento do IRGC em Shiraz de um indivíduo que se apresenta como jornalista de O jornal New York Times.

De acordo com Amin Sabeti, fundador do CERTFA, um coletivo de segurança cibernética especializado em descobrir atividades cibernéticas iranianas apoiadas pelo Estado, essas operações mudaram seus métodos nos últimos meses, já que a maioria dos alvos de interesse está ciente da ameaça e aprendeu a se proteger. de spear phishing. Em vez disso, diz Sabeti, eles agora usam uma estratégia de “efeito dominó”, visando alvos de baixo perfil, cujas credenciais eles coletam para construir confiança e obter acesso a alvos de alto perfil em sua rede. No início deste mês, por exemplo, o iraniano canadense ativista de direitos humanos Nazanin Afshin Jam disse que ela recebeu um link de spear phishing de um colega de confiança que havia sido hackeado.

“Neste momento, eles vão atrás de todos que se interessam por essa revolução, principalmente pessoas que trabalham em organizações sem fins lucrativos”, diz Sabeti.

Notavelmente, alguns desses atores estatais estabelecem credibilidade e confiança ao longo do tempo, mascarando-se como vozes anti-regime e apoiadores fervorosos do movimento de protesto, ou construindo relacionamentos com alvos. Uma conta com o nome de Sara Shokouhi foi criada em outubro de 2022 e afirmava ser uma estudiosa do Oriente Médio. A conta passou meses promovendo vozes de oposição e escrevendo sinceras homenagens aos manifestantes antes de finalmente sendo exposto por especialistas do Irã como uma operação de phishing patrocinada pelo Estado.