Ao menos 21 pessoas, entre ativistas de direitos humanos, jornalistas, políticos, diplomatas e acadêmicos, teriam sido alvo de um ataque hacker supostamente patrocinado pelo governo do Irã. A denúncia foi feita na segunda-feira (5) pela ONG Human Rights Watch (HRW), ela própria vítima do ciberataque.

Segundo a entidade, uma investigação apontou para o grupo de hackers APT42, também conhecido como Charming Kitten. Entre os alvos estão três membros da equipe da HRW, um correspondente de um grande jornal dos EUA, uma defensora dos direitos das mulheres sediada no Golfo Pérsico e o diretor da organização humanitária Refugees International, Nicholas Noe.

“Os hackers apoiados pelo Estado do Irã estão usando agressivamente engenharia social sofisticada e táticas de coleta de credenciais para acessar informações confidenciais e contatos mantidos por grupos da sociedade civil e pesquisadores focados no Oriente Médio”, disse Abir Ghattas, diretor de segurança da informação da ONG. “Isso aumenta significativamente os riscos que jornalistas e defensores dos direitos humanos enfrentam no Irã e em outras partes da região”.

A investigação revelou que as vítimas receberam uma mensagem pelo WhatsApp que direcionava para uma página falsa de login. Isso permitia aos hackers coletar a senha de e-mail do Google e o código de autenticação do usuário. Foi assim que os três integrantes da HRW foram hackeados, sendo que outras 15 pessoas atingidas dizem ter recebido a mesma mensagem.

“A atividade de segurança do Google revelou que os invasores acessaram as contas dos alvos quase imediatamente após o comprometimento e mantiveram o acesso às contas até que a equipe de pesquisa da Human Rights Watch e da Anistia Internacional os informou e os ajudou a remover o dispositivo conectado do invasor”, diz a ONG, que instou a empresa de tecnologia norte-americana a melhorar o sistema de proteção contra ataques semelhantes.

“Em uma região do Oriente Médio repleta de ameaças de vigilância para ativistas, é essencial que os pesquisadores de segurança digital não apenas publiquem e promovam descobertas, mas também priorizem a proteção dos ativistas, jornalistas e líderes da sociedade civil da região”, disse Ghattas.

Além do próprio Google, as empresas de segurança cibernética Recorded Future, Proofpoint e Mandiant vincularam o APT42 a Teerã. Esta última alega que o grupo de hackers foi responsável por vários ataques do tipo phishing na Europa, nos EUA e na região do Oriente Médio e Norte da África.

Ataques aos EUA

Em novembro deste ano, o governo norte-americano revelou que hackers financiados pelo governo do Irã realizaram um ataque cibernético contra uma agência federal dos EUA no início de 2022. Os cibercriminosos roubaram senhas de rede e instalaram um software para a mineração de criptomoedas, de acordo com as autoridades.

Antes, em setembro, autoridades dos EUA haviam acusado três iranianos de hackear e extorquir uma série de empresas e organizações americanas enquanto trabalhavam para empresas de TI (tecnologia da informação) afiliadas ao Corpo da Guarda Revolucionária Islâmica (IRGC, na sigla em inglês).

Segundo Washington, criminosos virtuais apoiados pelo Estado iraniano atacam regularmente organizações do setor público e da infraestrutura nacional crítica dos EUA e seus aliados, usando vulnerabilidades populares que permitem ao invasor enviar um código malicioso para ser executado.