Um comunicado conjunto de segurança afirma que um grupo de ameaça persistente avançada (APT) associado ao governo iraniano está ameaçando várias vítimas de setores de infraestrutura crítica dos EUA. Diz-se que o grupo explorou uma vulnerabilidade do Microsoft Exchange desde pelo menos outubro de 2021 e uma vulnerabilidade do Fortinet desde pelo menos março de 2021. Esses ataques visam obter acesso que pode ser aproveitado para exfiltração ou criptografia de dados, ransomware e extorsão.
A consultoria é o resultado de um esforço conjunto do Federal Bureau of Investigation (FBI), da Cybersecurity and Infrastructure Security Agency (CISA), do Australian Cyber Security Center (ACSC) e do National Cyber Security Center (NCSC) do Reino Unido. Todos esses órgãos avaliam que o grupo APT em questão está associado ao governo iraniano. O ACSC também determinou que o grupo APT tirou proveito da mesma vulnerabilidade do Microsoft Exchange na Austrália.
O relatório completo analisa as táticas e técnicas usadas pelos atores APT. Ele também percorre uma linha do tempo de ataques, quando os ataques foram detectados, e etapas de mitigação sugeridas para reduzir o risco de comprometimento pela ameaça.
“O FBI, CISA, ACSC e NCSC pedem que as organizações de infraestrutura crítica apliquem as recomendações listadas na seção Mitigações deste comunicado para mitigar o risco de comprometimento de ciberatores patrocinados pelo governo iraniano”, diz o comunicado. Ele também direciona para um visão geral das ameaças cibernéticas iranianas.