Facebook acusa hackers iranianos de espionarem militares dos EUA e desativa 200 perfis

O Facebook anunciou, nesta quinta-feira (15), que retirou cerca de 200 contas administradas por um grupo de hackers no Irã como parte de uma operação de espionagem cibernética que teve como alvo, principalmente, militares dos EUA e pessoas que trabalham em empresas de defesa e aeroespacial.

O gigante da mídia social disse que o grupo, apelidado de Tortoiseshell por especialistas em segurança, usava perfis falsos para se conectar com os alvos, construindo confiança ao longo de vários meses. O golpe conhecido como phishing faz com que as vítimas sejam levadas para outros sites onde são enganadas para clicar em links maliciosos que podem infectar seus dispositivos com malware espião.

"Esta atividade tem as marcas de uma operação persistente e com bons recursos, enquanto depende de medidas de segurança operacional relativamente fortes para esconder quem está por trás dela", disse a equipe de investigações do Facebook em um blog.

Os hackers teriam criado perfis fictícios em várias plataformas de mídia social para parecerem mais confiáveis, muitas vezes se passando por recrutadores ou funcionários de empresas aeroespaciais e de defesa. 

O Facebook disse que o grupo usou e-mail, mensagens e serviços de colaboração para distribuir o malware, inclusive por meio de planilhas maliciosas do Excel. O LinkedIn, de propriedade da Microsoft, disse que também removeu várias contas e o Twitter disse que estava "investigando ativamente" as informações do relatório do Facebook. 

O Google, da Alphabet Inc, também teria detectado e bloqueado o phishing no Gmail e emitiu avisos para seus usuários. O aplicativo de mensagens no local de trabalho da Slack Technologies Inc informou suas atitudes para derrubar os hackers.

Segundo o Facebook, os hackers usaram ainda domínios personalizados para atrair seus alvos, incluindo sites de recrutamento falsos para empresas de defesa, e configurou uma infraestrutura on-line que falsificou um site legítimo de busca de empregos para o Departamento do Trabalho dos EUA.

Alvos específicos do golpe

O Facebook disse que os hackers têm como alvo principalmente pessoas nos EUA, bem como algumas no Reino Unido e na Europa, em uma campanha em andamento desde meados de 2020. Os nomes das empresas cujos funcionários foram visados não foram divulgados, mas o chefe de espionagem cibernética do Facebook, Mike Dvilyanski, comunicou que estava notificando "menos de 200 indivíduos".

A investigação da rede social descobriu que uma parte do malware usado pelo grupo foi desenvolvida por Mahak Rayan Afraz (MRA), uma empresa de Tecnologia da Informação sediada em Teerã com ligações com o Corpo de Guardiões da Revolução Islâmica (IRGC, na sigla em inglês).

Segundo a Reuters, a suposta conexão do MRA com a espionagem cibernética do Estado iraniano não é nova. No ano passado, a empresa de segurança cibernética Recorded Future disse que a MRA era uma das várias contratadas suspeitas de servir à Força Quds de elite do IRGC.

O Facebook disse que bloqueou o compartilhamento de domínios maliciosos e o Google disse que adicionou os domínios à sua "lista de bloqueio".