A intermitente guerra cibernética entre Israel e Irã, que se estende desde o papel de Israel na criação e implantação do malware Stuxnet que sabotou o programa de armas nucleares do Irã, tem sido talvez o conflito mais duradouro na era da pirataria patrocinada pelo estado. Mas desde o ataque do Hamas em 7 de outubro e a invasão retaliatória de Gaza por Israel, um novo ator nesse conflito ameaça não apenas a infraestrutura digital em Israel, mas também sistemas críticos nos EUA e no mundo todo.
O grupo conhecido como CyberAv3ngers provou, no último ano e meio, ser os hackers mais ativos do governo iraniano focados em sistemas de controle industrial. Seus alvos incluem água, esgoto, petróleo e gás, e muitos outros tipos de infraestrutura crítica. Apesar de ser operado por membros do Corpo da Guarda Revolucionária do Irã, segundo oficiais dos EUA que ofereceram uma recompensa de US$ 10 milhões por informações que levem à sua prisão, o grupo inicialmente assumiu a aparência de uma campanha “hacktivista”.
O CyberAv3ngers foi vocal sobre suas operações que visavam Israel e produtos de tecnologia israelenses. Mas eles também expandiram silenciosamente sua lista de alvos para incluir uma variedade de outros dispositivos e redes, incluindo uma empresa de petróleo e gás dos EUA e uma ampla gama de sistemas de controle industrial em todo o mundo.
Tudo isso torna os hackers, apesar de sua frente de base, um raro exemplo de ciber-sabotadores patrocinados pelo estado que cruzaram a linha ao atacar e perturbar infraestrutura crítica. E eles não mostraram sinais de parar.
“Eles fingem ser hacktivistas, mas não são. Este é um grupo patrocinado pelo estado. Eles têm financiamento e ferramentas”, diz Kyle O’Meara, um pesquisador de inteligência de ameaças da empresa de cibersegurança de sistemas de controle industrial Dragos, que rastreia o grupo sob o nome Bauxite. “Eles definitivamente têm a capacidade, têm a intenção e têm interesse em aprender como desligar coisas e potencialmente causar dano.”
Embora o CyberAv3ngers estivesse ativo desde 2020, ganhou destaque em novembro de 2023, após o ataque de 7 de outubro do Hamas que matou mais de 1.200 pessoas e a resposta de Israel com uma invasão terrestre e campanha de bombardeio que já matou mais de 50.000 palestinos. Um mês após essa guerra em curso, os hackers conseguiram acesso a mais de 100 dispositivos vendidos pela empresa israelense Unitronics—sistemas de controle industrial mais comumente usados em utilitários de água e plantas de esgoto. “Todo equipamento ‘Feito em Israel’ é um alvo legal do CyberAv3ngers!” dizia uma postagem no account do grupo no X.
Nesta onda de hacking, os CyberAv3ngers configuraram os nomes dos dispositivos para ler “Gaza” e mudaram suas exibições para mostrar uma imagem do logotipo do grupo junto com uma estrela de Davi afundando em uns e zeros. “Você foi hackeado,” dizia a imagem. “Abaixo Israel.”
Embora a primeira incursão do CyberAv3ngers possa ter parecido simples vandalismo, os hackers realmente reescreveram a chamada “lógica de escada” dos dispositivos, o código que governa sua funcionalidade. Como resultado, as mudanças feitas pelos hackers interromperam o serviço em algumas redes vítimas, incluindo um utilitário de água e uma cervejaria perto de Pittsburgh—instalações distintas que estavam coincidencialmente na mesma região—bem como múltiplas utilidades de água em Israel e na Irlanda, de acordo com a Dragos e outra empresa de cibersegurança industrial, Claroty, que rastreou a campanha de hacking.
Mais ou menos ao mesmo tempo, os CyberAv3ngers também postaram no Telegram que haviam invadido os sistemas digitais de mais de 200 postos de gasolina israelenses e dos EUA—incidentes que a Claroty diz ter ocorrido em alguns casos, mas que foram amplamente limitados a hackear seus sistemas de câmera de vigilância—e que haviam causado apagões em utilidades elétricas israelenses, uma reivindicação que as empresas de cibersegurança dizem ser falsa.
Essa onda inicial de hackeamento do CyberAv3ngers, tanto real quanto fabricada, parece ter sido parte de uma troca de agressões com outro grupo de hackers altamente agressivo que é amplamente acreditado trabalhar em nome das agências militares ou de inteligência israelenses. Esse grupo rival, conhecido como Predatory Sparrow, repetidamente mirou sistemas críticos de infraestrutura do Irã enquanto também se escondia atrás de uma frente hacktivista. Em 2021, desativou mais de 4.000 postos de gasolina iranianos em todo o país. Depois, em 2022, incendiou uma usina de aço em talvez o ataque cibernético mais destrutivo da história. Após a campanha de hacking do CyberAv3ngers no final de 2023, e lançamentos de mísseis contra Israel por rebeldes houthis apoiados pelo Irã, o Predatory Sparrow retaliou novamente, derrubando milhares de postos de gasolina do Irã em dezembro daquele ano.
“Khamenei!” escreveu o Predatory Sparrow no X, referindo-se ao líder supremo do Irã em farsi. “Nós iremos reagir contra suas provocações malignas na região.”
Os ataques do Predatory Sparrow têm sido rigidamente focados no Irã. Mas o CyberAv3ngers não limitou seus alvos a israelenses, ou mesmo a dispositivos feitos em Israel usados em outros países. Em abril e maio do ano passado, a Dragos diz que o grupo invadiu uma empresa de petróleo e gás dos EUA—a Dragos não quis revelar qual foi—comprometendo os aparelhos de segurança Sophos e Fortinet da empresa. A Dragos descobriu que, nos meses seguintes, o grupo estava escaneando a internet em busca de dispositivos vulneráveis de sistemas de controle industrial, além de visitar os sites dos fabricantes desses dispositivos para ler sobre eles.
Após seus ataques no final de 2023, o Tesouro dos EUA sancionou seis oficiais da IRGC que dizem estar ligados ao grupo, e o Departamento de Estado colocou sua recompensa de US$ 10 milhões em suas cabeças. Mas longe de ser desencorajado, o CyberAv3ngers mostrou sinais de evoluir para uma ameaça mais onipresente.
Em dezembro passado, a Claroty revelou que o CyberAv3ngers havia infectado uma ampla variedade de sistemas de controle industrial e dispositivos da internet das coisas (IoT) ao redor do mundo usando uma peça de malware que desenvolveu. A ferramenta, que a Claroty chama de IOControl, era um backdoor baseado em Linux que escondia suas comunicações em um protocolo conhecido como MQTT usado por dispositivos IoT. Ele havia sido plantado em tudo, desde roteadores a câmeras a sistemas de controle industrial. A Dragos diz que encontrou dispositivos infectados pelo grupo em todo o mundo, dos EUA à Europa, até a Austrália.
De acordo com a Claroty e a Dragos, o FBI assumiu o controle do servidor de comando e controle do IOControl ao mesmo tempo que o relatório de dezembro da Claroty, neutralizando o malware. (O FBI não respondeu ao pedido da WIRED para comentar sobre a operação.) Mas a campanha de hacking do CyberAv3ngers, no entanto, mostra uma evolução perigosa nas táticas e motivos do grupo, de acordo com Noam Moshe, que rastreia o grupo para a Claroty.
“Estamos vendo o CyberAv3ngers se movendo do mundo de atacantes oportunistas cujo objetivo era disseminar uma mensagem para o reino de uma ameaça persistente,” diz Moshe. Na campanha de hacking do IOControl, ele acrescenta, “eles queriam ser capazes de infectar todos os tipos de ativos que identificam como críticos e simplesmente deixar seu malware lá como uma opção para o futuro.”
Exatamente o que o grupo poderia estar esperando—possivelmente algum momento estratégico em que o governo iraniano poderia ganhar uma vantagem geopolítica ao causar ampla interrupção digital—está longe de ser claro. Mas as ações do grupo sugerem que não está mais buscando meramente enviar uma mensagem de protesto contra as ações militares israelenses. Em vez disso, Moshe argumenta, está tentando ganhar a capacidade de desferir ataques à infraestrutura estrangeira à vontade.
“Isso é como um botão vermelho na mesa deles. A qualquer momento, eles querem ser capazes de atacar muitos segmentos, muitas indústrias diferentes, muitas organizações diferentes, como quiserem,” diz ele. “E eles não vão embora.