Lemon Sandstorm expõe risco de ataque em infraestrutura no Oriente Médio
Tel Aviv — InkDesign News — Um grupo de ameaças vinculado ao Estado iraniano tentou comprometer a infraestrutura nacional crítica (CNI) de um país rival no Oriente Médio, infiltrando malware avançado por dois anos, mas não conseguiu acessar a rede operacional (OT) desejada.
Vetor de ataque
A intrusão teve início há pelo menos dois anos, quando os atacantes usaram credenciais VPN roubadas para entrar na rede da organização. Em poucos dias, instalaram web shells em servidores Microsoft Exchange expostos externamente e aprimoraram esses backdoors para evitar detecção. Durante 20 meses, o grupo conhecido como Lemon Sandstorm adicionou funcionalidades, componentes para persistência e empregou cinco ferramentas de ataque personalizadas, mas sem realizar exfiltração significativa de dados.
Os invasores demonstraram disciplina operacional e usaram técnicas incomuns, incluindo ferramentas malware inéditas e termos religiosos em persa em seus artefatos, sugerindo motivações ideológicas ou geopolíticas. As tentativas de reentrada após perder acesso incluíram exploração de vulnerabilidades conhecidas, ainda não exploradas publicamente, e ataques de spear-phishing baseados em inteligência interna.
Impacto e resposta
A presença persistente dos atacantes indicava uma possível preparação para ataques destrutivos futuros contra a infraestrutura visada. A segmentação da rede impediu a movimentação lateral da TI para OT, o que dificultou significativamente o avanço dos invasores.
“O ator de ameaça não realizou exfiltração significativa de dados, o que sugere que estavam principalmente interessados em manter acesso de longo prazo ao ambiente OT.”
(“The threat actor did not carry out significant data exfiltration, which suggests they were primarily interested in maintaining long-term access to the OT environment.”)— John Simmons, líder regional, Fortinet FortiGuard Incident Response
Além disso, a adoção de autenticação multifator para contas e a rápida aplicação de patches são recomendadas para reduzir riscos decorrentes de credenciais comprometidas e exploits n-day.
Análise e recomendações
Especialistas ressaltam que, apesar do uso de novas ferramentas, as táticas mais comuns — como movimentação lateral via área de trabalho remota e uso de web shells — foram as que mais se destacaram. Organizações devem priorizar defesas contra esses métodos amplamente usados para obter maior resiliência, em vez de focar somente em variantes recentes de malware.
“As consequências de ataques bem-sucedidos em infraestrutura crítica podem ter implicações de longo alcance para segurança nacional e soberania.”
(“The consequences of successful attacks in these areas could have far-reaching implications for national security and sovereignty.”)— Alexey Lukash, analista, Positive Technologies
Práticas frequentes de resposta a incidentes são fundamentais para acelerar a reação a eventuais compromissos e mitigar danos.
O caso acompanha uma tendência crescente na região que mostra APTs focando em infraestrutura crítica, especialmente governamental. Espera-se que o aumento da sofisticação e quantidade desses ataques impulsione investimentos em segurança cibernética para proteger sistemas essenciais.
Fonte: (Dark Reading – Segurança Cibernética)
