Iniciativa CpC: Cidadãos pela Cibersegurança

Principais APTs ligados ao Irão: retrato, método e estrutura

Published by

Rui Martins

on

Principais APT*. ligados ao Irão, com o ano aproximado em que começaram a ser observados, a especialidade e os alvos mais comuns. A maioria foi identificada entre 2011 e 2015, quando o Irão estruturou verdadeiramente a sua capacidade de ciberguerra.

APT33
Atividade conhecida: ~2013
Especialidade:
Sabotagem e espionagem industrial
Malware destrutivo
Alvos:
Energia
Petroquímica
Aviação
Infraestruturas críticas
Nota:
Foi associado a ataques contra empresas de energia no Golfo e nos EUA.

APT34
Atividade conhecida: ~2014
Especialidade:
Espionagem prolongada
Infiltração em redes empresariais
Alvos:
Governos do Médio Oriente
Telecomunicações
Energia
Nota:
Um dos grupos mais persistentes, com campanhas que duram anos.

APT35
Atividade conhecida: ~2014
Especialidade:
Spear-phishing sofisticado
Roubo de credenciais
Espionagem política
Alvos:
Académicos
Jornalistas
ONGs
Campanhas políticas nos EUA e Europa
Nota:
Muito ativo em operações de influência e recolha de informação estratégica.

APT39
Atividade conhecida: ~2014–2015
Especialidade:
Vigilância
Roubo de dados pessoais
Alvos:
Telecomunicações
Aviação
Registos de viagens
Nota:
Recolhe grandes volumes de dados sobre movimentos de pessoas.

APT42
Atividade conhecida: ~2015
Especialidade:
Espionagem política
Roubo de contas cloud
Alvos:
Diplomatas
Think tanks
Investigadores de política externa

MuddyWater
Atividade conhecida: ~2017
Especialidade:
Intrusão em redes governamentais
Malware personalizado
Alvos:
Governos
Empresas tecnológicas
Universidades

Agrius
Atividade conhecida: ~2020
Especialidade:
Ataques destrutivos disfarçados de ransomware
Alvos:
Israel
Empresas tecnológicas
infraestruturas regionais

CyberAv3ngers
Atividade conhecida: ~2023
Especialidade:
Ataques a infraestruturas industriais
Exploração de PLC e sistemas SCADA
Alvos:
Sistemas de água
Energia
automação industrial

Estrutura por trás dos grupos
Grande parte destes grupos está associada a duas estruturas estatais:
Islamic Revolutionary Guard Corps (IRGC)
Ministry of Intelligence and Security (MOIS)
Estas entidades usam empresas de fachada e subcontratados privados para operar estes grupos ou operações específicas conduzidas pelos APTs estatais ou para-estatais.

Em termos cronológicos a ciberguerra iraniana evoluiu em três momentos distintos:
2011–2014: criação das primeiras APT (em resposta ao StuxNet)
2015–2020: expansão global e espionagem política e industrial
2020–hoje: ataques destrutivos e infraestruturas críticas

A estrutura da ciberguerra iraniana não é apenas um conjunto de “hackers isolados” e inorg|anicos: É um sistema híbrido que mistura forças militares, serviços secretos, universidades e empresas privadas que funcionam como fachadas operacionais. Esse modelo começou a ser estruturado depois do ataque do malware Stuxnet em 2010, que mostrou ao regime iraniano que o domínio digital podia ser usado como arma estratégica.

Estrutura actual (começo de 2026) da ciberguerra iraniana

  1. Nível estratégico: comando político e militar
    Islamic Revolutionary Guard Corps (IRGC)
    É o principal centro de ciberguerra ofensiva do Irão.
    Funções:
    operações ofensivas contra infraestruturas
    sabotagem digital
    campanhas de influência
    Dentro do IRGC existe um comando específico:
    IRGC Cyber Command
    cooperação com unidades de guerra eletrónica
    ligação direta a APTs
    Grande parte dos ataques destrutivos e operações contra Israel são atribuídos a estruturas diretamente ligadas ao IRGC.

    Ministry of Intelligence and Security (MOIS)
    |É o serviço de informações externo e interno.
    Funções:
    espionagem política
    infiltração de redes governamentais
    recolha de informação estratégica
    Os grupos ligados a espionagem clássica (universidades, diplomatas, jornalistas) costumam estar associados ao MOIS.
  2. Nível operacional: APT
    Os APT funcionam como unidades semi-independentes, muitas vezes escondidas em empresas privadas.
    Exemplos:
    APT33
    APT34
    APT35
    APT39
    APT42
    Funções principais:
    spear-phishing
    exploração de vulnerabilidades
    espionagem prolongada
    infiltração de redes
  3. Nível industrial: empresas de fachada
    O regime usa empresas tecnológicas aparentemente privadas para dar cobertura às operações.
    Estas empresas recrutam programadores
    desenvolvem malware e fazem investigação em cibersegurança
    Funcionam como parceiros privados do Estado, algo semelhante ao modelo usado por alguns serviços de inteligência ocidentais.
  4. Nível universitário (recrutamento e investigação)
    Universidades iranianas formam grande parte dos operadores.
    Algumas instituições ligadas ao ecossistema de cibersegurança:
    Sharif University of Technology
    Imam Hossein University
    Funções:
    formação técnica
    investigação criptográfica
    recrutamento para operações cibernéticas

    Muitos hackers começam em competições de segurança informática patrocinadas pelo Estado iraniano.
  1. Nível irregular (hacktivistas)
    Além dos APT, existem grupos que parecem “hacktivistas”, mas que frequentemente funcionam como proxies do regime.
    Por Exemplo:
    CyberAv3ngers
    Funções:
    ataques a infraestruturas industriais
    operações de propaganda
    campanhas de DDoS
    Estes grupos dão negabilidade plausível ao regime.

Como funciona na prática a ciberguerra iraniana:
Durante conflitos militares, o modelo iraniano opera em camadas simultâneas:

  1. APTs de espionagem
    infiltram redes e recolhem informação
  2. APTs de sabotagem
    malware destrutivo (wipers)
    ataques a infraestruturas críticas (energia, água e comunicações)
  3. Hacktivistas
    Operam frequentemente a partir do ocidente
    DDoS
    defacement de sites
  4. Operações de influência
    redes sociais (x e facebook)
    manipulação informativa por manipulação do feed usando bots, perfis falsos e “idiotas úteis”.
  5. Comparação com ameaças russas e chinesas:
    O modelo iraniano é menos sofisticado que o russo ou chinês, mas muito agressivo e persistente.

Quando o Irão entra em situações de conflito ou tensão militar, os ataques cibernéticos seguem padrões relativamente previsíveis. Observando episódios desde 2011 (ataques a bancos dos EUA) até operações mais recentes no Médio Oriente, observam-se cinco tipos de operações distintas:

  1. Ataques DDoS massivos
    Exemplo clássico: Operation Ababil (2011–2013)
    redes de bots enviam milhões de pedidos a servidores
    sites ou APIs dos alvos deixam de responder
    Alvos típicos
    bancos
    serviços online
    media
    organismos públicos
    Objetivo:
    causar interrupção
    impacto mediático e
    demonstrar capacidade de retaliação
  2. Espionagem estratégica
    Usada sobretudo por grupos como
    APT35 e APT34.
    Métodos:
    spear-phishing
    roubo de credenciais
    infiltração em contas cloud
    Alvos:
    diplomatas
    universidades
    think tanks e
    empresas tecnológicas
    Objetivo:
    antecipar decisões políticas
    recolher informação estratégica
  3. Malware destrutivo
    O exemplo mais conhecido é o Shamoon:
    apaga discos rígidos
    destrói sistemas
    paralisa redes empresariais
    Impacto histórico:
    mais de 30 000 computadores destruídos numa única operação na Arábia Saudita.
    Alvos típicos:
    energia
    petróleo
    indústria
  4. Ataques a infraestruturas industriais
    Nos últimos anos surgiram operações contra sistemas de controlo industrial (ICS).
    Exemplo: CyberAv3ngers
    Técnicas:
    exploração de PLC acessíveis na Internet
    acesso a sistemas SCADA
    Alvos:
    sistemas de água
    energia
    instalações industriais
  5. Operações de influência e propaganda
    Muito usadas em paralelo com ataques técnicos.
    Métodos:
    redes falsas em redes sociais
    leaks manipulados
    campanhas de desinformação
    Objetivo:
    dividir opiniões públicas
    amplificar tensões políticas
    desacreditar governos adversários

Padrão típico seguido pelos APTs iranianos durante uma guerra como a atual com os EUA e Israel:

Quando há conflito militar, as operações costumam aparecer nesta sequência:

  1. Reconhecimento digital
    sondagem de redes e vulnerabilidades.
  2. Espionagem e paralelamente infiltração silenciosa.
  3. Ataques de interrupção DDoS e sabotagem.
  4. Ataques destrutivos ou industriais quando a escalada aumenta.
  5. Propaganda exploração mediática dos ataques.

O que isto pode significar para Portugal
Com envolvimento indireto no conflito (por exemplo a base das Lajes)
os alvos mais prováveis são:
portos
energia
telecomunicações
instituições governamentais e
empresas tecnológicas

Ataques iniciais seriam provavelmente:
DDoS
phishing dirigido
exploração de serviços expostos na Internet.

Grupos capazes de conduzirem ataques persistentes usando técnicas de invasão contínuas, clandestinas e sofisticadas para obter acesso a um sistema e permanecer dentro dele por um período prolongado, com consequências potencialmente destrutivas.

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.