Não era amor, era cilada

Em 29 abr. 2020, o Monitoramento Avançado Persistente detectou em canais iranianos da dark web o anúncio de que bases de dados da Agência Nacional de Saúde (ANS) estariam disponíveis para download.

Dados ANS

O volume de dados anunciado é de 61 GB para download em mais de 30 arquivos.

Atribuiu-se a autoria da publicação ao grupo iraniano Liosion. O grupo tem perfil pró-regime iraniano. Após a morte do Gen. Qasem Solemaini em janeiro de 2020, o Liosion foi um dos coletivos que atuaram em ações de desfiguração de página e vazamentos de dados contra alvos norte-americanos e sauditas.

Além de atuação política, o grupo pratica ações criminosas, como furto de informaçẽos pessoais e bancárias para objetivo de enriquecimento.

Também foi observada a presença em fóruns da deep e dark web que indicam scripts orientados para obtenção de acesso a VPN (NordVPN) e exploração não-autorizada de serviços de nuvem.

NordVPN

A presença de alguns integrantes em redes sociais sugere que Sir.Lioson, aparente líder do grupo, resida ou possua nacionalidade holandesa.

Exploit

Em redes sociais, alguns dos integrantes possuem perfis e publicações consistentes com atividades ofensivas que são divulgadas pelo grupo.

GitHub
YouTube

Além da publicação de dados da ANS, o mesmo canal disponibiliza diferentes vazamentos de informação (na imagem abaixo um leak do Chile).

Chile DB

Depois de acessar o conteúdo disponibilizado no canal foi possível observar o volume de pastas e arquivos:

Lista de Arquivos

Pelos nomes e conteúdos dos arquivos baixados percebeu-se semelhança com dados que foram disponibilizados em portais de dados públicos e servidor FTP da ANS. Isso provavelmente significa que os dados não são de acesso restrito.

De um lado, tal fato pode apontar para eventual descuido da ANS na disponibilização dos dados, sem filtro de origem, abertos e disponíveis para download. De outro lado, abre-se vasta margem para conjecturar qual o objetivo de um coletivo iraniano, com considerável experiência em outras situações de vazamento de dados, a divulgar a informação – aberta – da ANS como se fosse fruto de um ataque cibernético bem-sucedido.

A distribuição em grande quantidade de arquivos e todos compactados seria uma forma de inserir arquivos maliciosos e dificultar a detecção dos mesmos por meio de ferramentas online de segurança. Fato que reforça essa tese é o uso de uma agência nacional de saúde do Brasil (em meio a crise do Covid) como isca para campanha de phishing.

Nessa mesma linha, vale destacar que habitualmente os dados anunciados nesses canais são para venda. Há cessão de amostras (samples) para compradores interessados, mas não é comum que todos os dados sejam disponibilizados gratuitamente.

Outro ponto de interesse é o uso quase exclusivo do idioma farsi pelos usuários do canal. Isso pode sugerir que, caso se trate de campanha de phishing, o grupo Liosion mirava sua campanha contra usuários iranianos ativos na dark web.

As tentativas de contato com o grupo para coleta de maiores informações foram infrutíferas até o presente momento.

 

 

 

PS: Salve pra Sabrina…