EUA agências de inteligência alertaram que hackers do governo iraniano estão usando ativamente o aplicativo de mensagens Telegram para se infiltrar e roubar dados de dissidentes, jornalistas e grupos de oposição em todo o mundo. O FBI emitiu um alerta público na sexta-feira detalhando como esses atores aproveitam o Telegram para implantar malware, obter acesso remoto aos dispositivos das vítimas e exfiltrar informações confidenciais.
Como funcionam os ataques
A operação se desenvolve em duas etapas principais. Primeiro, os hackers se apresentam como contatos confiáveis ou suporte técnico para induzir os alvos a baixar arquivos maliciosos disfarçados de aplicativos legítimos (como o Telegram ou o próprio WhatsApp). Uma vez instalado, esse malware conecta o computador da vítima a bots baseados no Telegram, permitindo que os invasores controlem remotamente o dispositivo.
Isso dá aos hackers acesso para roubar arquivos, capturar capturas de tela e até mesmo gravar comunicações privadas, como chamadas do Zoom.
Os invasores exploram a infraestrutura do Telegram porque ela oculta atividades maliciosas no tráfego normal da rede, dificultando a detecção por ferramentas de segurança cibernética. Esta tática destaca uma tendência crescente de atores cibernéticos incorporarem operações em plataformas comumente usadas para evitar o escrutínio.
Atividade patrocinada pelo estado
O FBI atribui estes ataques ao Ministério de Inteligência e Segurança do Irão (MOIS), enquadrando-os como parte de um esforço mais amplo para promover os interesses geopolíticos do regime. Um grupo hacktivista pró-iraniano, “Handala”, assumiu a responsabilidade por recentes ataques de alto perfil, incluindo uma violação perturbadora contra a empresa de tecnologia médica Stryker.
A Stryker confirmou em um documento da SEC que ainda está se recuperando do hack, que envolveu a limpeza de dezenas de milhares de dispositivos de funcionários. O Departamento de Justiça dos EUA acusou Handala de operar como fachada para o MOIS, levando à apreensão de sites vinculados a Handala e a outro grupo iraniano, “Homeland Justice”. O FBI afirma que ambos são controlados pelos mesmos atores estatais.
Resposta do Telegram
O porta-voz do Telegram, Remi Vaughn, afirmou que a plataforma remove ativamente contas envolvidas com distribuição de malware. No entanto, a utilização continuada do serviço por estes intervenientes demonstra os desafios do policiamento desta actividade em grande escala.
O incidente sublinha a natureza evolutiva da guerra cibernética patrocinada pelo Estado, onde plataformas aparentemente inócuas como o Telegram são transformadas em armas para facilitar a espionagem e a perturbação. O aviso do FBI serve como um lembrete de que os utilizadores devem permanecer vigilantes contra táticas de engenharia social e downloads de software não autorizados.
