albania-destructive-attack-2022

# Ataque Destrutivo à Albânia 2022 - Scarred Manticore > [!high] Ataque Cibernético Estatal - Wiper em Infraestrutura Governamental > Ataque cibernético destrutivo patrocinado pelo Irã contra a infraestrutura governamental da Albânia em julho de 2022. O incidente foi histórico por ser o primeiro ataque cibernético iraniano atribuído públicamente contra um país membro da OTAN, motivado pela hospedagem albanesa do grupo oposicionista iraniano MEK (Mujahideen-e-Khalq). ## Visão Geral O **Ataque Destrutivo à Albânia 2022** representa um marco histórico na história da ciberguerra: foi o primeiro ataque cibernético de Estado iraniano contra um membro da OTAN com consequências diplomáticas formais - a Albânia expulsou diplomatas iranianos e rompeu relações consulares em resposta ao incidente. O ataque foi executado pelo [[scarred-manticore|Scarred Manticore]] (também rastreado como APT35/Charming Kitten por alguns pesquisadores, embora a sobreposição seja debatida) e visava específicamente a infraestrutura digital do governo albanês como retaliação pela decisão da Albânia de hospedar campos do MEK (Mujahideen-e-Khalq), grupo oposicionista iraniano considerado organização terrorista pelo regime. O ataque combinou múltiplos elementos: intrusão prévia meses antes do ataque destrutivo, exfiltração de dados, implantação de wipers ([[zeroclear|ZeroCleare]] e [[chainsaw|Chainsaw Wiper]]), defacement interno de sistemas e ransomware falso como disfarce. A sofisticação da operação - acesso mantido por meses antes da ativação - indica preparação deliberada com objetivo de maximizar impacto em um momento politicamente estratégico. O incidente é estudado como caso paradigmático de uso de operações cibernéticas como instrumento de política externa: o Irã demonstrou capacidade de atingir um estado soberano (e membro da OTAN) digitalmente sem o custo político de uma ação cinética direta. **Plataformas:** Windows, sistemas governamentais albaneses ## Linha do Tempo do Ataque ```mermaid timeline Maio 2021 : Acesso inicial obtido : meses antes do ataque visível Setembro 2021 : Reconhecimento extensivo : mapeamento de infraestrutura Maio 2022 : Implantação de wipers : pré-posicionamento para ativação 15 Jul 2022 : Ativação simultânea : serviços governamentais albaneses : offline por 10+ horas 7 Set 2022 : Segundo ataque : sistemas de polícia albanesa 6 Set 2022 : Albânia expulsa diplomatas : iranianos - ruptura consular ``` **Cadeia de ataque - wiper ZeroCleare:** ```mermaid graph TB A["🔑 Acesso inicial VPN vulnerável credenciais roubadas"] --> B["🔍 Reconhecimento 13 meses mapeamento completo da infraestrutura"] B --> C["💾 Implantação silenciosa ZeroCleare + Chainsaw em servidores críticos"] C --> D["⏰ Ativação simultânea julho 2022 impacto máximo coordenado"] D --> E["💀 Destruição de dados MBR sobrescrito serviços governamentais offline"] E --> F["📢 Atribuição pública Microsoft + Mandiant nexo iraniano confirmado"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | VPN e serviços expostos como vetor inicial | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Credenciais roubadas para movimento lateral | | [[t1485-data-destruction\|T1485]] | Data Destruction | ZeroCleare e Chainsaw Wiper para destruição | | [[t1491-001-internal-defacement\|T1491.001]] | Internal Defacement | Defacement de sistemas internos governamentais | | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Disable or Modify Tools | Desabilitação de AV e EDR antes do wiper | ## Arsenal Destrutivo **ZeroCleare** - wiper baseado em EldoS RawDisk (driver legítimo abusado): - Usa o driver RawDisk para acesso de baixo nível ao disco, bypassando proteções do Windows - Sobrescreve o MBR e partições com dados aleatórios - Historicamente associado a outros grupos iranianos (APT34/OilRig) **Chainsaw Wiper** - componente adicional: - Apaga logs de eventos do Windows para dificultar forensics - Remove Shadow Copies para prevenir recuperação - Correlacionado como específico desta campanha albanesa ## Impacto e Resposta Diplomática O ataque teve consequências sem precedentes na história das relações ciber-diplomáticas: - **Impacto imediato**: Sistemas governamentais albaneses offline por 10+ horas - **Impacto secundário**: Dados de funcionários governamentais potencialmente expostos - **Resposta albanesa**: Expulsão de diplomatas iranianos, ruptura de relações consulares (6 de setembro de 2022) - **Resposta OTAN**: Declaração de suporte ao artigo 5 do Tratado Atlântico foi debatida mas não ativada - **Atribuição pública**: Microsoft, Mandiant e governo dos EUA atribuíram formalmente o ataque ao Irã ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O padrão de acesso antecipado com pré-posicionamento de wipers e ativação coordenada é replicável por qualquer ator com capacidades similares. A longa dwell time de 13 meses e o uso de drivers legítimos como arma são TTPs diretamente aplicáveis ao contexto de infraestrutura governamental brasileira. Embora o ataque tenha sido direcionado específicamente à Albânia por motivações geopolíticas regionais, o caso é relevante para o Brasil por múltiplos ângulos: 1. **Modelo de ataque em infraestrutura governamental**: O padrão de acesso antecipado + pré-posicionamento de wipers + ativação coordenada é um modelo que pode ser replicado por qualquer ator com capacidades similares 2. **Longa dwell time**: Os atacantes permaneceram 13 meses na rede antes do ataque visível - uma janela de detecção que a maioria dos SOCs governamentais não consegue monitorar adequadamente 3. **Dependência de drivers legítimos**: O uso do driver EldoS RawDisk (legítimo) para destruição é uma TTP evasiva que bypassaria muitos controles preventivos Governos e infraestrutura crítica brasileira devem considerar este caso no planejamento de resiliência: não apenas defesa perimetral, mas capacidade de detecção de intrusões de longa duração (threat hunting) e backup imune a wipers (offline/imutável). ## Detecção **Indicadores de comprometimento:** - Driver RawDisk (`rawdisk.sys`) carregado de diretório temporário ou não-padrão - Processo acessando `\\.\PhysicalDrive0` para escrita em baixo nível - Deleção em massa de Shadow Copies via `vssadmin delete shadows /all` - Logs de eventos Windows apagados em múltiplos sistemas simultaneamente **Fontes de dados:** - **Sysmon Event ID 6 (DriverLoad):** Carregamento de driver não assinado ou de caminho incomum - **Windows Security Event 4657 + 4663:** Acesso a chaves de registro e arquivos de sistema - **Sysmon Event ID 1:** `vssadmin.exe delete` ou `wmic shadowcopy delete` ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2022/09/08/microsoft-investigates-iranian-attacks-against-the-albanian-government/) Microsoft - Iranian Attacks Against Albania (2022) - [2](https://www.mandiant.com/resources/blog/likely-iranian-threat-actor-conducts-destructive-attack-and-targeting-of-albanian-government) Mandiant - Albanian Government Attack Analysis (2022) - [3](https://attack.mitre.org/groups/G1027/) MITRE ATT&CK - Scarred Manticore - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-264a) CISA Advisory AA22-264A - Albania Cyber Attacks (2022)