homeland-justice - RunkIntel

# HomeLand Justice ## Descrição HomeLand Justice (MITRE C0038) foi uma das campanhas cibernéticas mais politicamente significativas de 2022 - um ataque estatal iraniano contra um membro da OTAN (Albânia), com implicações diplomáticas graves. A operação foi conduzida pelo [[g1001-hexane|HEXANE]] (também rastreado como COBALT ILLUSION / APT34 cluster), um grupo de hackers alinhado com o Ministério de Inteligência e Segurança do Irã (MOIS). O objetivo político foi punir a Albânia por abrigar o grupo de oposição iraniano Mujahedeen-e Khalq (MEK/PMOI) em um campo de refugiados no país. O acesso inicial foi obtido em maio de 2021, e os atores mantiveram persistência por 14 meses antes de lançar os ataques destrutivos em julho de 2022. O arsenal técnico foi excepcionalmente destrutivo: o grupo implantou o wiper [[s1150-roadsweep|ROADSWEEP]], um ransomware de cobertura, e o backdoor [[s1149-chimneysweep|CHIMNEYSWEEP]] para manter acesso e controle. O wiper [[s1151-zerocleare|ZeroCleare]] (baseado na ferramenta EldoS RawDisk) foi utilizado para destruição de dados em disco, junto ao [[s0364-rawdisk|RawDisk]]. Ferramentas de movimento lateral incluíram [[s0357-impacket|Impacket]], [[mimikatz|Mimikatz]] e RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]). A exfiltração de dados ([[t1041-exfiltration-over-c2-channel|T1041]]) precedeu a destruição, e informações exfiltradas de funcionários do governo albanês foram vazadas públicamente para pressão adicional. Os atores mascararam o ransomware como motivação financeira para obscurecer os objetivos reais da operação. As consequências diplomáticas foram sem precedentes para um ataque cibernético: a Albânia rompeu relações diplomáticas com o Irã em setembro de 2022 - a primeira vez que um país ocidental expulsou representantes iranianos por causa de um ciberataque. Os EUA, Reino Unido e outros aliados da OTAN emitiram declarações formais de condenação e atribuição ao Irã. Em setembro de 2022, uma segunda onda de ataques com o wiper Poison Razor e variantes do ROADSWEEP foi lançada, demonstrando que a retaliação não arrefeceu os objetivos operacionais iranianos. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | Maio de 2021 (acesso inicial) – setembro de 2022 (segunda onda) | | Ator | HEXANE (nexo Irã/MOIS) | | Alvo | Governo albanês - sistemas de e-governo e serviços públicos | | Motivação | Política - punir Albânia por abrigar grupo de oposição MEK | | Arsenal | ROADSWEEP (wiper), CHIMNEYSWEEP (backdoor), ZeroCleare, Mimikatz | | Consequência diplomática | Albânia rompeu relações diplomáticas com o Irã (setembro de 2022) | | Dados exfiltrados | Informações de funcionários do governo albanês, vazadas públicamente | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo** - a campanha foi direcionada específicamente ao governo albanês por razões geopolíticas regionais. Contudo, a HomeLand Justice é relevante como caso de estudo de ataque estatal destrutivo com objetivos geopolíticos claros. O modelo de "acesso antecipado + persistência longa + ataque destrutivo coordenado" é uma ameaça crescente para governos na América Latina, especialmente aqueles envolvidos em disputas diplomáticas ou com diásporas politicamente sensíveis. O uso de wipers disfarçados de ransomware é uma técnica que evoluiu significativamente e pode ser replicada contra infraestrutura governamental brasileira em cenários de tensão política internacional. ## Atores Envolvidos - [[g1001-hexane|HEXANE]] ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1098-002-additional-email-delegate-permissions|T1098.002 - Additional Email Delegaté Permissions]] - [[t1134-001-token-impersonationtheft|T1134.001 - Token Impersonation/Theft]] - [[t1078-001-default-accounts|T1078.001 - Default Accounts]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Software Utilizado - [[s0357-impacket|Impacket]] - [[s1149-chimneysweep|CHIMNEYSWEEP]] - [[s1151-zerocleare|ZeroCleare]] - [[mimikatz|Mimikatz]] - [[s0095-ftp|ftp]] - [[s1150-roadsweep|ROADSWEEP]] - [[s0364-rawdisk|RawDisk]] --- *Fonte: [MITRE ATT&CK - C0038](https://attack.mitre.org/campaigns/C0038)*