operation-cleaver - RunkIntel

# Operation Cleaver > [!critical] Ameaça Iraniana a Infraestrutura Critica Global > A **Operation Cleaver** foi uma campanha de ciberespionagem e sabotagem conduzida pelo grupo iraniano **Tarh Andishan** entre 2012 e 2014, comprometendo mais de 50 organizacoes em 16 paises. A operação incluiu o comprometimento de sistemas de controle de acesso em aeroportos internacionais, representando uma das primeiras ameaças cibers iraniana documentada com potencial de impacto fisico. ## Visão Geral A Operation Cleaver foi exposta pela Cylance em dezembro de 2014 em um relatorio abrangente que revelou anos de operações cibers sofisticadas conduzidas pelo grupo Tarh Andishan - um ator de ameaça nexo-Iran vinculado ao Corpo da Guarda Revolucionaria Islamica (IRGC). O nome "Cleaver" faz referência a strings encontradas no código do malware utilizado na campanha. O Tarh Andishan (em persa: "pensadores inovadores") demonstrou capacidades técnicas avancadas consistentes com suporte estatal: desenvolvimento de malware customizado, operações de espionagem de longo prazo e - mais alarmante - comprometimento de sistemas de controle de acesso fisico em aeroportos internacionais nos EUA e Europa. Este ultimo elemento elevou a campanha alem da espionagem convencional para o territorio de ameaça hibrida com potencial impacto fisico. A Cylance identificou mais de 50 vitimas confirmadas em 16 paises, incluindo empreiteiros de defesa americanos, empresas de energia, organizacoes navais, telecomúnicacoes, transporte, aeroportos e industria petroquimica. O grupo utilizou técnicas de intrusão variadas: spear-phishing, ataques de forca bruta contra credenciais SSH/RDP, exploração de vulnerabilidades web e ataques de watering hole. O malware principal - apelidado de TinyBot pela Cylance - era um backdoor modular com capacidades de download de arquivos, captura de screenshots, execução de comandos e exfiltração. O grupo também utilizou ferramentas customizadas para persistência no Active Directory e técnicas de impersonificacao de certificados. O impacto potencial para o Brasil e LATAM e indireto, mas relevante: o modelo operacional da Operation Cleaver demonstrou que grupos nexo-Iran desenvolvem capacidades específicas para comprometer infraestrutura critica - um modelo que pode ser adaptado e aplicado contra setores de energia, petroleo e gas na regiao. ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento OSINT + LinkedIn Identificação de alvos"] --> B["🚪 Vetor de Acesso Spear-phishing OU Brute-force SSH/RDP"] B --> C["💥 Comprometimento Inicial Credenciais roubadas OU Exploit web application"] C --> D["💧 Deploy TinyBot Backdoor modular Persistência via servicos"] D --> E["🔗 C2 Estabelecido HTTP/HTTPS para servidor controlado"] E --> F["🔍 Movimento Lateral Credenciais roubadas Acesso a sistemas criticos"] F --> G["⚠️ Acesso Fisico via Cyber Sistemas de controle de acesso em aeroportos"] G --> H["📤 Exfiltração de Dados Documentos de defesa Dados de infraestrutura"] ``` ### Escopo e Setores Comprometidos ```mermaid graph TB A["Operation Cleaver 50+ vitimas / 16 paises"] --> B["Infraestrutura Critica Aeroportos (sistemas de controle de acesso)"] A --> C["Defesa e Governo Empreiteiros DoD EUA Bases militares aliadas"] A --> D["Energia e Petroleo Empresas de O&G Petroquimicas - Arabia Saudita"] A --> E["Transporte e Logistica Navios e armadores Ferrovias e portos"] A --> F["Telecomúnicacoes Provedores de internet Empresas de satelite"] B --> G["Risco Fisico Real Modificacao de registros de acesso em aeroportos"] ``` ## Cronologia | Data | Evento | |------|--------| | 2012-01 | Estimativa de inicio das operações Tarh Andishan, possívelmente acelerada após Stuxnet | | 2012-Q2 | Primeiras intrucoes documentadas em empreiteiros de defesa americanos | | 2013-Q1 | Expansao para setores de energia e petroleo no Oriente Medio | | 2013-Q3 | Comprometimento de sistemas de controle de acesso em aeroportos identificado | | 2014-Q1 | Atividade contra setores navais, de transporte e telecomúnicacoes intensificada | | 2014-12 | Cylance pública relatorio "Operation Cleaver" expondo a campanha globalmente | | 2015-01 | Atividade significativamente reduzida após exposicao; grupo adapta infraestrutura | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing altamente direcionado contra funcionarios de infraestrutura critica | | [[t1190-exploit-public-facing\|T1190]] | Exploit Public-Facing App | Exploração de vulnerabilidades em VPNs, aplicações web e Citrix | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Uso de credenciais roubadas para acesso persistente | | [[t1110-brute-force\|T1110]] | Brute Force | Ataques de forca bruta contra SSH, RDP e VPN | | [[t1562-impair-defenses\|T1562]] | Impair Defenses | Desativacao de antivirus e ferramentas de segurança | | [[t1098-account-manipulation\|T1098]] | Account Manipulation | Criação de contas backdoor no Active Directory | | [[t1082-system-information-discovery\|T1082]] | System Info Discovery | Fingerprinting detalhado de sistemas e redes comprometidas | ## Vitimas e Alvos A Cylance documentou 50+ organizacoes comprometidas em 16 paises: - **EUA**: Empreiteiros de defesa (DoD), empresas de energia, telecomúnicacoes, companhias aereas - **Arabia Saudita**: Saudi Aramco (setor petroquimico), empresas de energia - **Israel**: Organizacoes governamentais e de defesa - **Alemanha, Franca, Reino Unido**: Entidades de infraestrutura critica - **India, Coreia do Sul, Canada, China, Paquistao**: Alvos variados em setores criticos - **Aeroportos**: Sistemas de controle de acesso fisico comprometidos em aeroportos nos EUA e Europa ## Relevância LATAM > [!latam] Impacto Potencial para Brasil e LATAM > Embora a campanha tenha focado em EUA, Europa e Oriente Medio, o modelo operacional do Tarh Andishan e altamente relevante para o Brasil. O setor de **petroleo e gas** brasileiro (Petrobras, distribuidoras) e de **infraestrutura critica** (aeroportos, portos, energia eletrica) representam alvos de alto valor analogos aos comprometidos na Operation Cleaver. Alem disso, o Brasil possui relacoes comerciais com Iran e empresas iranianas que poderiam ser vetores de acesso para operações de espionagem industrial. - O setor petroquimico e de energia brasileiro apresenta o mesmo perfil de risco que os alvos da Operation Cleaver na Arabia Saudita - Aeroportos brasileiros com sistemas de controle de acesso integrados a redes corporativas sao vetores potenciais - Grupos nexo-Iran como Tarh Andishan e APT33 demonstraram interesse em setores de energia em paises com relacoes comerciais com o Ocidente ## Mitigação e Detecção - **Segmentacao rigorosa de redes OT/IT**: Isolar sistemas de controle de acesso fisico de redes corporativas - **MFA obrigatoria** para todos os acessos SSH, RDP e VPN remotos - **Monitoramento de atividade anormal em Active Directory**: Criação de contas privilegiadas, modificacoes de GPO - **Inventario e patching** de aplicações web públicas e VPNs com vulnerabilidades conhecidas - **Detecção de TinyBot**: Monitorar comúnicacoes HTTP/HTTPS para padroes de C2 do backdoor - **Auditoria de logs de acesso fisico**: Detectar modificacoes nao autorizadas em registros de controle de acesso - Aplicar [[m1030-network-segmentation]], [[m1032-multi-factor-authentication]] e [[m1049-antivirus-endpoint-protection]] ## Referências - [Cylance - Operation Cleaver Report (Dez 2014)](https://cdn2.hubspot.net/hub/257216/file-1840903507-pdf/Operation_Cleaver_Report.pdf) - [MITRE ATT&CK - Tarh Andishan (G0064)](https://attack.mitre.org/groups/G0064/) - [DHS - Alert on Iranian Cyber Activity](https://www.cisa.gov/news-events/alerts/2014/12/02/cylance-report-operation-cleaver) - [Kaspersky - Iranian APT Landscape Analysis](https://securelist.com/irans-cyber-capabilities/)