g0003-cleaver - RunkIntel

# Cleaver > [!high] Operação Iraniana de Pré-Posicionamento em Infraestrutura Crítica Global > O **Cleaver** (também identificado como **Tarh Andishan** e Threat Group 2889) é um grupo de ameaça patrocinado pelo Irã, responsável pela **Operation Cleaver** - uma campanha de dois anos que comprometeu mais de 50 organizações em 16 países, incluindo companhias aéreas, refinarias de petróleo, portos, hospitais e infraestrutura militar. Documentado pela Cylance em dezembro de 2014 em um relatório de 86 páginas, o Cleaver representou a primeira evidência concreta de que o Irã havia desenvolvido capacidades cibernéticas ofensivas projetadas para atingir a segurança física de infraestrutura crítica - incluindo acesso completo a sistemas de controle de portões e segurança de aeroportos. A campanha é amplamente vista como resposta estratégica ao ataque Stuxnet contra as instalações nucleares iranianas. ## Visão Geral A Operation Cleaver foi descoberta pela Cylance após uma série de investigações de resposta a incidentes aparentemente separadas que revelaram infraestrutura e técnicas comuns. Quando reunidas, as evidências apontavam para uma campanha coordenada de espionagem e pré-posicionamento de longo prazo, operada a partir de Teerã pelo grupo Tarh Andishan - nome que significa "inovadores" ou "pensadores" em farsi. O grupo mascarou suas operações como uma empresa de engenharia legítima em Teerã. Evidências de atribuição iranianas incluem: registros de domínio em infraestrutura iraniana, blocos de endereçamento associados a empresas estatais de petróleo e gás, nomes de hackers persas usados no código dos malwares, e sobreposição com outros grupos hacktivistas iranianos conhecidos (Iranian Cyber Army, Ashiyane). **Escala da Operation Cleaver:** - 50+ organizações comprometidas em 16 países - 10 organizações americanas, incluindo o Navy Marine Corps Intranet (NMCI) - Companhias aéreas em Coreia do Sul, Arábia Saudita e Paquistão com acesso a sistemas de portões de embarque - 9 empresas de petróleo e gás no Oriente Médio - Universidades em EUA, India, Israel e Coreia do Sul A capacidade mais alarmante descoberta foi o acesso completo a **sistemas de controle de portões e infraestrutura de segurança de aeroportos** - o que, em teoria, permitiria ao grupo falsificar credenciais de acesso a portões. Evidências também mostraram comprometimento de domínios Active Directory completos, switches Cisco Edge inteiros, roteadores e toda a infraestrutura de rede interna de alvos-chave. O acesso a infraestrutura de VPN de companhias aéreas significava que "toda a infraestrutura de acesso remoto e cadeia de suprimentos estava sob controle da equipe Cleaver". ## Campanhas e Operações Documentadas ### Operation Cleaver (2012-2014) A campanha principal, operada por pelo menos dois anos antes da exposição, visava infraestrutura crítica global como parte de um esforço de pré-posicionamento estratégico. Ao contrário de campanhas de roubo de propriedade intelectual, o objetivo evidente era estabelecer acesso persistente a sistemas de alto impacto para uso potencial em um momento futuro de crise. **Setores comprometidos e evidências de impacto:** - **Aeroportos e companhias aéreas** (Coreia do Sul, Arábia Saudita, Paquistão): acesso completo a sistemas de portões e controles de segurança. Credenciais VPN comprometidas de toda a cadeia de suprimentos - **Petróleo e gás** (Kuwait, Qatar, Arábia Saudita): 9 empresas do setor - perfil alinhado com sabotagem potencial de capacidade de produção regional - **Militares EUA**: Navy Marine Corps Intranet comprometida em 2013, confirmada como parte da Operation Cleaver - **Universidades**: estudantes, informações pessoais, passaportes, pesquisa acadêmica em EUA, India, Israel e Coreia do Sul **Vetor de acesso inicial**: combinação de SQL injection em aplicações web expostas, spear-phishing e ataques watering hole. **Ferramentas customizadas**: além de ferramentas públicas (Mimikatz, PsExec), o grupo desenvolveu ferramentas proprietárias como o TinyZBot (malware stealer de credenciais) e o Net Crawler (ferramenta de reconhecimento e movimento lateral de rede). ### Contexto Geopolítico: Resposta ao Stuxnet A Operation Cleaver é amplamente interpretada como resposta estratégica do Irã ao Stuxnet - o worm que sabotou as centrífugas de enriquecimento de urânio em Natanz em 2009-2010. A lógica é direta: o Irã, tendo sido alvo de um dos ataques cibernéticos mais sofisticados da história (provavelmente EUA/Israel), buscou desenvolver capacidades simétricas para ameaçar a infraestrutura crítica dos adversários. A escolha de alvos em aeroportos, refinarias de petróleo e redes militares reflete exatamente o tipo de pré-posicionamento estratégico que precederia operações disruptivas em cenário de conflito. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0004-tinyzbot\|TinyZBot]] | Malware customizado | Stealer de credenciais, keylogger, recon de rede | | [[s0056-net-crawler\|Net Crawler]] | Ferramenta customizada | Reconhecimento de rede, enumeração de hosts, movimento lateral | | [[mimikatz\|Mimikatz]] | Dual-use tool | Dump de credenciais LSASS, pass-the-hash | | [[psexec\|PsExec]] | Dual-use tool | Execução remota de comandos em sistemas comprometidos | ## Attack Flow - Infraestrutura Crítica ```mermaid graph TB A["Reconhecimento SQL injection / watering hole T1190 + T1595"] --> B["Acesso Inicial Spear-phishing ou exploração web T1566.001"] B --> C["Persistência TinyZBot implantado Credenciais VPN roubadas"] C --> D["Coleta de Credenciais Mimikatz - LSASS T1003.001 + T1078"] D --> E["Movimento Lateral ARP Poisoning T1557.002 + PsExec"] E --> F["Comprometimento Total Active Directory Switches Cisco + VPN"] F --> G["Pré-posicionamento Acesso a portoes aeroporto Sistemas SCADA adjacentes"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#7b241c,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Operation Cleaver - Cronologia 2010 : Stuxnet sabota centrífugas Natanz : Irã inicia desenvolvimento de capacidades ofensivas 2012 : Operation Cleaver inicia operações : Tarh Andishan estruturada como empresa fachada 2013 : Comprometimento NMCI - Navy Marine Corps : Wall Street Journal reporta capacidades iranianas 2014-Q2 : Cylance inicia investigação consolidada : Identificação de 50+ vítimas em 16 países 2014-Dez : Cylance publica relatório de 86 páginas : Irã nega envolvimento oficialmente 2015-2026 : Grupo continua operações : Evolução de capacidades sob outros nomes ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | SQL injection em aplicações web de infraestrutura | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing direcionado a funcionários de infraestrutura | | Initial Access | External Remote Services | [[t1133-external-remote-services\|T1133]] | Credenciais VPN comprometidas para acesso persistente | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz para dump de credenciais | | Lateral Movement | ARP Cache Poisoning | [[t1557-002-arp-cache-poisoning\|T1557.002]] | ARP poisoning para interceptação de tráfego interno | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas para persistência de longo prazo | | Resource Dev | Social Media Accounts | [[t1585-001-social-media-accounts\|T1585.001]] | Perfis falsos para engenharia social | | Resource Dev | Develop Malware | [[t1587-001-malware\|T1587.001]] | TinyZBot e Net Crawler customizados | ## Relevância para o Brasil e LATAM > [!medium] Risco para Infraestrutura Crítica e Petróleo e Gás > O Cleaver/Tarh Andishan demonstrou capacidade e disposição para atingir infraestrutura crítica em escala global, incluindo na América Latina (Mexico foi um dos 16 países confirmados na Operation Cleaver). O Brasil, como maior produtor de petróleo da América Latina com infraestrutura da Petrobras, aeroportos de tráfego internacional e setor energético expressivo, possui exatamente o perfil setorial de interesse histórico do grupo. **Vetores de risco diretos para o Brasil:** 1. **Petróleo e gás**: a Petrobras e operadoras de exploração offshore são o tipo exato de alvo da Operation Cleaver no Oriente Médio. O acesso a sistemas SCADA de plataformas ou refinarias representaria risco operacional e físico significativo 2. **Aeroportos internacionais**: os aeroportos de Guarulhos, Galeão e Viracopos processam tráfego internacional significativo e dependem de sistemas de controle de portões e segurança similares aos comprometidos na Operation Cleaver 3. **Defesa e governo**: o padrão de comprometimento de redes militares não classificadas (NMCI) indica interesse em inteligência militar e de defesa - áreas de potencial interesse em um Brasil com crescente projeção regional **Contexto geopolítico de 2024-2026**: o Irã continua ativo em operações cibernéticas ofensivas globais, e grupos com o perfil Cleaver/Tarh Andishan continuam operacionais sob designações atualizadas. ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Tráfego ARP anômalo em switches de rede interna | T1557.002 | Monitoramento de ARP; Dynamic ARP Inspection em switches | | Dump LSASS por processo não-sistema | T1003.001 | Credential Guard + SIEM alerta em acesso LSASS | | Login VPN de IP iraniano ou blocos suspeitos | T1133 | Geo-blocking + threat intel feed para IPs iranianos | | SQL injection em interfaces web administrativas | T1190 | WAF + patch de aplicações web expostas | | Net Crawler executando enumeração de rede | T1018 | EDR - alertar em scan interno massivo de hosts | | TinyZBot em %TEMP% ou %APPDATA% | T1587.001 | IOC feed com hashes TinyZBot + análise comportamental | ## Referências - [1](https://attack.mitre.org/groups/G0003/) MITRE ATT&CK - Cleaver (G0003) - [2](https://www.cylance.com/content/dam/cylance/pdfs/reports/Cylance_Operation_Cleaver_Report.pdf) Cylance - Operation Cleaver Report (2014) - [3](https://en.wikipedia.org/wiki/Operation_Cleaver) Wikipedia - Operation Cleaver - [4](https://www.defensenews.com/global/mideast-africa/2014/12/02/report-iran-hackers-infiltrated-airlines-energy-defense-firms/) Defense News - Iran Hackers Infiltrated Airlines, Energy, Defense Firms (2014) - [5](https://www.theregister.com/2014/12/03/operation_cleaver/) The Register - Iranian CLEAVER hacks through airport security (2014) **Malware:** [[s0004-tinyzbot|TinyZBot]] · [[s0056-net-crawler|Net Crawler]] · [[mimikatz|Mimikatz]] · [[psexec|PsExec]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1557-002-arp-cache-poisoning|T1557.002]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1133-external-remote-services|T1133]] **Setores:** [[energy|Energia]] · [[oil-gas|Petróleo e Gás]] · [[transportation|Transporte]] · [[defense|Defesa]] · [[government|Governo]] **Relacionados:** [[g0064-apt33|APT33]] · [[g0049-oilrig|APT34/OilRig]] · [[charming-kitten|Charming Kitten]]