A operação de um grupo de hackers supostamente iranianos que tinha como alvo altos membros da Marinha norte-americana, parlamentares, embaixadores, membros do lobby israelense nos EUA, além de cidadãos da Grã-Bretanha, Arábia Saudita, Síria, Iraque e Afeganistão foi revelada na semana passada por uma empresa americana de segurança digital. A iSight Partners, com sede no Texas, divulgou um relatório sobre a operação hacker batizada de “Newscaster”, que teria começado em 2011.
Todo o trabalho dos hackers era feito a partir de contas falsas em redes sociais e de uma página de notícias forjada, batizada de NewsOnAir.org. Eles chegaram a criar perfis de “jornalistas” que trabalhavam neste site. A página publicava conteúdo plagiado de veículos como Associated Press, BBC e Reuters. Já em redes socias, como Facebook, Twitter e LinkedIn, eles criavam perfis falsos repletos de conteúdo pessoal fictício e tentavam estabelecer amizades com seus alvos. Quando o objetivo era alcançado, eles enviavam às vítimas links de conteúdo na web que as levavam para páginas falsas onde elas tinham que preencher informações como login e senha de acesso a sua conta de email. A partir daí, estas informações eram roubadas pelos hackers. Através de apenas 14 perfis (seis na página jornalística forjada e oito em redes sociais), o grupo conseguiu estabelecer contato com mais de duas mil pessoas.
Devido a alguns aspectos da operação, como as técnicas usadas, os alvos e os horários de atividade, a iSight chegou à conclusão de que os ataques vinham do Irã. Os hackers paravam de agir justamente no horário de almoço do país, encerravam suas atividades cedo na quinta-feira e não trabalhavam às sextas-feiras, em um ritmo compatível com os fins de semana iranianos. Além disso, o endereço de IP do site de notícias falso estava registrado em Teerã.
Perfis fora do ar
Algumas empresas usadas para intermediar a ação dos hackers se manifestaram a respeito do ataque. O Facebook disse que o grupo foi identificado devido a investigações sobre solicitações de amizade e outras atividades suspeitas em seu website. Todos os links relacionados à página NewsOnAir foram removidos. O LinkedIn afirmou que estava investigando a denúncia, mas que nenhum dos perfis falsos ligados ao grupo continuava ativo. Nem o Twitter nem a Thomson Reuters, que detém a agência de notícias Reuters, comentaram o assunto.
A iSight se recusou a revelar a identidade das vítimas afetadas e alegou não poder especificar quais foram os dados roubados pelos hackers, que aparentemente buscavam credenciais para acessar redes corporativas e governamentais.