En su último ciberataque a una nación del Medio Oriente utilizando sus representantes en el ciberespacio, Irán continúa intensificando sus operaciones cibernéticas contra sus rivales y aliados.
El ataque fue llevado a cabo por un grupo de ciberespionaje vinculado al Ministerio de Inteligencia y Seguridad iraní (MOIS) y conocido como APT34, que tenía como objetivo ministerios en Irak, un país que alguna vez fue enemigo y hoy es a veces rival, a veces aliado de Irán. El ataque tenía todas las características del grupo, también conocido como Hazel Sandstorm: una infraestructura personalizada que utiliza túneles de correo electrónico para las comunicaciones, el uso de dos programas de malware similares al código anterior de APT34 y nombres de dominio esquemáticos similares a operaciones anteriores.
Ataques anteriores de APT34 (también conocido como OilRig, Helix Kitten y Hazel Sandstorm) que utilizaron herramientas y métodos similares se han dirigido a otros países de la región, incluidos Jordania, Líbano y Pakistán, según un análisis realizado por el grupo de investigación de la empresa de ciberseguridad Check Point.
«El objetivo probablemente sea el espionaje, porque estos países son al menos, hasta cierto punto, aliados de Irán, por lo que no creo que, en este caso, el objetivo principal sea la destrucción», dice Sergey Shykevich, jefe de inteligencia de amenazas. grupo en Check Point Research. “Tampoco tenemos pistas tecnológicas sobre si podrían producirse ataques contra terceros países. cualquier objetivo destructivoy por lo que vemos –particularmente en Irak– vemos claramente que el objetivo es la exfiltración de datos y [the like]».»
Desde que comenzó el conflicto entre Israel y Hamás hace casi un año, las rivalidades y relaciones en toda la región han cambiado. A finales de la primavera, Irán criticó a Jordania – y en menor medida a otros países árabes – por ayudar a Israel a rastrear e interceptar misiles durante el ataque iraní del 13 de abril contra la nación judía. Mientras tanto, Irak sigue teniendo fuertes lazos con Irán a través de redes de proxy y partidos políticos alineados con Irán.
Las operaciones cibernéticas iraníes están aumentando
Al mismo tiempo, Irán ha ampliado su estrategia de operaciones cibernéticas en la región. Un grupo vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), conocido como APT33 (Mandiant) y Tormenta de arena de pesca (Microsoft) — ha atacado equipos de comunicaciones, agencias gubernamentales y la industria del petróleo y el gas en los Emiratos Árabes Unidos y los Estados Unidos, generalmente para recopilar inteligencia. Microsoft dijo en agosto.
A finales del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió que el grupo iraní Lemon Sandstorm, también conocido como Fox Kitten, había lanzado ataques de ransomware contra varios paísesy otro grupo, Charming Kitten, o APT42, personas objetivo asociadas con las campañas presidenciales demócratas y republicanas.
Irán está ejerciendo cada vez más sus armas en el ciberespacio, particularmente contra rivales en toda la región de Medio Oriente, dice Mohamed Fahmy, investigador de ciberamenazas de Trend Micro, una empresa de ciberseguridad.
«Los grupos iraníes de la APT, incluida la APT34, se han vuelto muy activos últimamente en sus ataques contra Oriente Medio, en particular el sector gubernamental de la región del Golfo», explica. “Por lo que hemos visto de las herramientas y actividades de APT34, buscan infiltrarse en las entidades tanto como sea posible, explotando la infraestructura comprometida para lanzar nuevos ataques. (…) Los objetivos principales de APT34 parecen ser el espionaje y el robo de información gubernamental sensible. »
Nuevo malware evasivo: Veaty y Spearal
En su última campaña, APT34 utilizó documentos adjuntos falsos dirigidos a Irak entre marzo y mayo de este año, y probablemente utilizó ingeniería social para convencer a los usuarios de que abrieran los enlaces y ejecutaran un instalador. El ataque resultó en la instalación de una puerta trasera .NET. Actualmente, una de las puertas traseras se llama Veaty y la otra Spearal, y ambos binarios de malware permiten el comando y control (C2) de los sistemas comprometidos.
Las técnicas utilizadas por Veaty y Spearal tienen similitudes con otras dos familias de malware, conocidas como Karkoff y Saitama, ambas atribuidas a APT34, afirmó Check Point en su análisis.
Los grupos de operaciones cibernéticas iraníes tienden a utilizar protocolos de túnel DNS personalizados y un canal C2 basado en líneas de asunto de correo electrónico, según el estudio: “Esta combinación distintiva de herramientas simples, escritas en .NET, combinadas con una sofisticada infraestructura C2, es común entre grupos iraníes similares. actores de amenaza. »
Las capacidades de APT34 y otros grupos iraníes no harán más que aumentar, afirma Shykevich de Check Point.
«Simplemente lo mejoran», dijo. “Simplemente usan el mismo contenido, pero para cada objetivo, o cada país que atacan, implementan una nueva generación del mismo concepto…, donde lo mejoran y lo hacen más sigiloso. [or add other features]».»
Las empresas en Medio Oriente deberían centrarse en implementar un arquitectura de confianza cero para fortalecer las defensas, incluido el establecimiento de un centro de operaciones de seguridad (SOC) maduro con capacidades administradas de detección y respuesta de endpoints (MDR), afirma Fahmy de Trend Micro.
Las crecientes tensiones geopolíticas en la región sólo aumentarán los esfuerzos para obtener inteligencia a través de ciberataques, afirma.
«Los sectores gubernamentales de Oriente Medio y la región del Golfo deberían tomar en serio esta amenaza», afirma. “Estos grupos buscan integrarse en el entorno de la red personalizando su malware para evitar ser detectados. [so] “Es crucial entender sus técnicas, que no han cambiado mucho. »
No te pierdas las últimas noticias Podcast confidencial de lectura oscuradonde hablamos con dos profesionales de la ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y obligados a pasar la noche en la cárcel, simplemente por realizar su trabajo de pruebas de penetración. ¡Escuche ahora!