En un acontecimiento preocupante en la ciberseguridad de Oriente Medio, las redes del gobierno iraquí han sido víctimas de una elaborada campaña de ciberataques orquestada por OilRig, un actor de amenazas patrocinado por el Estado y con vínculos con el régimen iraní. La sofisticada operación, descubierta por la firma de ciberseguridad Check Point, tenía como objetivo organizaciones prominentes en Irak, incluida la oficina del primer ministro y el Ministerio de Relaciones Exteriores.
OilRig, también conocido por varios alias, incluidos APT34, Crambus, Cobalt Gypsy y Helix Kitten, es un notorio grupo cibernético con vínculos con el Ministerio de Inteligencia y Seguridad de Irán (MOIS). Las actividades del grupo se remontan al menos a 2014 y se centran principalmente en llevar a cabo ataques de phishing en todo Oriente Medio y desplegar una variedad de puertas traseras personalizadas para el robo de información.
En este último ataque, los ciberoperadores del régimen iraní introdujeron dos nuevas familias de malware llamadas Veaty y Spearal. Estas herramientas avanzadas están diseñadas para ejecutar comandos PowerShell y recopilar archivos de interés, lo que demuestra las capacidades en evolución de las armas cibernéticas de Irán.
Este ataque presenta mecanismos de comando y control (C2) únicos, incluidos protocolos de túnel DNS personalizados y canales C2 personalizados basados en correo electrónico. Este último aprovechó una cuenta de correo electrónico comprometida dentro de la organización objetivo, lo que indica que los piratas informáticos del régimen iraní ya habían penetrado la red de la víctima antes de lanzar el ataque principal.
La cadena de ataque comienza con un archivo falso disfrazado de documento benigno, como 'Avamer.pdf.exe' o 'IraqiDoc.docx.rar'. Cuando un usuario desprevenido inicia estos archivos, se activa la implementación de Veaty y Spearal. Este vector de infección probablemente involucra tácticas de ingeniería social comúnmente utilizadas por el régimen iraní en sus operaciones cibernéticas.
Spearal, una puerta trasera .NET, utiliza túneles DNS para la comunicación C2 y utiliza un esquema Base32 personalizado para codificar datos de subdominio en consultas DNS. Sus capacidades incluyen ejecutar comandos de PowerShell, leer y transferir contenido de archivos y recuperar datos de servidores C2.
Escrito en .NET, Veaty aprovecha cuentas de correo electrónico comprometidas para comunicaciones C2, específicamente dirigidas a buzones de correo dentro del dominio gov-iq.net. El malware es capaz de cargar y descargar archivos y ejecutar scripts de PowerShell, lo que otorga a los piratas informáticos del régimen iraní un amplio control sobre los sistemas infectados.
Una investigación más exhaustiva realizada por Check Point reveló componentes adicionales del conjunto de herramientas cibernéticas del régimen iraní, incluida una puerta trasera de túnel SSH y una puerta trasera basada en HTTP llamada CacheHttp.dll. Este último apunta a los servidores de Internet Information Services (IIS) de Microsoft y es una evolución del malware APT34 previamente identificado.
Este ataque a la infraestructura del gobierno iraquí pone de relieve los esfuerzos persistentes y concentrados de los actores de amenazas respaldados por el régimen iraní que operan en la región. El despliegue de protocolos personalizados y mecanismos C2 especializados pone de relieve los esfuerzos deliberados de los ciberoperadores iraníes para desarrollar y mantener capacidades de ataque avanzadas.
La sofisticación de este ataque es un claro recordatorio de la evolución de las amenazas cibernéticas que enfrentan los gobiernos y organizaciones en Medio Oriente. Esto pone de relieve la necesidad de medidas sólidas de ciberseguridad y una vigilancia continua, especialmente contra las actividades cibernéticas patrocinadas por el Estado por parte del régimen iraní.
A medida que las tensiones regionales sigan aumentando, es probable que estos ciberataques continúen e incluso se intensifiquen. La comunidad internacional debe permanecer alerta contra estas amenazas digitales y trabajar en conjunto para fortalecer las defensas cibernéticas, particularmente contra ataques patrocinados por el régimen iraní y otros adversarios regionales.
Iranian Cyber Group OilRig Launches Sophisticated Malware Attack on Iraqi Government Networks
