Irán continúa intensificando sus operaciones cibernéticas contra rivales y aliados, y los últimos ataques cibernéticos contra países de Medio Oriente utilizan sus representantes en el ciberespacio.
En este ataque, un grupo de ciberespionaje conocido como APT34, vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán, apuntó a ministerios gubernamentales en Irak, un antiguo enemigo de Irán que ahora es su rival y aliado. Este ataque tenía todas las características del grupo, también conocido como Hazel Sandstorm. Estos incluyen una infraestructura personalizada que utiliza túneles de correo electrónico para la comunicación, el uso de dos programas de malware similares al código APT34 anterior y un esquema de nombres de nombres de dominio similar a operaciones anteriores.
Los ataques anteriores de APT34 (también conocidos como OilRig, Helix Kitten y Hazel Sandstorm) han utilizado herramientas y técnicas similares y se han utilizado en otros ataques en la región, incluidos Jordania, Líbano y Pakistán, según un análisis de una investigación. El grupo de la empresa de ciberseguridad Check Point Nations también fue atacado.
“Estos países son aliados de Irán, al menos hasta cierto punto, por lo que el objetivo probablemente sea el espionaje. Así que no creo que la destrucción sea el objetivo principal en este caso”, dijo Sergei Shkevich, director del grupo de investigación de amenazas de Check Point: “Además, técnicamente no hay indicios de que exista un propósito subversivo. Y por lo que hemos visto en Irak, está claro que el propósito es exfiltrar datos o algo así”.
Casi un año desde que comenzó el conflicto entre Israel y Hamás, los conflictos y las relaciones en toda la región han cambiado. A finales de la primavera, Irán criticó a Jordania, y en menor medida a otros países árabes, por supuestamente ayudar a Israel a rastrear e interceptar misiles durante el ataque del 13 de abril contra Israel. Mientras tanto, Irak mantiene fuertes vínculos con Irán a través de redes de poder y partidos políticos alineados con Irán.
Se expanden las operaciones cibernéticas iraníes
Al mismo tiempo, Irán está ampliando su estrategia de operaciones cibernéticas en la región. Grupos vinculados al Cuerpo de la Guardia Revolucionaria Iraní (IRGC), también conocido como APT33 (Mandiant) y Peach Sandstorm (Microsoft), tienen como objetivo equipos de telecomunicaciones, agencias gubernamentales y la industria del petróleo y el gas en los Emiratos Árabes Unidos y Estados Unidos. , Microsoft anunció en agosto que su objetivo principal es la recopilación de información.
A finales del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) informó que el grupo iraní Lemon Sandstorm (también conocido como Fox Kitten) lanzó ataques de ransomware contra varios países, y que otro grupo, Charming Kitten, lanzó ataques de ransomware contra varios países. ”(también conocido como APT42) está dirigido a personas asociadas con las campañas presidenciales tanto demócratas como republicanas.
Mohamed Fahmy, investigador de inteligencia sobre amenazas cibernéticas de la firma de ciberseguridad Trend Micro, dijo que Irán está afirmando cada vez más su poder en el ciberespacio, especialmente contra sus rivales en Medio Oriente.
“Los grupos iraníes de la APT, incluida la APT34, han estado recientemente muy activos atacando sectores gubernamentales en el Medio Oriente, particularmente en la región del Golfo”, dijo. “A juzgar por el conjunto de herramientas y las actividades de APT34, buscan infiltrarse en tantas organizaciones como sea posible y utilizar la infraestructura comprometida para lanzar más ataques… Los objetivos principales de APT34 son el espionaje y parece ser el robo de información gubernamental confidencial”.
Nuevo malware evasivo: Veaty y Spearal
En sus últimos ataques, APT34 parece haber tenido como objetivo Irak entre marzo y mayo de este año, utilizando documentos adjuntos falsos y utilizando ingeniería social para engañar a los usuarios para que abran enlaces y ejecuten instaladores. Este ataque instala una puerta trasera .NET. Actualmente, una de las puertas traseras se llama Veaty y la otra se llama Spearal, y ambos binarios de malware permiten el comando y control (C2) de los sistemas comprometidos.
Según el análisis de Check Point, las técnicas utilizadas por Veaty y Spearal muestran similitudes con otras dos familias de malware conocidas como Karkoff y saitama, ambas atribuidas a APT34.
Las investigaciones muestran que los grupos de operaciones cibernéticas iraníes tienden a utilizar protocolos de túnel DNS personalizados y canales C2 basados en los asuntos de los correos electrónicos. “Esta combinación única de herramientas simples escritas en .NET y una sofisticada infraestructura C2 es común entre actores de amenazas iraníes similares”.
Shaikevich de Check Point dice que las capacidades de APT34 y otros grupos iraníes sólo están mejorando.
“Simplemente lo están mejorando”, dice. “Simplemente usan el mismo contenido, pero para cada objetivo o país que atacan, implementan una nueva generación del mismo concepto, donde lo perfeccionan y lo hacen más sigiloso (o con otras características (Agregado)).
Fahmy de Trend Micro dijo que las empresas en Medio Oriente están implementando arquitecturas de confianza cero para fortalecer sus defensas, incluido el establecimiento de un centro de operaciones de seguridad (SOC) maduro con capacidades administradas de detección y respuesta de puntos finales (MDR), estados en los que se debe poner énfasis.
Dice que las crecientes tensiones geopolíticas en la región sólo conducirán a mayores esfuerzos para obtener información a través de ataques cibernéticos.
“Los departamentos gubernamentales de Oriente Medio y la región del Golfo deberían tomar en serio esta amenaza”, afirmó. “Estos grupos pretenden personalizar su malware para integrarse en el entorno de red con el fin de evadir la detección, y es fundamental comprender sus métodos, que no han cambiado significativamente”.
No te pierdas el último podcast de Dark Reading Confidential. Hablamos con dos expertos en ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y tuvieron que pasar una noche en la cárcel sólo por realizar trabajos de prueba de penetración. Escuche ahora.
https://www.darkreading.com/cyberattacks-data-breaches/geopolitical-tensions-mount-iran-cyber-operations-grow
