Como ya informó Escudo Digital, cada día se producen 500 millones de intentos de ciberataque por parte de hackers iraníes contra Occidente. Tras el asesinato por parte del General Soleimani por parte de Estados Unidos, hackers del país islámico están intentando demostrar su capacidad no solo contra Estados Unidos, sino también contra sus aliados. Y estamos en un mal momento. Windows ya ha advertido que desde el día 14 va a dejar morir Windows 7, que, sin actualizaciones se convertirá a partir de ahora en un flanco muy peligroso para todos los que no cambien a Windows 10. A nuestra redacción ha llegado un informe de Proofpoint sobre ataques patrocinados y alineados por el estado iraní, algunos detalles sobre 11 grupos de ataque y sus tácticas preferidas. Pero lo más importante son las recomendaciones de seguridad.
Las sofisticadas amenazas patrocinadas y afiliadas al estado iraní requieren un cuidadoso enfoque de seguridad interno y externo (en asociación con fabricantes, proveedores y otros) para mejorar la posición general de seguridad de una organización; un enfoque básico no será suficiente. Una acción inmediata y efectiva para ayudar a proteger a la organización es mitigar los efectos de las credenciales robadas, particularmente aquellas con privilegios administrativos. Algunas organizaciones deberían considerar forzar el restablecimiento de contraseñas, incluidas las cuentas de servicio.
Asegúrese de reducir la superficie de ataque, llevar a cabo las actualizaciones de seguridad y asegurarse de que los empleados estén capacitados para identificar posibles amenazas. Monitorice lo que entra y sale de la red y dónde hacen clic los empleados, qué abren y qué distribuyen con sus cuentas de empresa. Cuanto más pequeña sea la superficie de ataque, más difícil es que los atacantes puedan hacer algo. Asegúrese de que los sistemas estén parcheados, porque cualquiera puede tener acceso a herramientas de código abierto. Hemos visto que los grupos APT usan vulnerabilidades públicas porque es rentable, ya que es fácil conseguir objetivos.
Y, finalmente, trabaje activamente para implementar un plan de respuesta que involucre no solo a su organización, sino también a sus empleados, proveedores y partners.
La naturaleza de los hackers iraníes es metódica y silenciosa
La capacidad de ataque cibernético iraní despuntó por primera vez a nivel mundial alrededor de 2013, tres años después del ataque de Stuxnet. Los atacantes patrocinados y alineados por el Estado han sido una amenaza continua y se han dirigido a gobiernos, organizaciones y ciudadanos de todo el mundo, con impactos significativos.
El equipo de investigación de amenazas de Proofpoint continúa viendo actividades que siguen la misma lógica que las campañas iniciadas a principios de diciembre de 2019. Según las anteriores acciones de los actores de amenazas iraníes, es poco probable que se produzca nueva actividad de inmediato, ya que habitualmente son grupos muy metódicos y prudentes con los tiempos.
Eligen sus objetivos con cuidado y se infiltran frecuentemente de forma lenta y sigilosa, para llevar a cabo acciones de reconocimiento, espionaje o ataques posteriores.
Si bien no podemos predecir que vayan a aumentar los ataques ni de qué tipo serán, es importante examinar los ataques anteriores para comprender mejor a estos actores de amenazas. Los datos históricos muestran que no podemos tomarnos esta amenaza a la ligera. Los atacantes iraníes pueden no ser tan conocidos como los de otros países, pero han llevado a cabo con éxito muchas operaciones a lo largo de los años, a veces con efectos significativos e incluso devastadores.
Los grupos de ataque iraníes operan principalmente por debajo del radar informativo (con la excepción de los ataques Shamoon). Esto se debe a la naturaleza metódica de su trabajo y su capacidad para evitar causar incidentes que generen grandes titulares. Eligen sus objetivos con cuidado y se infiltran frecuentemente de forma lenta y sigilosa, para llevar a cabo acciones de reconocimiento, espionaje o ataques posteriores. A menudo, estos grupos recogen credenciales y las mantienen a lo largo del tiempo para conseguir hacer el mayor daño posible. Esto significa que los ataques iraníes podrían tener ya información y presencia en determinados objetivos, que podrían movilizar en nuevos ataques.
Estos grupos iraníes no solo atacan a los Estados Unidos, Israel y Arabia Saudita: operan a una escala verdaderamente global. Y aunque los objetivos gubernamentales y militares son obvios, también persiguen a compañías de telecomunicaciones, organizaciones financieras y grupos de derechos humanos o incluso educativos. Organizaciones mundiales, de diversos sectores, deberían tomarse en serio esta amenaza potencial.
Así son losgrupos de autores iraníes de amenazas y sus tácticas
A continuación se describen los principales grupos de actores de amenazas iraníes, las industrias y los países y regiones a los que se sabe que se dirigen, así como sus principales tácticas. Esta lista incluye información del marco de trabajo ATT&CK de MITRE sobre grupos de autores de amenazas, información disponible públicamente y la investigación de amenazas de Proofpoint.
Grupos de ataque iraníes
1. APT 33/Elfin: Un grupo que desde 2013 se ha dirigido a los sectores de aviación, energía, gobierno, salud y transporte en Arabia Saudita, Corea del Sur y los Estados Unidos. Algunos creen que este grupo es responsable de los ataques de Shamoon. Proofpoint rastrea a este grupo como TA451 y ha estado activo recientemente, en diciembre de 2019.
2. APT 39/Chafer: Un grupo que desde 2014 se ha dirigido a los sectores de gobierno, telecomunicaciones y viajes para recopilar información personal. Proofpoint rastrea a este grupo como TA454 y ha estado active en junio de 2019.
3. Charming Kitten: Un grupo que desde 2014 se ha dirigido a personas en los sectores de investigación académica, gobierno, grupos de derechos humanos, medios de comunicación, ejército y tecnología en Irán, Estados Unidos, Israel y el Reino Unido al obtener acceso a cuentas personales de correo electrónico y Facebook. Proofpoint rastrea a este grupo como TA453 y ha estado active en septiembre de 2019.
4. Cleaver: Un grupo u organización rastreada por primera vez en 2014, centrada en los sectores de aviación, energía, militar, transporte, salud y servicios públicos en China, Francia, Alemania, India, Israel, Arabia Saudita y los Estados Unidos. Se cree que han utilizado cuentas falsas de LinkedIn como parte de sus ataques.
5. CopyKittens: Un grupo que desde 2013 se ha dirigido a usuarios en Alemania, Jordania, Turquía, Arabia Saudita y Estados Unidos.
6. Group5 (dudoso): La atribución a Irán no es definitiva, pero este grupo se ha dirigido a individuos conectados a la oposición siria con malware a través de ataques de spearphishing y watering hole.
7. LeafMiner: Un grupo que desde 2017 se ha dirigido al correo electrónico de personas en el gobierno y empresas en el Oriente Medio.
8. Magic Hound: Un grupo que desde 2014 se ha enfocado en los sectores de energía, gobierno y tecnología en Arabia Saudita.
9. MuddyWater: Un grupo que desde 2017 se ha centrado en los sectores de energía, gobierno, medios y telecomunicaciones en Europa, Oriente Medio y América del Norte. Proofpoint rastrea a este grupo como TA450 y ha estado activo en enero de 2020.
10. OilRig: Un grupo que desde 2014 se ha enfocado en los sectores de aviación, energía, finanzas, gobierno, medios, tecnología, telecomunicaciones y transporte en Oriente Medio. Proofpoint rastrea a este grupo como TA452 y ha estado activo en diciembre de 2019.
11. Silent Librarian/Cobalt Dickens: Silent Librarian es un grupo que desde 2013 se ha dirigido a universidades de todo el mundo. Proofpoint rastrea a este grupo como TA407. Un grupo relacionado, conocido como Cobalt Dickens, se ha centrado en los sectores de construcción, medios de comunicación, educación superior / investigación, salud y transporte. Proofpoint rastrea este grupo como TA4900. Estos grupos estuvieron activos en diciembre y septiembre de 2019, respectivamente.
Industrias amenazadas por los grupos de ataque iraníes
- Gobierno: APT 33/Elfin, APT 39/Chafer, Charming Kitten, LeafMiner, Magic Hound, MuddyWater, OilRig
- Energía: APT 33/Elfin, Cleaver, Magic Hound, MuddyWater, OilRig
- Medios de comunicación: Charming Kitten, MuddyWater, OilRig, Silent Librarian/Cobalt Dickens
- Telecomunicaciones: APT 39/Chafer, MuddyWater, OilRig
- Aviación: APT 33/Elfin, Cleaver, OilRig
- Salud: APT 33/Elfin, Cleaver, Silent Librarian/Cobalt Dickens
- Tecnología: Charming Kitten, Magic Hound, OilRig
- Transporte: APT 33/Elfin, Cleaver, OilRig, Silent Librarian/Cobalt Dickens
- Construcción: Silent Librarian/Cobalt Dicken
- Educación Superior / Investigación: Charming Kitten, Silent Librarian/Cobalt Dickens
- Ejército: Charming Kitten, Cleaver
- Finanzas: OilRig
- Grupos de Derechos Humanos: Charming Kitten
- Viajes: APT 39/Chafer
- Servicios Públicos: Cleaver
Países y regiones amenazadas por atacantes iraníes
- Arabia Saudí: APT 33/Elfin, Cleaver, CopyKittens, Magic Hound, Oil
- Estados Unidos: APT 33/Elfin, Charming Kitten, Cleaver, CopyKitten
- Israel: Charming Kitten, Cleaver, CopyKittens
- China: Cleaver
- Francia: Cleaver
- Alemania: Cleaver, CopyKittens
- India: Cleaver
- Irán: Charming Kitte
- Jordania: CopyKittens:
- Corea del Sur: APT 33/Elfin
- Turquía: CopyKittens
- Reino Unido: Charming Kitten
- Unión Europea: MuddyWater
- Oriente Medio: LeafMiner, MuddyWater, OilRig
- Norteamérica: LeafMiner, MuddyWater
Tácticas favoritas de los atacantes iraníes
- Robo de credenciales: APT 33/Elfin, APT 39/Chafer, Magic Hound, MuddyWater, OilRig, Silent Librar
- Infiltración en correo electrónico: Charming Kitten, LeafMiner, Magic Hound, Silent Librarian
- Malware: CopyKittens, Group5, Magic Houn
- Recopilación de información personal: Charming Kitten
- Social Media: Charming Kitten, Cleave
- Phishing: Group5, Magic Hound, Silent Librarian
- Ataques watering hole: Group5