Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd., han revelado que el gobierno iraní sigue vigilando y lanzando ciberataques contra los disidentes del régimen, tanto dentro de sus fronteras como en otros países del mundo.
Junto con la colaboración de SafeBreach, los investigadores de la compañía han podido descubrir cómo se producían esta serie de ataques cibernéticos contra más de 1.200 víctimas, en su mayoría disidentes, fuerzas opositoras al régimen, seguidores del ISIS y minorías kurdas-en Irán, Estados Unidos, Gran Bretaña, Pakistán, Afganistán, Turquía y Uzbekistán.
La nueva investigación ha identificado un nuevo grupo de ciberdelincuentes, conocido como Infy, que espía a sus víctimas extrayendo información sensible de ordenadores personales y equipos corporativos. Entre los archivos que utilizaban como gancho, se encontraba una foto de Mojtaba Biranvand, el gobernador de la ciudad de Dorud (Lorestan, Irán) que incluye información sobre su oficina y su supuesto número de teléfono. Asimismo, otro de los ganchos utilizados era una imagen del logotipo de ISAAR, la Fundación de Asuntos de Mártires y Veteranos patrocinada por el gobierno iraní, que concede préstamos a veteranos discapacitados. El texto de ambos documentos estaba escrito en persa.
Los investigadores destacan que Infy se encuentra en activo en la actualidad, aunque señalan que su funcionamiento ha sido intermitente desde 2007. Asimismo, revelan que su potencial tecnológico es muy superior al del resto de las campañas iraníes conocidas hasta el momento, ya que sólo ataca a un grupo reducido de objetivos y cuenta con funcionalidades especiales para no ser detectado ni interrumpido.
"Los indicios obtenidos tras esta investigación demuestran que el gobierno iraní está llevando a cabo operaciones cibernéticas. Aunque las dos campañas destacadas ya eran conocidas, hemos conseguido encontrar nuevas pruebas de su actividad reciente. Los atacantes que están detrás de estas campañas burlan todos los procesos de control para detectar y detener sus ataques: aprenden del histórico, modifican sus tácticas y dejan pasar un tiempo antes de volver a las andadas”, señala Yaniv Balmas, Jefe de Investigación de Check Point.
“El gobierno iraní está destinando una gran cantidad de recursos para fortalecer su control, algo que queda reflejado en nuestra investigación, que muestra por primera vez varias de las técnicas empleadas en estas campañas. Todo esto pone de manifiesto lo peligroso que puede llegar a ser un ciberataque dirigido por un país, así como la importancia de extremar las precauciones y contar con medidas de seguridad en cualquier dispositivo conectado a internet”, concluye Balmas.
2018, año de la campaña Domestic Kitten
Ya en 2018, la compañía desveló la campaña Domestic Kitten en la que se descubrió que el gobierno iraní se encontraba detrás de una decena de ciberataques (cuatro de los cuáles todavía se encuentran en activo) que tenía como objetivo espiar y vigilar objetivos específicos. Tras estos ataques se encontraba el grupo de ciberdelincuentes conocido como APT-C-50, capaz de infectar más de 600 dispositivos, que espiaba los teléfonos móviles de los disidentes, recopilando registros y grabaciones de llamadas telefónicas, mensajes, fotografías, vídeos, datos del GPS y un listado de aplicaciones descargadas.
Los investigadores de Check Point señalan que los atacantes engañaban a las víctimas para que se descargasen una aplicación aparentemente inofensiva, pero que en realidad estaba infectada con el malware Domestic Kitten. Para ello, utilizaban múltiples vectores de ataque como blogs, canales de Telegram y mensajes de texto (SMS) con un enlace de descarga. Asimismo, para ganarse la confianza de la víctima, los ciberdelincuentes ocultaban el software malicioso en distintos servicios y aplicaciones aparentemente inofensivas.