Parece que la tensión política entre Israel e Irán tiene cada vez más su reflejo en el ciberespacio, con un aumento de los ciberataques entre ambas potencias en los últimos dos años.
Ahora Israel sospecha que actores de amenazas de estado nación vinculados a Irán están detrás de ataques contra sitios web de envíos y logística. Así lo señala un informe de la empresa de ciberseguridad radicada en Tel Aviv ClearSky.
La compañía atribuye la autoría al grupo Tortoiseshell, también conocido como TA456 o Imperial Kitten. Se cree que estos piratas informáticos llevan en activo desde al menos julio de 2018.
La campaña de piratería se centró en al menos ocho webs israelíes, incluyendo la de la empresa naviera SNY Cargo, la compañía de logística Depolog y el proveedor de equipos para restaurantes SZM.
Tortoiseshell habría usado ataques 'de abrevadero' o 'Watering hole'. INCIBE aclara que "están enfocados a compañías, con altos niveles de seguridad, en las que los usuarios visitan asiduamente sitios web de confianza relacionados con el contenido de la organización. Estos sitios web, han sido previamente estudiados e infectados por los atacantes, quienes suelen realizar primero un perfil de las potenciales víctimas llevando a cabo un estudio de sus costumbres".
"Una vez el empleado de la compañía objetivo visite el sitio web infectado, como suele hacer a menudo, infectará su equipo con malware que permitirá a los atacantes tomar el control del equipo del empleado y poder así espiar y robar información de la compañía".
Los hackers iraníes llevan más de un lustro 'haciendo aguas'
En el reciente ataque los cibermalos usaron JavaScript malicioso. Los datos recopilados incluyeron la dirección IP del usuario, la resolución de la pantalla y la URL de la página web visitada anteriormente. Los piratas informáticos también intentaron determinar la preferencia de idioma del equipo del usuario para personalizar sus ataques en el futuro.
Los investigadores de ClearSky aseguran que los ciberdelincuentes iraníes llevan usando ataques de abrevadero desde 2017. El año pasado Mandiant encontró que un presunto actor de amenazas vinculado a Irán se sirvió de este método para apuntar a empresas de transporte, atención médica, gobierno y energía de Israel.