Los actores de amenazas iraníes han estado en el radar y en la mira del gobierno estadounidense y de los investigadores de seguridad este mes con lo que parece ser un aumento y posterior represión contra actividad de amenaza de grupos de amenaza persistente avanzada (APT) asociados con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI).
El gobierno de Estados Unidos reveló el miércoles simultáneamente un elaborado plan de piratería y acusaciones contra varios ciudadanos iraníes gracias a documentos judiciales recientemente revelados, y advirtió a las organizaciones estadounidenses sobre la actividad iraní de la APT que explotar vulnerabilidades conocidas - incluyendo el ampliamente atacado ProxyShell y Log4Shell fallas, con el propósito de ataques de ransomware.
Mientras tanto, una investigación separada reveló recientemente que un actor de amenazas patrocinado por el estado iraní rastreado como APT42 ha sido vinculado a más de 30 ataques de ciberespionaje confirmados desde 2015, dirigidos a personas y organizaciones de importancia estratégica para Irán, con objetivos en Australia, Europa, Oriente Medio y Estados Unidos.
La noticia llega en medio de crecientes tensiones entre Estados Unidos e Irán tras el sanciones impuestas contra la nación islámica por su reciente actividad APT, incluido un ciberataque contra el gobierno albanés En julio, eso provocó el cierre de sitios web gubernamentales y servicios públicos en línea, y fue ampliamente criticado.
Además, con el aumento de las tensiones políticas entre Irán y Occidente a medida que la nación se alinea más estrechamente con China y Rusia, la motivación política de Irán para su actividad de amenazas cibernéticas está creciendo, dijeron los investigadores. Es más probable que los ataques tengan un origen financiero cuando se enfrentan a sanciones de enemigos políticos, señala Nicole Hoffman, analista senior de inteligencia sobre amenazas cibernéticas del proveedor de soluciones de protección contra riesgos Digital Shadows.
Persistente y ventajoso
Aún así, si bien los titulares parecen reflejar un aumento en la actividad reciente de amenazas cibernéticas por parte de las APT iraníes, los investigadores dijeron que las noticias recientes sobre ataques y acusaciones son más un reflejo de la actividad persistente y continua de Irán para promover sus intereses cibercriminales y su agenda política en todo el mundo. .
"El aumento de los informes de los medios sobre la actividad de amenazas cibernéticas de Irán no necesariamente se correlaciona con un aumento en dicha actividad", señaló el analista de Mandiant, Emiel Haeghebaert, en un correo electrónico a Dark Reading.
"Si nos alejamos y observamos el alcance total de la actividad de los Estados-nación, Irán no ha frenado sus esfuerzos", coincide Aubrey Perin, analista principal de inteligencia de amenazas en Qualys. "Al igual que cualquier grupo organizado, su persistencia es clave para su éxito, tanto a largo como a corto plazo".
Aún así, Irán, como cualquier actor de amenaza, es oportunista, y el miedo y la incertidumbre generalizados que existen actualmente debido a los desafíos geopolíticos y económicos (como la guerra en curso en Ucrania, la inflación y otras tensiones globales) ciertamente impulsan sus esfuerzos de APT, afirmó. dice.
Las autoridades toman nota
La creciente confianza y audacia de las APT iraníes no han pasado desapercibidas para las autoridades globales, incluidas las de Estados Unidos, que parecen estar hartas de los persistentes compromisos hostiles cibernéticos de la nación, después de haberlos soportado durante al menos la última década.
Una acusación formal revelada el miércoles por el Departamento de Justicia (DoJ), Oficina del Fiscal de los Estados Unidos, Distrito de Nueva Jersey, arrojó luz específica sobre la actividad de ransomware que ocurrió entre febrero de 2021 y febrero de 2022 y afectó a cientos de víctimas en varios estados de los EE. UU., incluido Illinois. Mississippi, Nueva Jersey, Pensilvania y Washington.
La acusación formal reveló que desde octubre de 2020 hasta el presente, tres ciudadanos iraníes (Mansour Ahmadi, Ahmad Khatibi Aghda y Amir Hossein Nickaein Ravari) participaron en ataques de ransomware que explotaron vulnerabilidades conocidas para robar y cifrar datos de cientos de víctimas en los Estados Unidos. el Reino Unido, Israel, Irán y otros lugares.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI y otras agencias advirtieron posteriormente que los actores asociados con el IRGC, una agencia del gobierno iraní encargada de defender el liderazgo de las amenazas internas y externas percibidas, han estado explotando y es probable que continúen explotando a Microsoft. y vulnerabilidades de Fortinet, incluida una falla de Exchange Server conocida como ProxyShell — en actividad que se detectó entre diciembre de 2020 y febrero de 2021.
Los atacantes, que se cree que actuaban a instancias de una APT iraní, utilizaron las vulnerabilidades para obtener acceso inicial a entidades en múltiples sectores de infraestructura crítica de EE. UU. y organizaciones en Australia, Canadá y el Reino Unido para ransomware y otras operaciones cibercriminales, dijeron las agencias. dicho.
Los actores de amenazas protegen sus actividades maliciosas utilizando dos nombres de empresas: Najee Technology Hooshmand Fater LLC, con sede en Karaj, Irán; y Afkar System Yazd Company, con sede en Yazd, Irán, según las acusaciones.
APT42 y cómo entender las amenazas
Si la reciente avalancha de titulares centrados en las APT iraníes parece vertiginosa, es porque se necesitaron años de análisis e investigación para identificar la actividad, y tanto las autoridades como los investigadores todavía están tratando de entenderlo todo, dice Hoffman de Digital Shadows.
“Una vez identificados, estos ataques también requieren un tiempo razonable para investigarse”, afirma. "Hay muchas piezas del rompecabezas que analizar y ensamblar".
Investigadores de Mandiant recientemente armaron un rompecabezas que reveló años de actividad de ciberespionaje eso comienza como phishing pero conduce al monitoreo y vigilancia de teléfonos Android por parte de APT42 vinculado al IRGC, que se cree que es un subconjunto de otro grupo de amenazas iraní. APT35/Gatito encantador/Fósforo.
Juntos, los dos grupos también conectado a un grupo de amenazas no categorizado rastreado como UNC2448, identificado por Microsoft y Secureworks como un subgrupo de Phosphorus que lleva a cabo ataques de ransomware para obtener ganancias financieras utilizando BitLocker, dijeron los investigadores.
Para complicar aún más la trama, este subgrupo parece ser operado por una empresa que utiliza dos alias públicos, Secnerd y Lifeweb, que tienen vínculos con una de las empresas dirigidas por los ciudadanos iraníes acusados en el caso del Departamento de Justicia: Najee Technology Hooshmand.
Incluso mientras las organizaciones absorben el impacto de estas revelaciones, los investigadores dijeron que los ataques están lejos de terminar y probablemente se diversificarán a medida que Irán continúe con su objetivo de ejercer dominio político sobre sus enemigos, señaló Haeghebaert de Mandiant en su correo electrónico.
"Evaluamos que Irán seguirá utilizando todo el espectro de operaciones habilitadas por sus capacidades cibernéticas a largo plazo", dijo a Dark Reading. "Además, creemos que la actividad disruptiva que utiliza ransomware, limpiadores y otras técnicas de bloqueo y fuga puede volverse cada vez más común si Irán permanece aislado en el escenario internacional y las tensiones con sus vecinos de la región y Occidente continúan empeorando".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
