Una empresa israelí de ciberseguridad detalla cómo los actores iraníes están ejecutando una operación para robar información de objetivos en todo Israel.
Los actores de amenazas iraníes están ejecutando una operación de ciberespionaje altamente dirigida contra compañías aeroespaciales y de telecomunicaciones globales, robando información confidencial de objetivos en Israel y el Medio Oriente, así como en los Estados Unidos, Rusia y Europa, según un informe publicado el miércoles por la empresa israelí de ciberseguridad Cybereason.
Cybereason identificó al actor estatal previamente desconocido, apodado MalKamak, que ejecuta una nueva forma sofisticada de malware que antes se desconocía, durante una llamada de respuesta a incidentes para uno de sus clientes, dijo Assaf Dahan, jefe del grupo de investigación de amenazas cibernéticas en Cybereason.
La campaña se ha estado ejecutando desde al menos 2018 y probablemente haya logrado recopilar grandes cantidades de datos de objetivos cuidadosamente elegidos, dijo Dahan.
«La investigación comenzó después de que se llamara al equipo de investigación de respuesta a incidentes de Cybereason para ayudar a una de las empresas atacadas», dijo Dahan. «Durante el incidente y después de instalar nuestra tecnología en las computadoras de la organización, identificamos daños nuevos y sofisticados que aún no se han visto o documentado. Un trabajo de investigación profundo descubrió que esto es solo una parte de toda una campaña de inteligencia iraní que se ha llevado a cabo en en secreto y bajo el radar durante los últimos tres años. De los pocos rastros que dejaron los atacantes, está claro que actuaron con cuidado y seleccionaron a sus víctimas a fondo. Este es un atacante iraní sofisticado que actuó profesionalmente de acuerdo con una estrategia considerada y calculada . El riesgo potencial inherente a tal campaña de asalto es grande y significativo para el Estado de Israel y puede representar una amenaza real «.
«Esta fue una operación muy sofisticada que tiene todas las características de un ataque patrocinado por el estado», dijo Dahan. «Mientras que otros grupos iraníes están involucrados en actos más destructivos, este se centra en la recopilación de información. El hecho de que pudieron permanecer fuera del radar durante tres años muestra su nivel de sofisticación. Evaluamos que han podido exfiltrar grandes cantidades de datos a lo largo de los años: gigabytes o incluso terabytes. No sabemos cuántas víctimas hubo antes de 2018 «.
Las organizaciones afectadas y los oficiales de seguridad relevantes fueron actualizados por él sobre el ataque, pero el alcance del daño real causado aún no se ha aclarado, dijo Cybereason.
La campaña aprovecha un troyano de acceso remoto (RAT) muy sofisticado y previamente desconocido llamado ShellClient que evade las herramientas antivirus y otros aparatos de seguridad y abusa del servicio de nube pública Dropbox para comando y control (C2), según el informe. Los autores de ShellClient invirtieron mucho esfuerzo para evitar la detección de antivirus y otras herramientas de seguridad de manera sigilosa, aprovechando múltiples técnicas de ofuscación y recientemente implementando un cliente de Dropbox para comando y control (C2), lo que hace que sea muy difícil de detectar.
«El malware ha evolucionado mucho a lo largo de los años», señaló Dahan. «En 2018, el código era muy simple, pero se ha vuelto muy sofisticado. A principios de este año, el grupo abandonó su antigua infraestructura de servidor y la reemplazó con el alojamiento de archivos de Dropbox, una forma sencilla de ocultarlo a la vista. En los últimos años, estamos viendo que más actores de amenazas cibernéticas abusan de diferentes servicios en la nube como Google Drive, Dropbox y Github, ya que proporcionan el camuflaje perfecto. Aunque una vez que sabemos lo que estamos buscando, es más fácil descubrir otras cosas «.
Usando ShellClient RAT, el actor de amenazas también implementó herramientas de ataque adicionales para realizar diversas actividades de espionaje en las redes objetivo, incluido el reconocimiento adicional, el movimiento lateral en el entorno y la recopilación y exfiltración de datos confidenciales.
La amenaza, que todavía está activa, se ha observado predominantemente en la región de Medio Oriente, pero también se ha observado que apunta a organizaciones en los EE.UU., Rusia y Europa, con un enfoque en las industrias aeroespacial y de telecomunicaciones.
La investigación revela posibles conexiones con varios actores de amenazas patrocinados por el estado iraní, incluidos Chafer APT (APT39) y Agrius APT, según el informe. Esto sigue a la publicación de agosto del Informe DeadRinger de Cybereason que descubrió de manera similar múltiples campañas de APT chinas dirigidas a proveedores de telecomunicaciones.
Fuente: JPost- Traducido por UnidosxIsrael
- Nissim cayó 57 años después que su abuelo
- Irán invierte en el nuevo líder de Hezbolá, Naim Qassem – análisis
- Jefe de las FDI: Si Irán ataca de nuevo, será atacado «muy, muy duro»
- Más allá de la UNRWA: ¿Cómo planea Israel coordinar la ayuda palestina ahora?
- A pesar de las evidencias, Irán niega que se haya interrumpido la producción de misiles