Incidentes Asociados
Un grupo iraní de operaciones cibernéticas, Emennet Pasargad, también conocido como Cotton Sandstorm, ha ampliado sus ataques, expandiendo sus objetivos más allá de Israel y Estados Unidos y apuntando a nuevos activos de TI, como cámaras IP.
En un aviso publicado la semana pasada, los departamentos de Justicia y del Tesoro de Estados Unidos, junto con la Dirección Nacional de Cibernética de Israel (INCD), denunciaron el cambio de táctica y señalaron que el grupo había proporcionado recursos y servicios de infraestructura a grupos de amenazas de Oriente Medio operando como una empresa legítima, Aria Sepehr Ayandehsazan (ASA). Además, desde principios de año, Emennet Pasargad ha buscado cámaras IP, ha apuntado a organizaciones en Francia y Suecia y ha investigado activamente una variedad de sitios y sistemas electorales, según el aviso del gobierno.
"De manera similar a la campaña de Emennet que tuvo como objetivo las elecciones presidenciales estadounidenses de 2020, el FBI considera que las campañas recientes del grupo incluyen una combinación de actividad de intrusión informática y afirmaciones exageradas o ficticias de acceso a redes de víctimas o datos robados para mejorar los efectos psicológicos de sus operaciones", declaró el aviso.
La información de inteligencia más reciente destaca el uso cada vez mayor por parte de Irán de operaciones cibernéticas como una forma de atacar a sus supuestos enemigos. En 2020 y 2022, Emennet Pasargad creó campañas de desinformación para atacar las elecciones presidenciales y de mitad de mandato de Estados Unidos (https://www.darkreading.com/threat-intelligence/fbi-iranian-threat-group-likely-to-target-us-midterms), haciéndose pasar por voluntarios de Proud Boys y enviando videos falsos a legisladores republicanos. El Departamento de Justicia de Estados Unidos acusó a dos ciudadanos iraníes por los delitos, así como por enviar amenazas a través del correo electrónico e intentar piratear sitios web electorales.
Durante el último año, Irán ha intensificado sus intentos de utilizar ciberataques para perturbar a sus enemigos utilizando tácticas más audaces, dice John Fokker, jefe de inteligencia de amenazas de Trellix, una empresa de detección y respuesta a amenazas.
"Desde octubre de 2023, el comienzo de la crisis entre Israel y Palestina, los piratas informáticos iraníes han intensificado sus actividades contra Estados Unidos e Israel, apuntando a sectores críticos como el gobierno, la energía y las finanzas", dice. "Hemos observado a actores vinculados con Irán que interrumpen organizaciones robando datos confidenciales, realizando ataques de denegación de servicio y también implementando malware destructivo como ransomware o cepas de limpiadores, como el limpiador Handala."
Los ciberatacantes iraníes amplían sus miras
Emennet Pasargad a menudo opera haciéndose pasar por una empresa legítima de servicios de TI, ASA, como fachada para acceder a servicios de modelo de lenguaje grande (LLM) y escanear y recolectar datos en cámaras IP. El grupo ha "utilizado varios proveedores de alojamiento encubiertos para la gestión y ofuscación de la infraestructura", agregó el Joint Cybersecurity Advisory.
El uso de una organización encubierta para ocultar operaciones y hacerlas parecer legítimas es un enfoque común para los actores de amenazas iraníes, dice Tomer Bar, vicepresidente de investigación de seguridad en SafeBreach, un proveedor de plataformas de simulación de ataques y violaciones que tiene oficinas en Tel Aviv. Por ejemplo, Charming Kitten, o APT35, realizó reconocimientos y ataques bajo la apariencia de dos empresas, Najee Technology y Afkar System, que fueron [sancionadas por el Departamento del Tesoro de EE. UU. en 2022] (https://home.treasury.gov/news/press-releases/jy0948).
"El uso de una empresa encubierta no es nuevo, y ha sido utilizada por Irán tanto con fines de espionaje como de distracción", dice Bar.
También les da a los grupos la capacidad de usar servicios comerciales como parte de su infraestructura y ocultar sus actividades --- por un tiempo, dice Fokker de Trellix.
"Los actores de amenazas tienen que adquirir recursos, software y alojamiento para sus actividades ilícitas", dice. "Tener una empresa fachada 'legítima' facilitará la adquisición de estos servicios y puede servir como respaldo adicional para dar una denegación plausible".
Los gobiernos y las empresas deben hacer balance
Las tácticas cambiantes subrayan que las organizaciones necesitan ajustar continuamente sus defensas para evitar a los grupos amenazantes. Las empresas y las agencias gubernamentales solo deben comprar tecnología y software de proveedores confiables y deben asegurarse de que esos proveedores tengan sus propios procesos de validación de la cadena de suministro y corrección de vulnerabilidades.
El Asesoramiento Conjunto sobre Ciberseguridad instó a las organizaciones a revisar cualquier autenticación exitosa a servicios de red o en la nube que provengan de servicios de red privada virtual, como Private Internet Access, ExpressVPN y NordVPN. Además de aplicar actualizaciones regularmente y crear un proceso de respaldo resistente, las empresas deben considerar la posibilidad de implementar una "zona desmilitarizada" (DMZ) entre cualquier activo que dé acceso a Internet y la red corporativa, validar la entrada del usuario e implementar políticas de privilegios mínimos en sus redes y aplicaciones.
SafeBreach ha detectado que los atacantes escanean regularmente LinkedIn en busca de trabajadores que actualizan sus perfiles con un nuevo puesto, enviando un mensaje de texto o correo electrónico de phishing como administrador de la empresa solicitando que inicien sesión en un sistema corporativo. Luego, los atacantes capturan las credenciales de la víctima a través de un enlace malicioso.
Fokker de Trellix también enfatiza que las empresas deben centrarse en sus dispositivos conectados, aplicando parches para cámaras y otro hardware, utilizando la segmentación de red para protegerlos y escaneando regularmente su propio espacio IP, antes de que lo haga un atacante.
"Cada vez más gobiernos están explorando el escaneo proactivo de espacios IP y la notificación a las organizaciones nacionales como una capa adicional a los requisitos más estrictos del fabricante", dice. "En primer lugar, debería ser responsabilidad de la propia organización. Sin embargo, será de ayuda si el gobierno ayuda en este proceso y alerta a las organizaciones que no lo saben sobre sus cámaras vulnerables".