Incidentes Asociados
Las agencias de ciberseguridad de Estados Unidos e Israel han publicado un nuevo aviso que atribuye a un grupo cibernético iraní el ataque a los Juegos Olímpicos de Verano de 2024 y el compromiso de la seguridad internacional. un proveedor francés de pantallas dinámicas comerciales para mostrar mensajes denunciando la participación de Israel en el evento deportivo.
La actividad ha sido atribuida a una entidad conocida como Emennet Pasargad, que según las agencias ha estado operando bajo el nombre encubierto Aria Sepehr Ayandehsazan (ASA) desde mediados de 2024. La comunidad de ciberseguridad en general la rastrea como Cotton Sandstorm, Haywire Kitten y Marnanbridge.
"El grupo exhibió una nueva técnica en sus esfuerzos por llevar a cabo operaciones de información habilitadas cibernéticamente hasta mediados de 2024 utilizando una gran variedad de personajes encubiertos, incluidas múltiples operaciones cibernéticas que ocurrieron durante y contra los Juegos Olímpicos de Verano de 2024, incluido el compromiso de un proveedor francés de pantallas dinámicas comerciales", según el aviso.
La ASA, la Oficina Federal de Investigaciones (FBI) de EE. UU., el Departamento del Tesoro y la Dirección Nacional Cibernética de Israel dijeron que también robó contenido de cámaras IP y utilizó software de inteligencia artificial (IA) como Remini AI Photo Enhancer, Voicemod y Murf AI para la modulación de voz, y Appy Pie para la generación de imágenes para difundir propaganda.
Se considera que este actor de amenazas forma parte del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), y es conocido por sus operaciones cibernéticas y de influencia bajo los nombres personalidades Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus y Market of Data, entre otros.
Microsoft, en un informe publicado la semana pasada, denunció a Cotton Sandstorm por participar en "reconocimiento y sondeo limitado" de sitios web relacionados con las elecciones en algunos estados clave de Estados Unidos en abril de 2024. ASA también ha estado asociada con actividades de reconocimiento dirigidas a importantes publicaciones de medios estadounidenses en mayo de 2024.
Una de las tácticas recientemente observadas se refiere al uso de revendedores de alojamiento ficticios para proporcionar infraestructura de servidor operativo para sus propios fines, así como a un actor en el Líbano para alojar sitios web afiliados a Hamás (por ejemplo, alqassam[.]ps).
"Desde aproximadamente mediados de 2023, ASA ha utilizado varios proveedores de alojamiento encubiertos para la gestión y ofuscación de la infraestructura", dijeron las agencias. "Estos dos proveedores son 'Server-Speed' (server-speed[.]com) y 'VPS-Agent' (vps-agent[.]net)."
"ASA creó sus propios revendedores y adquirió espacio en servidores de proveedores con sede en Europa, entre ellos la empresa BAcloud, con sede en Lituania, y Stark Industries Solutions/PQ Hosting (ubicadas en el Reino Unido y Moldavia, respectivamente). ASA luego aprovecha estos revendedores encubiertos para proporcionar servidores operativos a sus propios actores cibernéticos para actividades cibernéticas maliciosas".
El ataque dirigido contra el proveedor de visualización comercial francés anónimo tuvo lugar en julio de 2024 utilizando la infraestructura del agente VPS. El objetivo era mostrar montajes fotográficos que criticaban la participación de atletas israelíes en los Juegos Olímpicos y Paralímpicos de 2024.
Además, se alega que ASA intentó ponerse en contacto con familiares de rehenes israelíes tras la guerra entre Israel y Hamás a principios de octubre de 2023 bajo el nombre de usuario Contact-HSTG y enviar mensajes que probablemente "causarían efectos psicológicos adicionales e infligirían más traumas".
El actor de amenazas también ha sido vinculado a otro nombre de usuario conocido como Cyber Court, que promovía las actividades de varios grupos hacktivistas encubiertos dirigidos por él mismo en un canal de Telegram y un sitio web dedicado creado para este propósito ("cybercourt[.]io").
Ambos dominios, vps-agent[.]net y cybercourt[.]io, han sido incautados tras una operación policial conjunta llevada a cabo por la Fiscalía de los Estados Unidos para el Distrito Sur de Nueva York (SDNY) y el FBI.
Eso no es todo. Se cree que, tras el estallido de la guerra, ASA se dedicó a enumerar y obtener contenido de cámaras IP en Israel, Gaza e Irán, así como a recopilar información sobre pilotos de combate y operadores de vehículos aéreos no tripulados (UAV) israelíes a través de sitios como knowem.com, facecheck.id, socialcatfish.com, ancestry.com y familysearch.org.
El desarrollo se produce luego de que el Departamento de Estado de los EE. UU. anunciara una recompensa de hasta $10 millones por información que conduzca a la identificación o paradero de personas asociadas con un grupo de piratas informáticos asociado con el CGRI llamado Shahid Hemmat por atacar infraestructura crítica de EE. UU.
"Shahid Hemmat ha sido vinculado a actores cibernéticos maliciosos que atacan la industria de defensa de EE. UU. y los sectores de transporte internacional", dijo.
"Como componente del Comando Cibernético-Electronico (CEC) del CGRI, Shahid Hemmat está conectado con otras personas y organizaciones asociadas al CEC del CGRI, entre ellas: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab y la empresa fachada Emennet Pasargad, Dadeh Afzar Arman (DAA) y Mehrsam Andisheh Saz Nik (MASN)".
¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.