Estados Unidos advierte sobre tres sistemas aque utiliza Irán para sus ciberataques
Actores y hacktivistas patrocinados por Irán, así como de grupos criminales aliados con este país, "afilan" sus armas estos días para atacar a occidente, dentro de la guerrea híbrida que ha planteado tras ser atacada por Estados Unidos e Israel. Si bien la línea entre hacktivistas y actores de amenazas estatales puede ser difusa, Irán es un adversario formidable que alberga a varios actores de amenazas prominentes, advierte HST.
Los objetivos geopolíticos de Irán abarcan desde ataques disruptivos y destructivos hasta ciberespionaje y ciberataques con fines financieros en colaboración con actores de ransomware. Mantenemos manuales de estrategias adversarias sobre múltiples actores de amenazas iraníes. Entre los grupos de amenazas estatales más competentes se encuentran:
--Charming Kitten (APT35, Phosphorous): un adversario sofisticado conocido por sus extensas campañas de phishing dirigido contra entidades políticas, militares y comerciales estadounidenses. El grupo también realiza ciberespionaje para ayudar a Irán a alcanzar sus objetivos geopolíticos.
--APT33 (Elfin): conocido por sus impactantes ataques a otras infraestructuras críticas de EE. UU. y Occidente, generalmente en los sectores energético y aeronáutico. APT33 utiliza phishing selectivo (spear-phishing) junto con archivos adjuntos maliciosos y también utiliza la pulverización de contraseñas para atacar cuentas con autenticación débil. Se sabe que aprovechan vulnerabilidades de día cero en diversos productos de TI.
--MuddyWater (APT37, Seedworm): ataca a una amplia gama de sectores, como gobierno, defensa, energía, telecomunicaciones y finanzas, principalmente en Oriente Medio, Asia, África, Europa y Norteamérica. Desarrollan malware a medida para facilitar sus operaciones y suelen aprovechar vulnerabilidades conocidas públicamente y herramientas de código abierto para obtener acceso inicial y mantener la persistencia.
La línea entre los grupos hacktivistas y los actores estatales puede ser difusa, ya que se cree que muchos grupos hacktivistas iraníes tienen vínculos directos o indirectos con el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) u otras entidades gubernamentales. Los hacktivistas iraníes son cada vez más sofisticados y a menudo se solapan estratégicamente con los objetivos de los grupos estatales. Utilizan diversas tácticas, como la explotación de sistemas vulnerables, el phishing selectivo y la recopilación de datos, y son conocidos por comprometer entornos OT y llevar a cabo ataques disruptivos y destructivos contra las redes.
Por ejemplo, Cyber Av3engers (Sandcat/Actores afiliados al CGRI) se ha convertido en una amenaza significativa para los sistemas de control industrial y los entornos tecnológicos operativos. Suele centrarse en dispositivos ICS/SCADA expuestos a internet, a menudo explotando credenciales predeterminadas y vulnerabilidades conocidas en equipos industriales. Además, Pioneer Kitten ha estado implicado en ataques contra el sector sanitario. También ha atacado a la industria estadounidense de satélites y defensa.
Históricamente, los hacktivistas iraníes han atacado a Estados Unidos como resultado de conflictos geopolíticos. Estos ataques se observan en diversas industrias de Estados Unidos, Israel y otros países occidentales. Si bien el desempeño pasado no es un indicador del comportamiento futuro, y aún no hemos visto indicios de un aumento en los ataques por parte de actores iraníes, se recomienda a las organizaciones que revisen su estrategia de seguridad y se aseguren de estar preparadas para posibles ataques de actores patrocinados y alineados con Irán.