Irán, considerado durante mucho tiempo una amenaza cibernética constante y persistente para Estados Unidos, ha mejorado su juego en los meses transcurridos desde que las dos naciones entraron en guerra en febrero.
Los grupos de amenazas cibernéticas respaldados por Irán, que van desde actores patrocinados por el Estado hasta hacktivistas proiraníes y piratas informáticos con motivación financiera, parecen haber desarrollado algunas de sus motivaciones y capacidades en el ámbito cibernético, según analistas e investigadores de seguridad.
«Lo que estamos viendo son ataques que pretenden tener un efecto más destructivo», dijo a Cybersecurity Dive Annie Fixler, directora del Centro de Innovación Cibernética y Tecnológica (CCTI) de la Fundación para la Defensa de las Democracias.
Lo que estamos viendo son ataques que pretenden tener un efecto más destructivo.
Annie Fixler
Director del Centro de Innovación Cibernética y Tecnológica (CCTI) de la Fundación para la Defensa de las Democracias
Específicamente, los actores vinculados a Irán han aumentado el uso de malware de borrado de datos en ataques recientes contra Israel y demostró una mayor capacidad para evadir la detección, según investigadores de Palo Alto Networks.
En otro acontecimiento alarmante, Darktrace publicó la semana pasada un análisis de una cepa de malware llamada ZionSiphon, para potencialmente alterar los niveles de cloro y los controles de presión en las instalaciones de agua israelíes. El malware estaba integrado con mensajes pro-Irán y palestinos para lograr un impacto psicológico adicional.
Los recientes ataques militares de Irán pueden haberse combinado miexplotación de fallas en cámaras de video y ataques militares cinéticos, según Investigación de puntos de control. La actividad puede indicar un mayor nivel de coordinación y podría usarse potencialmente contra infraestructura crítica, vigilancia y otras actividades de amenazas específicas, señaló Fixler de CCTI.
Mientras tanto, la campaña de bombardeos de Estados Unidos e Israel expuso las debilidades de las capacidades militares tradicionales de Irán, como su capacidad limitada para controlar y defender su propio espacio aéreo y desafiar directamente las campañas de bombardeos aliados. Pero los iraníes han utilizado los ciberataques como una forma de enviar mensajes a los estados vecinos del Golfo, a Israel, a Estados Unidos y a sus propios disidentes políticos, con fines de intimidación, espionaje y actos destructivos.
Los piratas informáticos del nexo con Irán atacan infraestructuras críticas
28 de febrero
Estados Unidos e Israel lanzan una campaña coordinada de bombardeos contra Irán.
11 de marzo
La empresa de tecnología médica Stryker sufre un ataque de limpiaparabrisas.
19 de marzo
El Departamento de Justicia anuncia la incautación de dominios vinculados a Handala.
7 de abril
El FBI y la CISA advierten sobre los piratas informáticos del nexo con Irán que apuntan a fallas en los proveedores de agua y energía.
Advertencias de amenazas cibernéticas
En marzo, grupos que comparten amenazas cibernéticas en varios sectores de infraestructura crítica emitió un aviso conjunto advirtiendo sobre la mayor amenaza de ataques cibernéticos por parte de actores alineados con Irán.
«Desde que publicamos el informe, hemos visto informes de la comunidad de infraestructura crítica sobre actividades alineadas con Irán», dijo a Cybersecurity Dive Scott Algeier, director ejecutivo de Tecnología de la Información-ISAC.
El ciberataque de borrado de datos contra el fabricante de dispositivos médicos Stryker en marzo representó el ejemplo más destacado de un ataque vinculado a Irán, señaló Algeier, pero también ha habido informes de ataques cibernéticos dirigidos a sitios críticos. Los actores del nexo con Irán continúan centrándose en controladores lógicos programables utilizados en entornos OT, por ejemplo, dijo.
Nick Andersen, director interino de CISA, dijo en una audiencia el jueves ante la Cámara de Asignaciones Subcomité de Seguridad Nacional que actores vinculados a Irán han intensificado sus actividades contra sitios de infraestructura crítica mal configurados en Estados Unidos, pero hasta ahora no han podido lograr avances significativos.
CISA y otras agencias han advertido durante varios años sobre Grupos hacktivistas que aprovechan los débiles controles de seguridad. en sitios de infraestructura crítica.
Anderson señaló que Estados Unidos tiene una «enorme cantidad» de TI y OT que se utiliza para respaldar la infraestructura crítica que está expuesta a la Internet pública, no es segura y «no necesariamente aprovecha las prácticas de seguridad modernas», como cambiar las contraseñas predeterminadas.
“Cuando los miramos [Iran] «Como actor de amenaza específico de un Estado-nación, se han centrado de manera muy oportunista en los dispositivos no seguros a los que se puede acceder a través de Internet», testificó Andersen durante la audiencia. «Les brinda la oportunidad de intentar establecer conexiones con esos dispositivos».
Cuando los miramos [Iran] Como actor de amenazas específico de un Estado-nación, se han centrado de manera muy oportunista en los dispositivos no seguros a los que se puede acceder a través de Internet.
Nick Andersen
Director interino en CISA
Mientras tanto, CISA y el FBI encabezaron una aviso conjunto sobre la actividad de amenaza del nexo entre Irán y Irán el 7 de abril, advirtiendo que piratas informáticos maliciosos estaban apuntando a dispositivos de Rockwell Automation/Allen-Bradley en empresas de servicios de agua, instalaciones de energía y otros sitios industriales.
El aviso, del que fueron coautores el Departamento de Energía de EE. UU., la Agencia de Protección Ambiental y otros socios federales, advirtió que los atacantes intentaron manipular interfaces hombre-máquina y pantallas de control de supervisión y adquisición de datos.
Si bien las autoridades no han proporcionado detalles que desglosen el patrón específico de ataques, los investigadores han podido rastrear parte de la actividad hasta grupos de amenazas específicos.
La Unidad 42 de Palo Alto Networks vinculó un grupo de actividades de amenazas a finales de marzo con los mismos dispositivos de Rockwell Automation citados en el aviso del FBI. según una publicación de blog actualizada lanzado el viernes.
Un grupo de amenazas rastreado como CL-STA-1128 (también rastreado como Cyber Av3ngers o Storm-0784) abusó del software Factory Talk de Rockwell Automation instalándolo en una infraestructura de servidor privado virtual, según investigadores de Unit 42.
Capacidades cibernéticas asimétricas
En los últimos años, Irán ha demostrado su capacidad para aprovechar una red de agentes hacktivistas patrocinados por el Estado para sembrar miedo, discordia y perturbaciones operativas a través de campañas cibernéticas.
Las autoridades estadounidenses, incluida CISA, han rastreó a un grupo de actores de amenazas persistentes avanzadas desde al menos 2018 bajo el nombre de MuddyWater, también conocido como Seedworm o Static Kitten. El grupo, que opera bajo el Ministerio de Inteligencia y Seguridad de Irán (MOIS), ha apuntado a gobiernos rivales, Industrias de defensa, telecomunicaciones y proveedores de energía. mediante phishing, explotación de vulnerabilidades conocidas y abuso de herramientas de código abierto para realizar ciberespionaje, robar datos confidenciales y desplegar ransomware.
En 2022, el El Tesoro de EE.UU. sancionó a MOIS en relación con actividades de amenazas contra Estados Unidos y otros aliados que se remontan a 2007. El Tesoro citó un ciberataque de julio de 2022 contra el gobierno albanés, donde un grupo vinculado a Irán llamado HomeLand Justice obtuvo acceso a una red informática específica durante 14 meses antes de desatar ransomware y malware de borrado de disco.
Irán también ha utilizado durante mucho tiempo la cibernética para atacar infraestructuras críticas contra Israel, su principal rival geopolítico. Durante la Guerra de Gaza que comenzó en 2023, estos atacantes también atacaron servicios de agua y otras infraestructuras críticas en EE. UU.
Las instalaciones de agua potable y tratamiento de aguas residuales en Estados Unidos también han sido víctimas de ataques cibernéticos vinculados a Irán, específicamente en una campaña que explotó las debilidades de los PLC de Unitronics. Estados Unidos tiene alrededor de 150.000 instalaciones públicas de agua y 16.000 sitios de tratamiento de aguas residuales, la mayoría de los cuales carecen de mano de obra, financiación o capacitación para frustrar tales ataques.
El sector del agua ha sido tradicionalmente un blanco relativamente fácil. Una investigación federal en 2024 encontró cientos de sitios de agua en EE. UU. estaban expuestos a Internet o contenían otras debilidades de configuración. El informe también encontró que la Agencia de Protección Ambiental carecía de un plan de notificación de incidentes o procedimientos documentados para coordinar con CISA.
Los líderes de la industria de la seguridad dicen que la actual amenaza cibernética al agua y otros servicios públicos representa una clara escalada de capacidades por parte de grupos amenazantes vinculados a Irán.
Jennifer Lyn Walker, directora de ciberdefensa de infraestructura en el Centro de Análisis e Intercambio de Información sobre el Agua, dijo que la actividad anterior vinculada a CyberAv3ngers era más bien una “amenaza molesta” que carecía de sofisticación. Pero la actividad de amenaza actual representa una «escalada que incluye la intención de causar interrupciones con acciones maliciosas», dijo Walker a Cybersecurity Dive.
A pesar de la reciente actividad de amenaza, la EPA dijo que el agua potable sigue siendo segura. «La capacidad de los sistemas de agua para suministrar agua potable a las comunidades no se ha visto afectada», dijo un portavoz.
Los federales han tomado algunas medidas contra los actores de amenazas iraníes: tras los ataques a los sistemas de agua y otros sectores críticos, el Departamento del Tesoro en 2024 emitió sanciones contra miembros de la Guardia Revolucionaria Islámica.citando actividad maliciosa contra varios sectores críticos en los EE. UU. Entre esos ataques se encontraba un ataque de ransomware de 2021 dirigido a Hospital de niños de Boston eso fue interrumpido por el FBI.
Los hackers ganan persistencia
El ciberataque contra Stryker demostró una capacidad que excede lo que se sabía anteriormente sobre los actores vinculados a Irán: el despliegue de un limpiador destructivo que abusó del entorno Microsoft Intune de la compañía y eliminó datos de miles de dispositivos móviles.
Fixler de CCTI y otros analistas dicen que los atacantes probablemente obtuvieron credenciales y establecieron un punto de apoyo en Stryker mucho antes del ataque. Sin embargo, el ataque sigue bajo investigación, por lo que aún no se ha publicado un desglose oficial.
Handala, el grupo de amenazas cibernéticas vinculado al ataque Stryker, ahora afirma haber obtenido acceso persistente a los entornos Microsoft Entra, VMware vSphere e IBM FlashSystem en múltiples organizaciones objetivo, según investigadores de Flashpoint.
«Las capturas de pantalla que compartieron en su canal indican que son parte de varias campañas de ataque, aunque es difícil verificarlo hasta que tengamos la confirmación de las víctimas», dijo a Cybersecurity Dive Ian Gray, vicepresidente de inteligencia de Flashpoint.
Esas capturas de pantalla muestran la capacidad de los atacantes para generar pases de acceso temporales dentro de Microsoft Entra, lo que les permite a los piratas informáticos evitar la autenticación multifactor, según Flashpoint.
Los funcionarios de Microsoft declinaron hacer comentarios. Los funcionarios de IBM y Broadcom no estuvieron disponibles de inmediato para hacer comentarios.
En marzo, CISA instó a los equipos de seguridad de todo el país para reforzar la seguridad de sus terminales tras el ataque de Stryker.
Defensa contra las ciberamenazas de Irán
Hay varios pasos que los equipos de seguridad deben tomar para mitigar posibles ataques de actores amenazantes del nexo con Irán. Por un lado, los dispositivos con acceso a Internet deberían eliminarse del acceso abierto y debería habilitarse la autenticación multifactor, según los investigadores.
Los equipos de seguridad también deben crear copias de seguridad sólidas de los PLC, que incluyen la lógica y las configuraciones de los equipos y sistemas industriales.
Si los controladores incluyen un interruptor de modo físico, se debe colocado en la posición de carrera para evitar modificaciones remotas, según el aviso de CISA y FBI.
Para protegerse contra ataques de limpieza, los equipos de seguridad deben eliminar los privilegios permanentes y también reforzar las cuentas de administrador de Entra ID. según Palo Alto Networks investigadores.
Fuente