Los grupos de amenazas vinculados al Estado y los hacktivistas están acelerando las actividades de amenazas contra Estados Unidos y los países aliados desde que comenzó una campaña generalizada de bombardeos a finales de febrero contra activos militares y gubernamentales iraníes.
Un grupo de amenazas persistentes avanzadas vinculado a Irán, rastreado como Seedworm, ha sido detectado en las redes de varias empresas estadounidenses. según una publicación de blog publicada el jueves de investigadores de Symantec y Carbon Black.
El Grupo APT, más conocido como MuddyWater, comenzó una serie de ataques a principios de febrero y tuvo como objetivo un banco estadounidense, las operaciones israelíes de una empresa de software estadounidense que presta servicios a la industria aeroespacial y de defensa, una organización no gubernamental estadounidense y canadiense y un aeropuerto estadounidense, según la publicación del blog.
En la red de la empresa de software se encontró una puerta trasera previamente desconocida, que los investigadores llaman Dindoor. La puerta trasera también fue detectada en el banco y en la red canadiense de organizaciones sin fines de lucro.
La puerta trasera aprovecha Deno, que es un tiempo de ejecución seguro para Javascript y Typecript, para ejecutarse, según el blog.
Los investigadores dijeron que las puertas traseras se instalaron a partir del 7 de febrero en una organización y el 14 de febrero en otras.
«Entonces, si bien esta actividad comenzó antes del conflicto actual, y ya tenía presencia en las redes estadounidenses e israelíes antes del comienzo de las hostilidades actuales, colocó a Seedworm en una posición potencialmente peligrosa para lanzar ataques», dijo a Cybersecurity Dive Brigid O Gorman, analista senior de inteligencia de Symantec y Carbon Black Threat Hunter Team.
Los piratas informáticos intentaron extraer datos de la empresa de software estadounidense utilizando RClone y un depósito de almacenamiento en la nube Wasabi. Los investigadores no supieron de inmediato si el robo fue exitoso.
Los investigadores encontraron una puerta trasera basada en Python en las redes de un aeropuerto estadounidense y de una organización sin fines de lucro estadounidense.
Se sabe que Seedworm es una subsidiaria del Ministerio de Inteligencia y Seguridad de Irán.
Como se informó anteriormente, los hacktivistas pro-Irán y pro-Rusia han intensificado sus actividades de amenaza desde el lanzamiento de la campaña de bombardeos.
Un equipo FAD pro-iraní está reclamar crédito por piratear información de identificación personal de Pennbury Township, Pensilvania, según los investigadores de Flashpoint.
El sector de servicios financieros de EE. UU. también ha estado en alerta por un posible ataque similar a la Operación Ababil, que fue una serie de ataques DDoS coordinados de 2011 a 2013, dijeron los investigadores de Flashpoint a Cybersecurity Dive.
Fuente