Hoy, los investigadores de seguridad cibernética arrojan luz sobre una campaña de espionaje cibernético iraní dirigida contra infraestructuras críticas en Kuwait y Arabia Saudita.
Bitdefender dijo que las operaciones de recopilación de inteligencia fueron realizadas por Chafer APT (también conocido como APT39 o Remix Kitten), un actor de amenazas conocido por sus ataques a las industrias de telecomunicaciones y viajes en el Medio Oriente para recopilar información personal que sirva a los intereses geopolíticos del país.
“Las víctimas de las campañas analizadas encajan en el patrón preferido por este actor, como el transporte aéreo y los sectores gubernamentales en Medio Oriente”, dijeron los investigadores en un informe (PDF) compartido con The Hacker News, agregando al menos uno de los ataques. permaneció sin descubrir durante más de un año y medio desde 2018.
«Las campañas se basaron en varias herramientas, incluidas las herramientas de ‘vivir de la tierra’, lo que dificulta la atribución, así como diferentes herramientas de piratería y una puerta trasera personalizada».
Conocido por estar activo desde 2014, Chafer APT ha apuntado previamente a organizaciones gubernamentales turcas y entidades diplomáticas extranjeras con sede en Irán con el objetivo de exfiltrar datos confidenciales.
Un informe de FireEye del año pasado se sumó a la creciente evidencia del enfoque de Chafer en las industrias de telecomunicaciones y viajes. «Las empresas de telecomunicaciones son objetivos atractivos dado que almacenan grandes cantidades de información personal y de clientes, brindan acceso a infraestructura crítica utilizada para las comunicaciones y permiten el acceso a una amplia gama de objetivos potenciales en múltiples verticales», dijo la compañía.
APT39 compromete a sus objetivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos y utiliza una variedad de herramientas de puerta trasera para establecerse, elevar sus privilegios, realizar un reconocimiento interno y establecer la persistencia en el entorno de la víctima.
Lo que hace que el ataque de Kuwait sea más elaborado, según Bitdefender, es su capacidad para crear una cuenta de usuario en la máquina de las víctimas y realizar acciones maliciosas dentro de la red, incluido el escaneo de la red (CrackMapExec), la recolección de credenciales (Mimikatz) y moverse lateralmente dentro las redes utilizando un amplio arsenal de herramientas a su disposición.
La mayor parte de la actividad ocurre los viernes y sábados, coincidiendo con el fin de semana en el Medio Oriente, dijeron los investigadores.
El ataque contra una entidad de Arabia Saudita, por otro lado, involucró el uso de ingeniería social para engañar a la víctima para que ejecutara una herramienta de administración remota (RAT), con algunos de sus componentes compartiendo similitudes con los utilizados contra Kuwait y Turquía.
«Si bien este ataque no fue tan extenso como el de Kuwait, algunas pruebas forenses sugieren que los mismos atacantes podrían haberlo orquestado», dijeron los investigadores. «A pesar de la evidencia del descubrimiento de redes, no pudimos encontrar ningún rastro de movimiento lateral, muy probablemente porque los actores de amenazas no pudieron encontrar ninguna máquina vulnerable».
Los ataques contra Kuwait y Arabia Saudita son un recordatorio de que los esfuerzos de espionaje cibernético de Irán no han mostrado signos de desaceleración. Dada la naturaleza crucial de las industrias involucradas, las acciones de Chafer continúan la tendencia de golpear a los países que actúan en contra de sus ambiciones nacionales.
«Si bien estos dos son los ejemplos de ataques más recientes que ocurren en el Medio Oriente, es importante comprender que este tipo de ataque puede ocurrir en cualquier parte del mundo, y las infraestructuras críticas como el gobierno y el transporte aéreo siguen siendo objetivos muy sensibles», dijo Bitdefender.
