Las preocupaciones sobre una respuesta cibernética iraní al reciente ataque militar estadounidense en Bagdad crecieron esta semana con el Departamento de Seguridad Nacional de los Estados Unidos instando a las organizaciones a estar en alerta máxima por la denegación de servicio y otros ataques más destructivos.
En una alerta el lunes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS advirtió a las organizaciones estadounidenses sobre el uso histórico de ataques cibernéticos por parte de Irán para tomar represalias contra enemigos percibidos. «Irán tiene una historia de aprovechar tácticas asimétricas para perseguir intereses nacionales más allá de sus capacidades convencionales», señaló la alerta de CISA.
En los últimos años, los grupos cibernéticos que operan en nombre del gobierno iraní han mejorado sus capacidades ofensivas para llevar a cabo la denegación de servicio, ataques de desfiguración de sitios net y robo de datos. «También han demostrado su disposición a ampliar los límites de sus actividades, que incluyen malware destructivo de limpiaparabrisas y, potencialmente, ataques cinéticos habilitados por ciberseguridad», dijo CISA.
El CISA alerta es el primer reconocimiento público del gobierno de EE. UU. sobre posibles ataques cibernéticos iraníes en respuesta al ataque con aviones no tripulados de EE. UU. la semana pasada que mató al standard Qassem Soleimani. Varios proveedores de seguridad, incluidos Crowdstrike y Recorded Long term, han señalado la posibilidad de tales ataques en los últimos días, citando precedentes anteriores.
Según Crowdstrike, aunque no hay evidencia de una amenaza específica que emane de los actores iraníes de los estados nacionales en este momento, las organizaciones estadounidenses deberían asumir una postura defensiva de todos modos. La inteligencia genuine sugiere que las organizaciones en los sectores gubernamental, de defensa, financiero y de petróleo y gasoline serán los objetivos más probables para los ataques, dijo el vendedor de seguridad.
Recorded Long run dijo que cree que los grupos cibernéticos iraníes intentarán usar redes que ya han comprometido en actividades de espionaje anteriores para llevar a cabo nuevos ataques. Otras tácticas probables incluyen el uso de shells internet, rociado de contraseñas y malware personalizado y personalizado para entrar en las redes de destino. Además de los objetivos con sede en los EE. UU., Los ciberoperantes iraníes probablemente apunten a organizaciones en el Golfo Pérsico, así como a aliados y socios de los EE. UU. En la región, Futuro Registrado dijo.
Se cree que varios grupos cibernéticos con foundation en Irán con presuntos vínculos con el gobierno y el Cuerpo de la Guardia Revolucionaria Islámica del país tienen la capacidad de interrumpir y dañar las operaciones en las organizaciones estadounidenses. Los principales entre ellos son APT33, uno de los grupos de amenazas más activos que operan en el Medio Oriente APT34 (también conocido como OilRig / MUDDYWATER) y APT39, un grupo relativamente reciente que se dirige a empresas en los sectores de tecnología, servicios de viajes y telecomunicaciones.
«Los APT 33 y 34 se centran principalmente en finanzas, energía, telecomunicaciones y SCADA / ICS», dice Rosa Smothers, ex oficial de inteligencia técnica de la CIA y vicepresidenta senior de operaciones cibernéticas en KnowBe4. Las empresas del sector privado responsables de la infraestructura crítica a menudo desconocen que estos actores de amenazas ya podrían tener presencia en su purple. Eso representa una amenaza porque es possible que el gobierno iraní y sus representantes de hackers consideren primero objetivos donde actualmente mantienen persistencia.
«Si las organizaciones se defienden completamente contra las APT, utilizando métodos de defensa en profundidad, educando a los usuarios sobre cómo detectar el phishing y rechazar contraseñas conocidas y violadas y comunes, entonces sus bases técnicas deberían estar cubiertas», dice Smothers.
Acciones recomendadas
Las organizaciones en sectores específicos deben estar atentos a las actividades, los indicadores de compromiso y las tácticas, técnicas y procedimientos asociados con estos grupos de APT, dice Anuj Goel, CEO de Cyware Labs. Los ejemplos de herramientas utilizadas por estos grupos incluyen njRAT, RevengeRAT y NonoCoreRAT, dice. «Más recientemente, se descubrió que APT33, el grupo cibercriminal más potente de Irán, investigaba los sistemas de control físico utilizados en las empresas de servicios eléctricos, fabricación y refinerías de petróleo mediante ataques de rociado con contraseña», dice Goel.
La alerta CISA de esta semana enumeró varias técnicas de grupo APT iraníes que las organizaciones estadounidenses deberían monitorear, incluido el dumping de credenciales, la ofuscación de archivos, el uso indebido de PowerShell y el abuso de otras características legítimas del sistema, como las claves de ejecución del Registro y la carpeta de inicio.
La alerta también recomendó varias acciones que las organizaciones pueden tomar para mitigar su exposición a posibles ataques. Entre ellos estaba la necesidad de deshabilitar puertos y protocolos innecesarios, mejorar la supervisión del correo electrónico y el tráfico de la red, parchear sistemas externos y limitar y registrar el uso de PowerShell.
«Elimine las cuentas que ya no están activas e investigue las cuentas que inician sesión en horas impares», agrega Smothers. «Las actividades iraníes fueron previamente (descubiertas) debido a actividades que ocurrieron solo durante el horario comercial del gobierno iraní».
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más tips
