El ataque de Dustman subraya las capacidades cibernéticas de Irán



Durante casi seis meses, un grupo de ataque vinculado a Irán habría tenido acceso a la purple de la compañía petrolera nacional de Bahréin, Bapco, antes de ejecutar una carga útil destructiva.

El 29 de diciembre, un grupo de atacantes utilizó un programa de eliminación de datos conocido como «limpiador» para intentar destruir datos en los sistemas de la compañía petrolera nacional de Bahrein, sobrescribiendo los datos con una serie de caracteres que incluyen las frases «Down With Bin Salman» y «Abajo el Reino de Arabia Saudita», según múltiples análisis.

Si bien el malware destructivo, denominado «Dustman» por el Centro Nacional de Seguridad Cibernética de Arabia Saudita (NCSC), difiere de los ataques de limpiadores anteriores, muchas de sus técnicas vinculan el código con Shamoon y ZeroCleare, dos programas de destrucción de datos utilizados por grupos vinculados a Irán para empresas objetivo en el Medio Oriente. Además, aunque el grupo detrás de Dustman tenía acceso a la pink de víctimas desde julio de 2019, solo ejecutaron el código de limpiador el 29 de diciembre, el mismo día en que Estados Unidos tomó represalias por la muerte de un contratista estadounidense al bombardear objetivos vinculados con Irán en Siria e Irak.

El ataque eliminó los datos en la mayoría de las computadoras de la víctima, según otro análisis de NCSC.

«El hecho de que sea anti-saudí no lo hace necesariamente iraní», dice Dmitriy Ayrapetov, vicepresidente de arquitectura de plataformas en SonicWall. «Pero debido a que está tan relacionado con las técnicas y los módulos que utiliza (en comparación) con los dos ataques anteriores que se han atribuido a Irán, podemos, con bastante claridad, decir que esta es una continuación de las campañas de los grupos de piratería iraníes «.

El ataque demuestra tanto las capacidades técnicas del grupo detrás de Dustman como el nivel de acceso que tiene a las redes en el Medio Oriente.

Los atacantes obtuvieron acceso al usar una vulnerabilidad en el computer software de purple privada virtual de la compañía, usaron el servidor de administración de antivirus para distribuir el malware, eliminaron manualmente los datos en los servidores de almacenamiento de la compañía y luego eliminaron los registros de acceso VPN para ocultar sus pistas. Sin embargo, el ataque perdió algunas máquinas en la crimson porque habían estado en modo de suspensión.

«Basado en evidencia analizada y artefactos encontrados en máquinas en la crimson de una víctima que no fueron eliminados por el malware, NCSC evaluó que el actor de la amenaza detrás del ataque tenía algún tipo de urgencia al ejecutar los archivos en la fecha del ataque debido a múltiples OPSEC (seguridad operativa) fallas observadas en la crimson infectada, «NCSC declarado en su análisis.

Los grupos vinculados a Irán, los dos actores principales conocidos como APT33 y APT34, han estado activos durante algún tiempo en el Medio Oriente y contra objetivos de los Estados Unidos. Una vulnerabilidad de 2 años en Microsoft Outlook, por ejemplo, se ha utilizado para atacar a las empresas debido a la complejidad de solucionar el problema correctamente.

El informe de NCSC no mencionó el objetivo, pero tanto los informes de prensa como los análisis de la empresa de seguridad indicaron que la víctima period la compañía petrolera nacional del Reino de Bahrein.

Si bien los grupos de espionaje y piratería iraníes pueden ser mejor conocidos por sus ataques destructivos, los grupos también son muy expertos en el robo de datos y otras operaciones de inteligencia, dice Adam Meyers, vicepresidente de inteligencia de CrowdStrike.

«Dustman es una de las herramientas destructivas (y) disruptivas que asociamos con los actores de amenazas afiliados al gobierno iraní, aunque no lo hemos asociado directamente a ninguno de los grupos que CrowdStrike rastrea en este momento con ningún grado de confianza», dice Meyers, y agregó que «Irán ha desplegado limpiaparabrisas destructivos varias veces a lo largo de los años. Están más involucrados en intrusiones de recolección de inteligencia, pero se sabe que usan limpiaparabrisas».

El informe de NCSC indicó que la infiltración inicial ocurrió en julio de 2019 usando una vulnerabilidad en una aplicación de pink privada digital (VPN). Se ha utilizado una vulnerabilidad crítica en el application VPN de Pulse Secure en varios ataques, más recientemente, supuestamente se usó en la violación del proveedor de servicios de viajes Travelex, pero ninguno de los análisis vinculaba esa vulnerabilidad específica al incidente de Dustman.

El ataque también usó controladores legítimos y firmados con vulnerabilidades conocidas para eludir algunas características de seguridad de Home windows, dice Ayrapetov de SonicWall. Los atacantes primero cargan el controlador, para el software program de máquina digital VirtualBox, y luego explotan el controlador para cargar un controlador diferente no confiable para sobrescribir los datos, SonicWall declaró en su análisis.

«Cargan un controlador firmado antiguo que es susceptible, y luego explotan esa vulnerabilidad y cargan los módulos de un software package legítimo para realizar el ataque de borrado», dice. «Están secuestrando funcionalidades legítimas para eludir algunos de los controles de seguridad de Windows».

El uso de la consola de administración de antivirus también debe ser observado por los equipos de seguridad, dijo Yaron Kassner, director de tecnología de la firma de seguridad cibernética Silverfort, en un comunicado.

«Las cuentas de servicio altamente privilegiadas son un objetivo principal para los piratas informáticos porque una vez comprometidas, pueden ser explotadas para llegar a sistemas sensibles y obtener manage sobre ellos», dijo. «Estas cuentas pueden presentar un riesgo significativo para las redes corporativas. Por lo tanto, es importante monitorear y restringir el acceso de dichas cuentas de servicio».

Contenido relacionado:

Revisa El borde, La nueva sección de Darkish Looking at para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «6 métricas únicas de InfoSec que los CISO deberían rastrear en 2020«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading through, MIT&#39s Technology Evaluate, Common Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia unique