Los piratas informáticos iraníes han estado pirateando servidores VPN para plantar puertas traseras en empresas de todo el mundo


vpn-access.png

Imagen: ClearSky

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

2019 será recordado como el año en que se revelaron errores importantes de seguridad en una gran cantidad de servidores VPN empresariales, como los vendidos por Pulse Secure, Palo Alto Networks, Fortinet y Citrix.

Un nuevo informe publicado hoy revela que las unidades de piratería respaldadas por el gobierno de Irán han tenido una prioridad máxima el año pasado para explotar los errores de VPN tan pronto como se hicieron públicos para infiltrarse y plantar puertas traseras en empresas de todo el mundo.

Según un informe de la firma israelí de ciberseguridad ClearSky, los piratas informáticos iraníes han apuntado a empresas "de los sectores de TI, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad".

Algunos ataques ocurrieron horas después de la divulgación pública

El informe llega a disipar la noción de que los piratas informáticos iraníes no son sofisticados y tienen menos talento que sus homólogos rusos, chinos o norcoreanos.

ClearSky dice que "los grupos APT iraníes han desarrollado buenas capacidades ofensivas técnicas y pueden explotar vulnerabilidades de 1 día en períodos de tiempo relativamente cortos".

En algunos casos, ClearSky dice que observó grupos iraníes explotando fallas de VPN dentro de las horas posteriores a la divulgación pública de los errores.

* ATP significa amenaza persistente avanzada y es un término que se usa a menudo para describir unidades de piratería de estado-nación

ClearSky dice que en 2019, los grupos iraníes rápidamente armaron las vulnerabilidades reveladas en la VPN Secure Connect de Connect (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) y Palo Alto Networks "Global Protect" VPN (CVE-2019-1579).

Los ataques contra estos sistemas comenzaron el verano pasado, cuando los detalles sobre los errores se hicieron públicos, pero también continuaron en 2020.

Además, a medida que los detalles sobre otras fallas de VPN se hicieron públicos, los grupos iraníes también incluyeron estas vulnerabilidades en sus ataques (a saber, CVE-2019-19781, una vulnerabilidad revelada en las VPN Citrix "ADC").

Hackear objetivos corporativos para plantar puertas traseras

Según el informe de ClearSky, el propósito de estos ataques es romper las redes empresariales, moverse lateralmente a través de sus sistemas internos y plantar puertas traseras para explotar en una fecha posterior.

Mientras que la primera etapa (violación) de sus ataques apuntó a las VPN, la segunda fase (movimiento lateral) involucró una colección integral de herramientas y técnicas, que muestran cuán avanzadas se han vuelto estas unidades de piratería iraníes en los últimos años.

Por ejemplo, los piratas informáticos abusaron de una técnica conocida desde hace mucho tiempo para obtener derechos de administrador en los sistemas Windows a través de la herramienta de accesibilidad "Sticky Keys" (1, 2, 3, 4 4)

También explotaron herramientas de piratería de código abierto como JuicyPotato y Invocar el hachís, pero también utilizaron software legítimo de administrador de sistemas como Putty, Plink, Ngrok, Serveo o FRP.

Además, en el caso de que los piratas informáticos no encontraran herramientas de código abierto o utilidades locales para ayudar en sus ataques, también tenían el conocimiento para desarrollar malware personalizado. ClearSky dice que encontró herramientas como:

  • STSRCheck: bases de datos de desarrollo propio y herramienta de mapeo de puertos abiertos.
  • POWSSHNET: malware de puerta trasera de desarrollo propio para túneles RDP sobre SSH.
  • VBScripts personalizados: scripts para descargar archivos TXT del servidor de comando y control (C2 o C&C) y unificar estos archivos en un archivo ejecutable portátil.
  • Puerta trasera basada en sockets sobre cs.exe: un archivo EXE utilizado para abrir una conexión basada en sockets a una dirección IP codificada.
  • Port.exe: herramienta para escanear puertos predefinidos en busca de una dirección IP.
stsrcheck.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/02/16/11a3f368-c6fe-4757-bb59-ed6fada8fe69/stsrcheck.png

Imagen: ClearSky

powsshnet.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/02/16/ad09bcea-9ac8-4235-b907-df9a50c46fca/powsshnet.png

Imagen: ClearSky

Múltiples grupos actuando como uno

Otra revelación del informe ClearSky es que los grupos iraníes también parecen estar colaborando y actuando como uno solo, algo que no se ha visto en el pasado.

Los informes anteriores sobre las actividades de piratería iraníes detallaban diferentes grupos de actividad, generalmente el trabajo de un grupo singular.

El informe de ClearSky destaca que los ataques contra servidores VPN en todo el mundo parecen ser obra de al menos tres grupos iraníes: APT33 (Elfin, Shamoon), APT34 (Oilrig) y APT39 (Chafer).

El tratamiento de los ataques de borrado de datos

Actualmente, el propósito de estos ataques parece realizar reconocimiento y puertas traseras de planta para operaciones de vigilancia.

Sin embargo, ClearSky teme que el acceso a todas estas redes empresariales infectadas también pueda ser armado en el futuro para desplegar malware de borrado de datos que pueda sabotear compañías y eliminar redes y operaciones comerciales.

Tales escenarios son posibles y muy plausibles. Desde septiembre de 2019, se descubrieron dos nuevas cepas de malware que borran datos (ZeroCleare y Dustman) y se vincularon con los piratas informáticos iraníes.

Además, ClearSky tampoco descarta que los piratas informáticos iraníes puedan explotar el acceso a estas empresas violadas por ataques a la cadena de suministro contra sus clientes.

Esta teoría está respaldada por el hecho de que a principios de este mes, el FBI envió una alerta de seguridad al sector privado de EE. UU. Advirtiendo sobre los ataques en curso contra las empresas de la cadena de suministro de software ", incluidas las entidades que apoyan los Sistemas de Control Industrial (ICS) para la generación y transmisión de energía a nivel mundial. y distribución ". El ICS y el sector energético han sido un objetivo tradicional para los grupos de piratería iraníes en el pasado.

La misma alerta del FBI observó vínculos entre el malware implementado en estos ataques y el código utilizado anteriormente por el grupo APT33 de Irán, lo que sugiere fuertemente que los piratas informáticos iraníes podrían estar detrás de estos ataques.

Además, el ataque contra Bapco, la compañía petrolera nacional de Bahrein, utilizó la misma táctica de "violación de VPN -> movimiento lateral" que ClearSky describió en su informe.

ClearSky ahora advierte que después de meses de ataques, las compañías que finalmente han parcheado sus servidores VPN también deberían escanear sus redes internas en busca de signos de compromiso.

los Informe ClearSky incluye indicadores de compromiso (IOC) que los equipos de seguridad pueden usar para escanear registros y sistemas internos en busca de signos de intrusión por parte de un grupo iraní.

Sin embargo, las mismas fallas también han sido explotadas por hackers chinos y múltiples ransomware y grupos de criptominería.

Nuevos defectos de VPN

Además, teniendo en cuenta las conclusiones del informe ClearSky, también podemos esperar que los piratas informáticos iraníes también aprovechen la oportunidad de explotar nuevas fallas de VPN una vez que se hagan públicas.

Esto significa que podemos esperar que los piratas informáticos iraníes probablemente apunten a los servidores SonicWall SRA y SMA VPN en el futuro después de que a principios de esta semana los investigadores de seguridad tengan detalles publicados sobre seis vulnerabilidades que afectan estos dos productos.



Enlace a la noticia original