La semana no buena, muy mala para el Estado-nación de Irán …



Una mirada al estado de las operaciones cibernéticas de Irán mientras Estados Unidos lo aprieta con un montón de acusaciones y sanciones.

El gobierno de Estados Unidos golpeó duramente a la máquina de piratería del estado de Irán a principios de este mes: en un período de 72 horas, reveló tres acusaciones separadas de siete personas con sede en Irán con un overall de 22 cargos. También emitió sanciones económicas contra una empresa de tecnología de fachada del Ministerio de Inteligencia y Seguridad de Irán (MOIS) y un equipo de piratería del estado-nación iraní de unas 45 personas.

Todo fue parte de un esfuerzo coordinado de interrupción y disuasión del gobierno de los EE. UU. Contra el MOIS de Irán, el Cuerpo de la Guardia Revolucionaria Islámica (IGRC) y otras personas en el país que han estado apuntando a víctimas en los EE. UU. Y otros lugares.

Terry Wade, subdirector ejecutivo de la Rama Legal, Cibernética, de Respuesta y de Servicios del FBI, lo describió como un esfuerzo por «imponer consecuencias» a los piratas informáticos iraníes.

«Ningún actor cibernético debería pensar que puede comprometer las redes estadounidenses, robar nuestra propiedad intelectual o poner en riesgo nuestra infraestructura crítica sin incurrir en riesgos», dijo en una declaración después de que se dictaran las acusaciones y las sanciones esa semana.

Las múltiples presentaciones presentadas por los federales la semana del 14 de septiembre que desenmascararon a algunos de los principales actores y grupos de ciberespionaje de Irán también se produjeron en medio de una advertencia conjunta del 15 de septiembre del FBI y el Departamento de Seguridad Nacional de los EE. UU. Sobre ciberataques desde Irán contra agencias federales de EE. UU. y otras organizaciones.

Nombrar y avergonzar por parte de las fuerzas del orden de Estados Unidos a sospechosos de países que no tienen acuerdos de extradición con Estados Unidos, como Irán, así como China y Rusia, puede parecer mayormente simbólico, pero los legisladores sostienen que le da a Estados Unidos cierta influencia en la formulación de políticas, así como una forma atrapar a un sospechoso que se atreva a viajar a una nación amiga de los Estados Unidos. Los federales han estado utilizando cada vez más esta herramienta para presionar a los adversarios de los estados nacionales como Irán para que reduzcan sus campañas de ciberespionaje y ciberdelincuencia.

Tom Bossert, exasesor de Seguridad Nacional de EE. UU. En la Casa Blanca durante la presidencia de Donald Trump y coautor de la Estrategia Nacional de Seguridad Nacional 2007, dice que las acusaciones y sanciones son parte de una estrategia de respuesta más amplia en cibernética. La atribución pública de los actores de amenazas cibernéticas fue política durante su mandato en la administración Trump.

«(Las acusaciones y sanciones) no modifican las elecciones de comportamiento de los líderes en Irán, Rusia y China, al menos no están solos. Pero son partes importantes de una respuesta estratégica más amplia. Entre otras cosas, les permite saber qué sabemos y, en algunos casos, les hace temer que sepamos más «, dice Bossert, quien es presidente de Trinity Cyber, una startup de servicios de prevención de amenazas cofundada por el ex subdirector del Centro de Operaciones de Amenazas de la Agencia de Seguridad Nacional. «Empieza a hacerles temer a los fantasmas en cada esquina y empieza a hacer que redoblen sus esfuerzos en secreto. Puede retrasar … su ciclo de operaciones».

Bossert, quien sirvió a la administración Trump desde su inicio en 2017 hasta abril de 2018, dice que estos esfuerzos pueden ayudar con las investigaciones en curso.

«Es útil, disruptivo y, a menudo, puede ayudarnos con algunas de las cosas que no incluimos en esos informes», dice Bossert. «Si les hace pensar por un momento, entonces es efectivo».

¿Irán contraatacará?
Es demasiado pronto para determinar si la reciente oleada de acusaciones y sanciones interrumpirá las campañas de ciberataque existentes o planificadas por parte de Irán, o desencadenará cualquier piratería destructiva de represalia. Bossert dice que es posible que Irán pueda contraatacar de manera más agresiva contra Estados Unidos, especialmente si Trump gana las elecciones presidenciales de 2020 nuevamente, continúan las posiciones estrictas actuales contra Irán, pero es difícil de discernir.

Curiosamente, si bien las operaciones cibernéticas de Irán han madurado a lo largo de los años y se han expandido más ampliamente en el espionaje cibernético, su modus operandi de piratería en su mayor parte no ha cambiado drásticamente, según los expertos en inteligencia de amenazas. Los actores del estado-nación iraníes rara vez alteran sus patrones y métodos de ataque, señala Sarah Jones, analista senior de inteligencia de amenazas de Mandiant.

«Se apegan a lo que les funciona», dice Jones, que se especializa en la actividad cibernética iraní. «Muchos de los TTP (tácticas, técnicas y procedimientos) iraníes tienden a ser reutilizados (por sus diversos grupos)», dice. «En realidad, no hay mucha sofisticación técnica, pero es muy difícil para los defensores de la pink detectarla y responder a ella».

Jones dice que un grupo iraní al que sigue, más conocido por su apodo de Charming Kitten, apunta a las cuentas de correo electrónico personales de sus víctimas como una forma de ingresar a las redes de sus organizaciones objetivo.

«Es difícil para un defensor de la purple protegerse contra esto», dice, especialmente cuando los usuarios tienen sus cuentas personales en un dispositivo móvil y no están conectados a las redes de sus empresas cuando usan sus cuentas de correo electrónico personales. Una vez que el atacante está en la cuenta de correo electrónico privada de la víctima, el atacante tiene acceso a todos los demás contactos de la víctima, señala, lo que proporciona información valiosa para otros objetivos.

Allison Wikoff, analista de amenazas cibernéticas estratégicas de IBM X-Drive y experta en operaciones iraníes, explain la actividad de piratería de Irán de manera similar: es «el negocio como siempre», dice. Hasta la fecha, su equipo no ha presenciado ningún aumento o disminución en la actividad typical de operaciones cibernéticas de Irán.

«Yo diría que las tácticas, el malware y las técnicas funcionan» para Irán, por lo que no hay motivación para que cambien de rumbo, dice Wikoff. Gatito encantador, conocido como ITG18 por IBM, «es un testimonio de apegarse a lo que funciona».

Los piratas informáticos iraníes tampoco suelen desarrollar sus propias hazañas.

«Esperan a que salgan al mercado … y cambian algunas cosas allí y las implementan ellos mismos», dice Vikram Thakur, director técnico de respuesta de seguridad en Symantec de Broadcom.

Si bien las herramientas de piratería de Irán no han cambiado realmente, la forma en que se emplean ha evolucionado. Y la forma en que los piratas informáticos conducen y ejecutan sus operaciones se ha vuelto más sofisticada, dice Adam Meyers, vicepresidente de inteligencia de CrowdStrike.

«Los hemos visto aprender de cómo lo ha hecho Rusia y cómo lo ha hecho China, y han aprendido muchas lecciones en Siria» de los piratas informáticos de los estados nacionales rusos, dice. «Han mejorado la forma en que usan (los ciberataques)».

Meyers cree que las filtraciones de cibernoles iraníes sensibles y la manipulación de piratas informáticos iraníes por parte del llamado Lab Dookhtegan y otros el año pasado pueden haber ayudado a solidificar la ola de acusaciones dictadas por Estados Unidos este mes. «Es consistente con la estrategia de máxima presión sobre Irán», señala.

Mientras tanto, los investigadores de VMware han visto a Irán, así como a Corea del Norte, emplear tácticas de evasión similares a las que usan los piratas informáticos de los estados nacionales rusos.

«Están utilizando muchas técnicas para contrarrestar IR (respuesta a incidentes) y evasión que Rusia ha utilizado con éxito en el pasado», dice Tom Kellermann, jefe de estrategia de ciberseguridad en VMware y miembro del Servicio Secreto de EE. UU. Junta Asesora de Investigaciones. «Están bloqueando los eventos para que no afecten al SIEM, deshabilitando Home windows AMSI (interfaz de exploración antimalware) e implementando ransomware como DDoS».

Hackers desenmascarados del Estado-nación
En la primera de las tres acusaciones del Departamento de Justicia, que se dio a conocer el 15 de septiembre, Behzad Mohammadzadeh, también conocido como Mrb3hz4d, y el palestino Marwan Abusrour, también conocido como Mrwn007, fueron acusados ​​de piratear y desfigurar sitios world-wide-web alojados en Estados Unidos por tres cargos. Sus supuestos actos, que se creía que eran una aparente represalia por el ataque aéreo estadounidense del 2 de enero de 2020 que mató al funcionario de IGRC Qasem Soleimani, fueron parte de una campaña de desfiguración más grande de unos 1.400 sitios world wide web en todo el mundo.

El 16 de septiembre, el Departamento de Justicia reveló una acusación formal de 10 cargos que acusaba a los ciudadanos iraníes Hooman Heidarian, también conocido como neo, y Medhi Farhadi, también conocido como Mehdi Mahdavi, por supuestamente robar cientos de terabytes de datos de objetivos en los EE. UU., Europa y Medio Oriente. incluyendo información confidencial de seguridad nacional, inteligencia, aeroespacial, investigación científica y activistas humanos. Los acusados ​​también monetizaron algunos de los datos, que incluían información financiera sobre sus víctimas, vendiéndolos en el ciberespacio.

La tercera acusación formal, el 17 de septiembre, acusó a tres ciudadanos iraníes de nueve cargos de piratería y ataques contra organizaciones en las industrias de tecnología aeroespacial y satelital desde junio de 2015 hasta febrero de 2019. Reported Pourkarim Arabi, 34, Mohammad Reza Espargham, 25, y Mohammad Bayati, de 34 años, fue acusado de robo de identidad y piratería para el IGRC. Según la acusación formal, los hombres se hicieron pasar por empleados de la industria aeroespacial y satelital en los EE. UU. A través de identidades en línea robadas para enviar correos electrónicos de phishing y lanzar malware en sistemas específicos.

Los hacks fueron dirigidos por IGRC, del cual Arabi es miembro.

El Departamento del Tesoro de los EE. UU. Emitió sanciones contra el equipo de piratería APT39 de Irán (también conocido como Chafer e ITG07), así como contra otros 45 asociados y una empresa fachada conocida como Rana Intelligence Computing Organization el 17 de septiembre. El equipo de piratería bajo el disfraz de Rana libró ciberataques sobre disidentes iraníes, periodistas y empresas de servicios de viajes con sede en Estados Unidos.

Contratistas como cubierta
Las acusaciones y sanciones arrojan más luz sobre las líneas borrosas entre los piratas informáticos estatales y los ciberdelincuentes en Irán.

«Creo que es una forma de hacer negocios en ciberseguridad», dice Paul Kurtz, cofundador y presidente del proveedor de plataforma de gestión de inteligencia de seguridad TruStar. Kurtz trabajó para los presidentes Invoice Clinton y George W. Bush en ciberseguridad e infraestructura crítica.

Rusia es famosa por su práctica de contratar ciberdelincuentes para que hagan su piratería de estado-nación y mirar hacia otro lado cuando llevan a cabo piratería no estatal. Es una forma relativamente económica para que naciones como Rusia e Irán aprovechen el talento tecnológico en casa.

«Entonces, si eres una persona joven y tienes habilidades cibernéticas … es una excelente manera de poner comida en la mesa. (No estoy) excusando su comportamiento en absoluto», dice, pero algunos iraníes luchan por encontrar trabajos la mala economía allí. «A menudo extrañamos eso».

También proporciona cobertura a los gobiernos. «Siempre pueden decir que estos (individuos) no son parte» del gobierno, dice Thakur de Broadcom.

(Vea a Paul Kurtz hablar la próxima semana en el Curso intensivo de ciberseguridad en Interop Digital en Cómo saber cuándo se ha visto comprometido)

Kelly Jackson Higgins es la editora ejecutiva de Dim Looking at. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Protected Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic