Empresas aeroespaciales y de telecomunicaciones víctimas de la sigilosa campaña iraní de ciberespionaje



Un grupo de amenaza persistente avanzada previamente desconocido probablemente respaldado por el gobierno iraní ha estado llevando a cabo silenciosamente una sofisticada campaña de ciberespionaje contra empresas aeroespaciales y de telecomunicaciones desde al menos 2018.

La campaña se ha dirigido principalmente a empresas de Oriente Medio y, más recientemente, a Estados Unidos, Rusia y Europa. Los investigadores de seguridad de Cybereason que han estado rastreando la campaña la denominaron Operación GhostShell y la atribuyeron a un nuevo grupo de amenazas al que llaman MalKamak. Algunos de los códigos y tácticas de malware del actor de amenazas recién descubiertos sugieren al menos una conexión pasajera con otros grupos de amenazas conocidos respaldados por Irán, como APT39, también conocido como Chafer, y Agrius APT.

En un nuevo informe, el proveedor de seguridad explain la campaña de MalKamak como diseñada para robar información confidencial sobre la infraestructura, la tecnología y otros activos críticos de las organizaciones objetivo. Cybereason dice que hasta ahora ha detectado al menos 10 organizaciones en el sector aeroespacial y de telecomunicaciones que se han visto afectadas.

La razón por la que MalKamak ha podido operar sin ser detectado desde 2018 es la forma discreta y estratégica en la que ha utilizado su arma principal, un troyano de acceso remoto (RAT) llamado ShellClient, dice Assaf Dahan, director senior y jefe de investigación de amenazas en Cybereason. El uso por parte del grupo de técnicas sofisticadas de ofuscación de código y un cambio reciente al uso de Dropbox para comunicaciones de comando y control (C2) también han contribuido a evitar que las actividades de MalKamak sean detectadas antes, dice Dahan.

«Hay muy pocas muestras de ShellClient encontradas en la naturaleza estamos hablando de menos de siete a ocho muestras en tres años de actividad», dice. «Este hecho demuestra cuán cuidadosos fueron los operadores para no quemar su malware [and] cómo lo usaron para atacar organizaciones específicas «. Además, los autores del malware han implementado una función de eliminación que indica a ShellClient que se elimine a sí mismo si sus operadores creen que su operación podría verse comprometida.

«La ofuscación del código y el abandono de su antigua infraestructura de servidor C2 y el cambio a Dropbox como C2 también les ayudó a pasar desapercibidos durante tanto tiempo», dice.

La actividad APT respaldada por el estado nacional fuera de Irán se ha intensificado en los últimos años. Muchas de las campañas comenzaron centrándose en organizaciones y entidades de Oriente Medio o en países de importancia estratégica para el gobierno de Irán. A menudo, al igual que con MalKamak, los grupos APT han terminado apuntando a organizaciones en los EE. UU. Y otros países.

El ciberespionaje ha sido el motivo principal de la actividad de piratería iraní en muchos casos. En septiembre pasado, el gobierno de EE. UU. Acusó a tres ciudadanos iraníes por su presunto papel en una conspiración para, entre otras cosas, robar propiedad intelectual y otros datos confidenciales de empresas estadounidenses de rastreo satelital y aeroespacial. En otras ocasiones, los grupos de amenazas iraníes, como los grupos de otros países, tienen campañas de piratería cibernética de usuarios para diferentes propósitos.

Una de las misiones de APT39, por ejemplo, ha sido vigilar a disidentes y personas de interés para el gobierno iraní, mientras que Agrius APT fue observado este año desplegando malware y ransomware de eliminación de datos en sistemas pertenecientes a organizaciones específicas.

«Los iraníes, al igual que cualquier otra nación con capacidades cibernéticas considerables, pueden participar en una guerra cibernética por una miríada de razones y motivaciones», dice Dahan. «Ha habido informes anteriores sobre ataques de naturaleza más destructiva, mientras que otros ataques parecían centrarse más en el ciberespionaje. [and] ciertos grupos se han involucrado en ambos «.

Evolución continua
MalKamak
ha estado utilizando ShellClient para realizar reconocimientos en redes objetivo y para recopilar información sobre usuarios y hosts infectados. Además, han utilizado el malware para ejecutar comandos arbitrarios, elevar privilegios, descargar herramientas adicionales y malware y robar datos. Por ejemplo, Cybereason dice que observó al actor de amenazas usando ShellClient para descargar la utilidad PAExec y usarla para el movimiento lateral. De manera very similar, los actores de MalKamak han utilizado ShellClient RAT para descargar una herramienta de volcado de credenciales. Lo que hace que ShellClient sea digno de mención es la forma en que sus autores han seguido modificando constantemente el código para que haya evolucionado con el tiempo desde un uncomplicated shell inverso hasta una sofisticada herramienta de espionaje, dice Dahan.

El propio MalKamak ha demostrado ser muy evasivo y ha empleado una serie de medidas de seguridad operativa para permanecer fuera del radar. Cuando Cybereason comparó las tácticas, técnicas y procedimientos del grupo con los utilizados por otros actores de amenazas iraníes, encontró algunas conexiones potencialmente interesantes. Pero las similitudes no han sido lo suficientemente cercanas como para vincular a MalKamak con algún grado de certeza con otras entidades previamente conocidas del país, dice Dahan.

Concluye: «Teníamos claro que estábamos ante un nuevo grupo de actividades».



Enlace a la noticia first