Las agencias de ciberseguridad de Estados Unidos e Israel han emitido un nuevo aviso que atribuye a un grupo cibernético iraní tener como objetivo los Juegos Olímpicos de Verano de 2024 y comprometer a un proveedor francés de señalización digital comercial para mostrar mensajes denunciando la participación de Israel en el evento deportivo.
La actividad se atribuyó a una entidad conocida como Emennet Pasargad, que según las agencias ha estado operando bajo el nombre de Aria Sepehr Ayandehsazan (ASA) desde mediados de 2024. Le sigue la comunidad de ciberseguridad más amplia, como Cotton Sandstorm, Haywire Kitten y Marnanbridge.
“El grupo demostró nueva experiencia en sus esfuerzos por llevar a cabo operaciones de información cibernética hasta mediados de 2024 utilizando una gran cantidad de personajes de portada, incluidas múltiples operaciones cibernéticas que tuvieron lugar durante los Juegos Olímpicos de Verano de 2024 y que tenían como objetivo, incluido el compromiso de un proveedor francés de señalización digital comercial. ”, según el. consultivo.
La ASA, la Oficina Federal de Investigaciones (FBI), el Departamento del Tesoro y la Dirección Cibernética Nacional de Israel dijeron que también robaron contenido de cámaras IP y utilizaron software de inteligencia artificial (IA) como Remini AI Photo Enhancer, Voicemod y Murf AI para modulación de voz y Appy Pie para generación de imágenes para transmisión de propaganda.
Evaluado como parte del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), el actor de amenazas es conocido por sus operaciones de ciberseguridad e influencia bajo los nombres Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus y Market. de Datos. , entre otros.
Una táctica observada recientemente implica el uso de revendedores de hosting ficticios para proporcionar infraestructura de servidores operativos para sus propios fines, así como un actor en el Líbano para alojar sitios web afiliados a Hamas (por ejemplo, Alqassam[.]PD).
“Desde aproximadamente mediados de 2023, ASA ha utilizado múltiples proveedores de alojamiento de cobertura para la gestión y ofuscación de la infraestructura”, dijeron las agencias. “Estos dos proveedores son ‘Server-Speed’ (velocidad del servidor[.]com) y ‘VPS-Agent’ (vps-agent[.]neto).”
“ASA estableció sus propios revendedores y compró espacio de servidores a proveedores con sede en Europa, incluidos BAcloud, con sede en Lituania, y Stark Industries Solutions/PQ Hosting (ubicados en el Reino Unido y Moldavia, respectivamente). Luego, ASA opera estos vendedores de cobertura para proporcionar servidores operativos a sus propios ciberactores por actividades cibernéticas maliciosas.
El ataque contra el proveedor francés de pantallas comerciales anónimas tuvo lugar en julio de 2024 utilizando la infraestructura de un agente VPS. Intentó publicar montajes fotográficos criticando la participación de atletas israelíes en los Juegos Olímpicos y Paralímpicos de 2024.
Además, ASA supuestamente intentó contactar a familiares de rehenes israelíes después de la guerra entre Israel y Hamás a principios de octubre de 2023 bajo el nombre Contact-HSTG y enviar mensajes que podrían “causar estrés psicológico adicional e infligir un trauma adicional”.
El actor de amenazas también ha sido vinculado a otra persona conocida como Cyber Court, quien promovió las actividades de varios grupos hacktivistas encubiertos dirigidos por él mismo en un canal de Telegram y un sitio web dedicado creado para este propósito (“cybercourt[.]io”).
Ambos dominios, vps-agent[.]red y cibercancha[.]io, fueron incautados luego de una operación policial conjunta dirigida por la Fiscalía Federal para el Distrito Sur de Nueva York (SDNY) y el FBI.
Eso no es todo. Después del estallido de la guerra, la ASA supuestamente continuó sus esfuerzos para enumerar y obtener el contenido de las cámaras IP en Israel, Gaza e Irán, así como para recopilar información sobre pilotos de combate y operadores de vehículos aéreos no tripulados (UAV) israelíes. sitios como Knowem.com, facecheck.id, socialcatfish.com, ancestry.com y familysearch.org.
El desarrollo se produce cuando el Departamento de Estado de EE. UU. anunció una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación o ubicación de personas asociadas con un grupo de piratería asociado al IRGC apodado Shahid Hemmat, por atacar infraestructura crítica estadounidense.
“Shahid Hemmat ha sido vinculado con actores cibernéticos maliciosos que apuntan a la industria de defensa estadounidense y a los sectores del transporte internacional”, dice. dicho.
“Como parte del IRGC-CEC [Cyber-Electronic Command]Shahid Hemmat está conectado con otras personas y organizaciones asociadas con el IRGC-CEC, entre ellas: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab y la empresa pantalla Emennet Pasargad, Dadeh Afzar Arman (DAA) y Mehrsam Andisheh Saz Nik (MASN). “