Un grupo iraní de operaciones cibernéticas, Emennet Pasargad –también conocido como Cotton Sandstorm– ha ampliado sus ataques, extendiendo sus objetivos más allá de Israel y Estados Unidos y apuntando a nuevos activos cibernéticos, como las cámaras IP.
En un aviso emitido la semana pasada, los Departamentos de Justicia y del Tesoro de Estados Unidos, así como la Dirección Nacional Cibernética de Israel (INCD), denunciaron el cambio de táctica y señalaron que el grupo había proporcionado recursos y servicios de seguridad a Medio Oriente. grupos de amenazas al operar Aria Sepehr Ayandehsazan (ASA) como un negocio legítimo. Además, desde principios de año, Emennet Pasargad ha buscado cámaras IP, ha apuntado a organizaciones en Francia y Suecia y ha investigado activamente varios sitios y sistemas electorales, según el aviso del gobierno.
“Al igual que la campaña de Emennet que tuvo como objetivo las elecciones presidenciales estadounidenses de 2020, el FBI cree que las campañas recientes del grupo incluyen una combinación de actividades de intrusión informática y afirmaciones exageradas o ficticias de acceso a las redes de las víctimas o a datos robados para reforzar los efectos psicológicos de sus operaciones. el aviso indicado.
Los últimos datos de inteligencia destacan la creciente dependencia de Irán de las operaciones cibernéticas como medio para atacar a sus supuestos enemigos. En 2020 y 2022, Emennet Pasargad lanzó campañas de desinformación dirigidas a las elecciones presidenciales de Estados Unidos y elecciones intermediashaciéndose pasar por voluntarios de Proud Boys y enviando videos falsos a legisladores republicanos. El Departamento de Justicia de EE.UU. acusó a dos ciudadanos iraníes por los crímenesasí como para enviar amenazas por correo electrónico e intentar piratear sitios web electorales.
Durante el año pasado, Irán ha intensificado sus intentos de utilizar ataques cibernéticos para perturbar a sus enemigos utilizando tácticas más audaces, dice John Fokker, jefe de inteligencia de amenazas de Trellix, una empresa de detección y respuesta a amenazas.
“Desde octubre de 2023, cuando comenzó la crisis palestino-israelí, los piratas informáticos iraníes han intensificado sus actividades contra Estados Unidos e Israel, apuntando a sectores críticos como el gobierno, la energía y las finanzas”, dice. “Hemos observado a actores vinculados a Irán perturbando organizaciones al robar datos confidenciales, realizar ataques de denegación de servicio y desplegar malware destructivo como ransomware o cepas de borrado, como el limpiaparabrisas Handala“.
Los ciberatacantes iraníes amplían su campo de visión
Emennet Pasargad a menudo opera haciéndose pasar por una empresa legítima de servicios de TI, ASA, como fachada para acceder a servicios de Large Language Model (LLM) y escanear y recopilar datos en cámaras IP. El grupo “utilizó múltiples proveedores de alojamiento de cobertura para la gestión y la ofuscación de la infraestructura”, añadió el Asesor Conjunto de Ciberseguridad.
Usar una organización encubierta para ocultar operaciones y hacerlas parecer legítimas es un enfoque común para los actores de amenazas iraníes, dice Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, un proveedor de plataformas de simulación de violaciones y ataques de seguridad que tiene oficinas en Tel Aviv. Por ejemplo, Charming Kitten, o APT35, llevó a cabo reconocimientos y ataques al amparo de dos empresas, Najee Technology y Afkar System, que estaban sancionado por el Departamento del Tesoro de EE.UU. en 2022.
“El uso de una empresa fachada no es nuevo, e Irán la ha utilizado tanto con fines de espionaje como de diversión”, dice Bar.
También brinda a los grupos la posibilidad de utilizar servicios comerciales como parte de su infraestructura y ocultar sus actividades (por un tiempo), dice Fokker de Trellix.
“Los actores malintencionados deben adquirir recursos, software y alojamiento para sus actividades ilícitas”, explica. “Tener una empresa fachada ‘legítima’ facilitará la adquisición de estos servicios y puede servir como apoyo adicional para ofrecer una negación plausible”.
Los gobiernos y las empresas deberían hacer un balance
Las tácticas en evolución resaltan que las organizaciones deben ajustar continuamente sus defensas para repeler los grupos de amenazas. Las empresas y las agencias gubernamentales solo deben comprar tecnología y software de proveedores confiables y deben asegurarse de que esos proveedores tengan sus propios procesos de validación de la cadena de suministro y corrección de vulnerabilidades.
El Asesor Conjunto de Ciberseguridad pidió a las organizaciones que revisen cualquier autenticación exitosa en la red o servicios en la nube desde servicios de redes privadas virtuales, como Private Internet Access, ExpressVPN y NordVPN. Además de aplicar actualizaciones periódicamente y crear un proceso de respaldo resistente, las empresas deberían considerar implementar una “zona desmilitarizada” (DMZ) entre todos los activos conectados a Internet y la red corporativa, validar las entradas de los usuarios e implementar políticas de privilegios mínimos en sus redes y aplicaciones.
SafeBreach se encontró con atacantes que escanean regularmente LinkedIn en busca de trabajadores que actualicen su perfil con un nuevo puesto, enviando un mensaje de texto o correo electrónico de phishing como administrador de la empresa pidiéndoles que inicien sesión en un sistema empresarial. Luego, los atacantes capturan las credenciales de la víctima a través de un enlace malicioso.
Fokker de Trellix también enfatizó que las empresas deberían centrarse en sus dispositivos conectados, parchear cámaras y otro hardware, utilizar la segmentación de red para protegerlos y escanear periódicamente su propio espacio IP, antes de que un atacante no lo haga.
“Cada vez más gobiernos están considerando el escaneo proactivo de los espacios IP y la notificación a las organizaciones nacionales como una capa adicional a los requisitos más estrictos de los fabricantes”, afirma. “En primer lugar, esto debería ser responsabilidad de la propia organización. Sin embargo, sería útil que el gobierno ayudara en este proceso y alertara a las organizaciones que no lo saben sobre sus cámaras vulnerables”.