fbpx

La empresa Cybereason descubre el origen de un ciberataque patrocinado por Irán

La empresa ha descubierto la identidad del hacker iraní que está detrás de los ataques a empresas de Europa, EE.UU., Rusia y Oriente Medio.

Que Irán no es una democracia, a nadie se le escapa. Y que es uno de los principales países promotores del terrorismo internacional y un régimen opresor para con su pueblo, tampoco. Pero lo que no sabíamos es que contaba con expertos informáticos capaces de lanzar ataques a grandes empresas de toda Europa, Estados unidos, Oriente Medio y Rusia.

La verdad, descubierta por la multancional estadounidense Cybereason, pone en el disparedero nuevamente al régimen de Teherán. En su último informe de seguridad, Cybereason desenmascara una operación de ciberespionaje altamente dirigida a multinacionales del sector aeroespacial y de  telecomunicaciones.

El informe identifica como autor de los ataques a un actor iraní recientemente descubierto, apodado MalKamak, que ha estado operando desde al menos 2018 y hasta hoy era desconocido.

La campaña de ciberespionaje, aún activa, aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ShellClient, que evade las herramientas antivirus y otros dispositivos de seguridad y ataca los servicios de nube pública de Dropbox para lograr el comando y control (C2).

La investigación revela posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT. Este informe llega tras la publicación en agosto del estudio DeadRinger de Cybereason, que descubrió de forma similar múltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones.

Mediante el uso del troyano ShellClient, el actor de la amenaza también desplegó herramientas de ataque adicionales para realizar varias actividades de espionaje en las redes objetivo, incluyendo reconocimiento, movimiento lateral en el entorno y la recolección y extracción de datos sensibles. Se considera que la operación GhostShell está dirigida por un agente de amenazas patrocinado por el Estado de Irán, o una amenaza persistente avanzada (APT).

“La Operación GhostShell ha revelado un complejo ataque troyano de acceso remoto (RAT) capaz de evitar la detección manteniéndose oculto desde el año 2018, y DeadRinger descubrió una amenaza similar que operaba en silencio desde 2017, lo que nos dice mucho sobre cómo los atacantes avanzados están derrotando continuamente las soluciones de seguridad», ha señalado el CEO y cofundador de Cybereason, Lior Div.

«La superposición de herramientas para producir aún más alertas que abruman a los defensores no nos está ayudando a detener los ataques sofisticados, por lo que Cybereason adopta un enfoque centrado en la operación que detecta los ataques en base a cadenas de comportamiento muy sutiles donde las propias acciones del adversario trabajan en su contra para revelar el ataque en las primeras etapas», concluye.