Los expertos en seguridad de FireEye, descubrieron una campaña de secuestro de DNS dirigida a agencias gubernamentales, ISPs y otros proveedores de telecomunicaciones, entidades de infraestructura de Internet y organizaciones comerciales sensibles en Oriente Medio, Norte de África, Norte de América y Europa. Según los expertos, la campaña es llevada a cabo, con “confianza moderada”, por grupos de la APT vinculados al gobierno iraní.
“Los equipos de Inteligencia y Respuesta a Incidentes de Mandiant de FireEye han identificado una ola de secuestros de DNS que ha afectado a docenas de dominios pertenecientes a entidades gubernamentales, de telecomunicaciones e infraestructura de Internet en todo Oriente Medio y el norte de África, Europa y América del Norte”, señala el informe publicado por FireEye. “Aunque actualmente no vinculamos esta actividad a ningún grupo de seguimiento, la investigación inicial sugiere que el actor o los actores responsables tienen un nexo con Irán“.
Trabajando con las víctimas, la empresa de seguridad recopiló pruebas que vinculan la campaña con Irán, las tácticas, técnicas y procedimientos (TTPs) y el interés están alineados con los grupos iraníes de la APT. También hemos trabajado en estrecha colaboración con las víctimas, las organizaciones de seguridad y los organismos encargados de hacer cumplir la ley, siempre que ha sido posible, para reducir el impacto de los ataques y/o evitar nuevos compromisos.
Los investigadores de FireEye rastrearon el acceso desde las IP iraníes a las máquinas utilizadas para interceptar, registrar y reenviar el tráfico de la red. Los mismos PI estaban anteriormente asociados con ataques cibernéticos llevados a cabo por ciberespacios iraníes.
Los atacantes no están motivados económicamente, y se dirigieron a varios gobiernos de Oriente Medio cuyos datos serían de interés para Irán.
