Home Ciberguerra Rusia utilizó la infraestructura de delincuentes iraníes para realizar tareas de espionaje

Rusia utilizó la infraestructura de delincuentes iraníes para realizar tareas de espionaje

Según el Financial Times, una investigación conjunta del Reino Unido y Estados Unidos reveló que el grupo de ciberespionaje Turla, vinculado a Rusia, llevó a cabo varios ataques cibernéticos en más de 35 países, disfrazado de delincuentes iraníes. El uso de operaciones de falsa bandera en el ciberespacio no es una novedad, pero es la primera vez que Turla APT adopta una estrategia similar.

En 2018, las agencias de inteligencia de EE.UU. informaron que la organización rusa patrocinada por el estado utilizó ataques con banderas falsas para atacar los Juegos Olímpicos de Invierno en Pyeongchang, Corea del Sur. En ese momento, los hackers introdujeron líneas de código en su malware asociado con el grupo Lazarus vinculado a Corea del Norte.

Los expertos que participaron en la investigación creen que el grupo Turla secuestró las herramientas de la famosa plataforma petrolífera de la APT, vinculada a Irán, al menos desde 2014. Sus ataques están alineados con los intereses estratégicos de Irán, el grupo lleva a cabo operaciones principalmente en Oriente Medio, dirigidas a los sectores financiero, gubernamental, energético, químico, de telecomunicaciones y otras industrias.

Los múltiples ataques dirigidos a los sectores financiero, energético y gubernamental de Oriente Medio han llevado a FireEye a evaluar que estos sectores son una de las principales preocupaciones de APT34.

“El llamado grupo Turla, que ha sido vinculado a la inteligencia rusa, supuestamente secuestró las herramientas de Oilrig, un grupo ampliamente vinculado al gobierno iraní, según una investigación de dos años realizada por el Centro Nacional de Seguridad Cibernética del Reino Unido en colaboración con la Agencia de Seguridad Nacional de Estados Unidos”, informó el FT.

La investigación de dos años fue realizada por el Centro Nacional de Seguridad Cibernética del Reino Unido en colaboración con la Agencia de Seguridad Nacional de los Estados Unidos.

Los expertos creen que el grupo de ciberespionaje iraní no sabía que sus métodos de piratería informática habían sido pirateados y utilizados por otros actores de la amenaza para atacar establecimientos militares, departamentos gubernamentales y universidades de todo el mundo.

El Gobierno ruso no respondió a una petición de comentarios del Financial Times, y siempre negó su implicación en ataques cibernéticos contra otros Estados.

En junio, los investigadores de Symantec revelaron que el grupo de ciberespionaje Turla, vinculado a Rusia, utilizó un nuevo conjunto de herramientas y secuestró la infraestructura de mando y control operada por Iran-Linked OilRig APT.

Los expertos de Symantec observaron en los últimos dieciocho meses al menos tres campañas distintas, cada una de las cuales utilizaba un conjunto diferente de herramientas de piratería informática. En una campaña los atacantes utilizaron un rastreador de puerta trasera que no se había visto antes como Neptun (Backdoor.Whisperer), el código malicioso se despliega en los servidores de Microsoft Exchange y escuchan pasivamente los comandos de los atacantes.
Los expertos observaron que en un ataque, los hackers de Turla utilizaron la infraestructura perteneciente a otro grupo de espionaje rastreado como Crambus (alias OilRig, APT34).

Las tres campañas recientes de Turla se dirigieron a gobiernos y organizaciones internacionales de todo el mundo.

Desafortunadamente, Turla y otros grupos sofisticados de APT tienen la capacidad cibernética de secuestrar a otros grupos patrocinados por el Estado, lo que hace imposible la atribución de los ataques.

Traducción realizada con el traductor www.DeepL.com/Translator

Con información de: Exhaustiva.