Home Ciberguerra APT33 utilizó botnets para infectar objetivos en EE.UU. y Oriente Medio

APT33 utilizó botnets para infectar objetivos en EE.UU. y Oriente Medio

Un grupo de piratas informáticos, vinculado al gobierno iraní, ha estado utilizando en el último año pequeños grupos de computadoras secuestradas para infectar un puñado de objetivos que incluyen una empresa de seguridad nacional de EE.UU. y una universidad.

La organización iraní, apodada APT33, está utilizando las botnets -grupos de ordenadores requisados por los atacantes- en “campañas de malware extremadamente dirigidas contra organizaciones de Oriente Medio, Estados Unidos y Asia”, dijo la compañía de ciberseguridad Trend Micro.

Las redes de bots suelen estar compuestas por un gran número de máquinas. Pero en este caso, los ciberdelincuentes iraníes están usando sólo una docena de ordenadores por botnet para entregar su malware y obtener acceso de persistencia en una red, según los investigadores.

Los criminales, también establecieron su propia red privada virtual con “nodos de salida” que cambian con frecuencia, dijo Trend Micro. Los investigadores dicen que han estado rastreando esos nodos VPN durante más de un año, pero es probable que el grupo los haya usado durante más tiempo.

APT33 está empleando algunas de esas direcciones IP para hacer “un reconocimiento en la red de una compañía de exploración petrolera y hospitales militares en el Medio Oriente, así como de una compañía petrolera en Estados Unidos”, escribieron los investigadores en un blog.

APT33 es uno de los múltiples grupos de hacking bien dotados de recursos que, según los investigadores, trabajan a favor de los intereses de Irán. La APT33 ha perseguido enérgicamente objetivos en Arabia Saudí y en “varias empresas de Fortune 500” en los EE.UU., dijo en marzo la empresa de ciberseguridad Symantec.

Los últimos descubrimientos sobre la APT33, también conocida como Elfin, arrojan nueva luz sobre la infraestructura del grupo y la forma en que la utiliza.

Los piratas informáticos están utilizando su red VPN para acceder a los sitios web de las empresas de pruebas de penetración y a los sitios relacionados con las criptocurrencias, según Trend Micro. “APT33 también tiene un claro interés en sitios web que se especializan en la contratación de empleados en la industria del petróleo y el gas”, escribieron.

El grupo ha estado dispuesto a hacerse cargo de la infraestructura de alto perfil de las víctimas durante largos períodos de tiempo. Durante al menos dos años, los actores del mal utilizaron el sitio web de un destacado político europeo para enviar señuelos de pesca submarina a empresas de la cadena de suministro de la industria petrolera, explicó Trend Micro. Entre los objetivos de esos correos electrónicos maliciosos se encontraba una instalación de agua utilizada por el ejército de Estados Unidos.

Al menos algunos de los señuelos APT33 enviados desde el sitio web del político europeo fueron efectivos, agregaron los investigadores. El año pasado, el servidor de una compañía petrolera con sede en Gran Bretaña se comunicaba con uno de los servidores de la APT33, lo que indicaba una infección.

Con información de: SC Magazine.