Home Infraestructuras críticas Sospechosa campaña de hacking iraní, dirigida a las empresas energéticas de Europa

Sospechosa campaña de hacking iraní, dirigida a las empresas energéticas de Europa

Los expertos en seguridad de Recorded Future, informaron que una puerta trasera utilizada anteriormente en los ataques llevados a cabo por un actor de la amenaza vinculada al Irán, se empleó para atacar a una organización clave en el sector energético europeo.

El malware backdoor PupyRAT, se trata de una “herramienta multiplataforma (Windows, Linux, OSX, Android), RAT multifunción y de post-explotación escrita principalmente en Python” que puede dar a los atacantes acceso total al sistema de la víctima.

Este programa malicioso de código abierto, disponible en GitHub, fue utilizado en campañas pasadas, asociadas a los grupos APT relacionados a Irán como APT33 (también conocido como Elfin, Magic Hound y HOLMIUM), COBALT GYPSY y APT34 (alias OilRIG).

Los grupos mencionados estuvieron involucrados en ataques anteriores a organizaciones del sector energético en todo el mundo.

Ahora los expertos de Recorded Future identificaron tráfico malicioso entre la instalación de PupyRAT y el servidor de comando y control (C&C) identificado por los expertos. La comunicación se refería a un servidor de correo de una organización europea del sector energético y tuvo lugar entre noviembre de 2019 y al menos el 5 de enero de 2020.

“Utilizando las detecciones del controlador de troyanos de acceso remoto (RAT) de Recorded Future y técnicas de análisis de tráfico de red, el grupo Insikt identificó un servidor de comando y control (C2) PupyRAT que se comunicaba con un servidor de correo para una organización europea del sector energético desde finales de noviembre de 2019 hasta, al menos, el 5 de enero de 2020”, reza el análisis publicado por Recorded Future. “Aunque los metadatos por sí solos no confirman un compromiso, evaluamos que el alto volumen y las comunicaciones repetidas desde el servidor de correo objetivo a un PupyRAT C2 son suficientes para indicar una probable intrusión”.

Los investigadores no pudieron atribuir el ataque a los grupos de la APT vinculados a Irán, de todos modos, su análisis destaca que la organización objetivo tenía un papel en la coordinación de los recursos energéticos europeos.

Los expertos sugieren monitorear los intentos de ingreso secuenciales desde la misma IP contra diferentes cuentas, usar un administrador de contraseñas y establecer contraseñas fuertes y únicas… y por supuesto adoptar una autenticación multifactorial. Los investigadores de Recorded Future también recomiendan que las organizaciones analicen y crucen los datos de registro para detectar bloqueos de alta frecuencia, intentos de acceso remoto no sancionados, superposiciones de ataques temporales a través de múltiples cuentas de usuario, y la huella digital única de la información del agente del navegador web.

“Aunque se sabe que este producto básico RAT, PupyRAT, ha sido utilizado por los grupos de actores de amenazas iraníes APT33 y COBALT GYPSY, no podemos confirmar si el controlador PupyRAT que hemos identificado es utilizado por alguno de los dos grupos iraníes”, concluye el informe. “Sea quien sea el atacante, el hecho de apuntar un servidor de correo a una organización de infraestructura crítica de alto valor podría dar a un adversario el acceso a información sensible sobre la asignación de energía y los recursos en Europa”.

Con información de: ZDNet.