Home Ciberguerra Ciberdelincuentes iraníes piratearon VPN para acceder a la red de empresas

Ciberdelincuentes iraníes piratearon VPN para acceder a la red de empresas

Investigadores de seguridad han unido los puntos en una larga campaña de ciberespionaje iraní que ha tenido como objetivo los errores sin parches en VPN y RDP para infiltrarse en las organizaciones objetivo a nivel mundial.

Basándose en estudios anteriores de Dragos, que nombró la campaña “Parásito” y la atribuyó al grupo APT33 apoyado por el estado, ClearSky ha ido más allá con más detalles.

Su nuevo informe afirmaba que la campaña de tres años “Gatita de Zorro” es muy probablemente el producto de APT33 (Elfin) y APT34 (OilRig) y APT39 (Chafer).

Docenas de empresas que trabajan en las industrias de la informática, las telecomunicaciones, el petróleo y el gas, la aviación y la defensa se vieron afectadas por la campaña, que se dice que se centró en el reconocimiento y la plantación de puertas traseras para crear un “punto de apoyo duradero” en las empresas objetivo.

La incursión inicial en estas organizaciones se logró explotando las vulnerabilidades de un día en los servicios de VPN, como los que ofrecen Pulse Secure, Fortinet y Global Protect de Palo Alto Networks.

Se cree que la vulnerabilidad de Pulse Secure también fue explotada por los atacantes de programas de rescate para comprometer a Travelex, entre otras víctimas.

“Al hacerse con el objetivo, los atacantes trataron de mantener el acceso a las redes abriendo una variedad de herramientas de comunicación, incluida la apertura de enlaces RDP a través de túneles SSH, a fin de camuflar y cifrar la comunicación con los objetivos”, se señala en el informe.

“En la etapa final, tras infiltrarse con éxito en la organización, los atacantes han realizado un proceso rutinario de identificación, examen y filtrado de información sensible y valiosa de cada organización objetivo. La valiosa información se enviaba a los atacantes para su reconocimiento, espionaje o una nueva infección de las redes conectadas”.

Los grupos utilizaron una combinación de herramientas de código abierto como Juicy Potato e Invoke the Hash, y malware personalizado como la herramienta de mapeo de puertos abiertos STSRCheck y RDP sobre el túnel SSH de puerta trasera POWSSHNET.

Aunque el propósito de la operación parece ser el reconocimiento, existe la preocupación de que la misma infraestructura de ataque pueda ser utilizada en el futuro para propagar malware destructivo como ZeroCleare y Dustman, que ha sido previamente vinculado a APT34.

Con información de: Digital Trends.