Investigadores de seguridad cibernética de Bitdefender, descubrieron una campaña de ciberespionaje iraní llevada a cabo por Chafer APT, dirigida a infraestructuras críticas en Kuwait y Arabia Saudita.
La organización tiene como objetivo, a las industrias de telecomunicaciones y de viajes en el Oriente Medio para reunir información de inteligencia sobre los intereses geopolíticos de Irán.
“Las víctimas de las campañas analizadas encajan en el patrón preferido por este actor, como el transporte aéreo y los sectores gubernamentales en el Oriente Medio”, se lee en el documento de la investigadora publicado por los expertos.
Los delincuentes utilizaron varias herramientas, incluyendo herramientas de “vivir de la tierra”, lo que hace difícil atribuir el ataque a actores de amenaza específicos, así como una puerta trasera construida a medida.
Los ataques contra entidades de Kuwait y Arabia Saudita tienen múltiples similitudes y comparten algunas etapas comunes, pero los expertos observaron que los ataques parecen más centrados y sofisticados en las víctimas de Kuwait.
“Durante nuestra investigación, en algunas de las estaciones comprometidas observamos algún comportamiento inusual realizado bajo una cierta cuenta de usuario, lo que nos lleva a creer que los atacantes lograron crear una cuenta de usuario en la máquina de las víctimas y realizaron varias acciones maliciosas dentro de la red, utilizando esa cuenta”.
Los ataques contra entidades en Kuwait parecían más sofisticados, los atacantes creaban una cuenta de usuario en las máquinas comprometidas y realizaban acciones maliciosas dentro de la red, incluida la recolección de credenciales con Mimikatz y movimientos laterales utilizando múltiples herramientas de piratería de su arsenal.
La campaña contra una entidad de Arabia Saudita se caracterizó por el gran uso de ataques de ingeniería social para engañar a la víctima para que ejecutara una herramienta de administración remota (RAT), la RAT empleada en los ataques comparte similitudes con las utilizadas contra Kuwait y Turquía.
“El caso investigado en Arabia Saudita no fue tan elaborado, ya sea porque los atacantes no lograron explotar más a la víctima o porque el reconocimiento no reveló ninguna información de interés”, continúa el informe.
“Aunque este ataque no fue tan amplio como el de Kuwait, algunas pruebas forenses sugieren que los mismos atacantes podrían haberlo orquestado. A pesar de las pruebas para el descubrimiento de la red, no pudimos encontrar ningún rastro de movimiento lateral, muy probablemente porque los actores de la amenaza no pudieron encontrar ninguna máquina vulnerable”.
Las campañas contra Kuwait y Arabia Saudita demuestran la intensa actividad de ciberespionaje llevada a cabo por los grupos de la APT vinculados al Irán en el Oriente Medio. De todos modos, no podemos subestimar que estos grupos de hackers están extendiendo su rango de acción hacia los gobiernos y organizaciones de todo el mundo.
Con información de: Security Boulevard.