Los actores de la amenaza iraní, respaldados por el Estado, fueron capaces de permanecer sin ser detectados dentro de una red gubernamental albanesa, durante 14 meses, antes de desplegar un malware destructivo en julio de 2022, según ha revelado un nuevo informe.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) y el FBI publicaron la alerta conjunta para arrojar más luz sobre la campaña, que tuvo como resultado la ruptura de los lazos diplomáticos de Albania con Irán, la primera vez que un incidente cibernético ha llevado a tal resultado.
Identificando al grupo de ataque como ‘HomeLand Justice’, patrocinado por el Estado, el informe afirmó que el acceso inicial se logró mediante la explotación de CVE-2019-0604, un error de ejecución remota de código en SharePoint. La vulnerabilidad, que tiene una puntuación CVSS de 8,6, fue señalada por el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) en octubre de 2020.
Pocos días después de conseguir el acceso a la red, los actores de la amenaza pasaron a una fase de persistencia y movimiento lateral, utilizando varias webshells .aspx para la persistencia y RDP, SMB y FTP para el movimiento lateral.
Entre uno y seis meses después del acceso inicial, comprometieron una cuenta de Microsoft Exchange y comenzaron a buscar una cuenta de administrador, según el informe.
Las autoridades estadounidenses afirman que HomeLand Justice consiguió exfiltrar volúmenes significativos de datos de correo electrónico. El grupo también consiguió comprometer dos cuentas VPN de las víctimas.
Por último, 14 meses después del inicio de la operación, desplegaron un ransomware de encriptación de archivos y un malware de limpieza de disco.
La campaña en sí parece haber sido una respuesta a la acogida de Albania al grupo de oposición iraní Mujahideen-e-Khalq (MEK). Después de que Albania cortara sus relaciones diplomáticas con Irán en septiembre de 2022, los atacantes utilizaron tácticas similares para lanzar otra oleada de ataques, esta vez contra los sistemas de control de fronteras.
En este caso, la atribución parece haber sido bastante sencilla. HomeLand Justice se atribuyó la campaña, publicando vídeos del ataque en su sitio web y filtrando información que había robado, según CISA.
El incidente es otro recordatorio de la necesidad de contar con herramientas efectivas de detección y respuesta para minimizar el tiempo de permanencia de los atacantes, que en todo el mundo es de una media de 21 días.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian