Las agencias de ciberseguridad e inteligencia de los Estados Unidos han emitido una advertencia conjunta de posibles ataques cibernéticos de actores de amenaza patrocinados por el estado iraníes o afiliados.
“En los últimos meses, ha habido una actividad creciente de los hacktivistas y los actores afiliados al gobierno iraní, que se prórroga que aumente oportuno a eventos recientes”, dijeron las agencias.
“Estos actores cibernéticos a menudo explotan objetivos de oportunidades basados en el uso de software no parpadeado o anticuado con vulnerabilidades y exposiciones comunes conocidas o el uso de contraseñas predeterminadas o comunes en cuentas y dispositivos conectados a Internet”.
Actualmente no existe evidencia de una campaña coordinada de actividad cibernética maliciosa en los Estados Unidos que puede atribuirse a Irán, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigación (FBI), el Centro de Delitos Cibernéticos del Unidad de Defensa (DC3) y la Agencia Franquista de Seguridad (NSA).
Enfatizando la privación de una “decano vigilancia”, las agencias destacaron a las compañías de la Saco Industrial de Defensa (DIB), específicamente aquellos con lazos con las empresas de investigación y de defensa israelíes, como un peligro elevado. Las entidades estadounidenses e israelíes incluso pueden estar expuestas a ataques distribuidos de denegación de servicio (DDoS) y campañas de ransomware, agregaron.
Los atacantes a menudo comienzan con herramientas de gratitud como Shodan para encontrar dispositivos vulnerables orientados a Internet, especialmente en entornos del sistema de control industrial (ICS). Una vez internamente, pueden explotar la segmentación débil o los firewalls mal configurados para moverse lateralmente a través de las redes. Los grupos iraníes han utilizado previamente herramientas de ataque remoto (ratas), keyloggers e incluso utilidades de distribución legítimas como Psexec o Mimikatz para aumentar el ataque, todo mientras evade las defensas básicas de punto final.
Según las campañas anteriores, los ataques montados por los actores de amenaza iraníes aprovechan las técnicas de conveniencia de la contraseña automatizada, el agrietamiento de hash de contraseña y las contraseñas predeterminadas del fabricante para obtener ataque a dispositivos expuestos a Internet. Además se ha enemigo que emplean herramientas de ingeniería y diagnosis de sistemas para violar las redes de tecnología operativa (OT).
El avance se produce días posteriormente de que el Unidad de Seguridad Franquista (DHS) lanzó un boletín, instando a las organizaciones estadounidenses a despabilarse posibles “ataques cibernéticos de bajo nivel” de los hacktivistas pro-iraníes en medio de las continuas tensiones geopolíticas entre Irán e Israel.
La semana pasada, Check Point reveló que el reunión de piratería de estado-estado de la nación iraní rastreó como periodistas dirigidos de APT35, expertos en seguridad cibernética de stop perfil y profesores de ciencias de la computación en Israel como parte de una campaña de phishing de garrocha diseñada para capturar sus credenciales de cuentas de Google utilizando las páginas de inicio de sesión de Gmail falsos o las invitaciones de Google.
Como mitigaciones, se aconseja a las organizaciones que sigan los pasos a continuación –
- Identificar y desconectar los activos de OT y ICS de Internet divulgado
- Asegúrese de que los dispositivos y las cuentas estén protegidos con contraseñas fuertes y únicas, reemplace las contraseñas débiles o predeterminadas, y apliquen la autenticación multifactor (MFA)
- Implementar MFA resistente a phishing para penetrar a redes OT desde cualquier otra red
- Asegúrese de que los sistemas estén ejecutando los últimos parches de software para proteger contra las vulnerabilidades de seguridad conocidas
- Monitorear los registros de ataque de los usuarios para el ataque remoto a la red OT
- Establecer procesos OT que eviten cambios no autorizados, pérdida de visión o pérdida de control
- Adoptar copias de seguridad del sistema y datos completos para proveer la recuperación
Para las organizaciones que se preguntan por dónde comenzar, un enfoque práctico es revisar primero su superficie de ataque extranjero: qué sistemas están expuestos, qué puertos están abiertos y si los servicios obsoletos aún se están ejecutando. Herramientas como el software de higiene cibernética de CISA o escáneres de código descubierto como NMAP pueden ayudar a identificar riesgos ayer que los atacantes. Alinear sus defensas con el entorno Mitre ATT & CK incluso hace que sea más claro priorizar las protecciones basadas en las tácticas del mundo vivo utilizadas por los actores de amenazas.
“A pesar de un stop el fuego ostensible y las negociaciones continuas con destino a una posibilidad permanente, los actores cibernéticos y grupos hacktivistas afiliados a Irán aún pueden realizar actividades cibernéticas maliciosas”, dijeron las agencias.
