como ser hacker

AUMENTO DE LA CIBERACTIVIDAD IRANI: LEAFMINER, OILRIG A LA VANGUARDIA

5 (100%) 1 vote

Una vez más, los investigadores en ciberseguridad tienen a Irán en la mira. Symantec, Palo Alto Networks y la inteligencia alemana acusan a Teherán de numerosas campañas cibernéticas que han salido a la luz recientemente.

El ampliamente conocido grupo OilRig (alias Helix Kitten, PT34) ha sido destacado por los investigadores de la Unidad 42 debido a los múltiples ataques lanzados entre mayo y junio de este año. Los investigadores afirmaron que la campaña implicó tres oleadas separadas de ataques y que los tres utilizaron un único correo electrónico de phishing con lanza que había sido creado a propósito para que pareciera provenir de una agencia gubernamental de Oriente Medio.

La Unidad 42 escribió un informe: “Basándonos en nuestra telemetría, tenemos alta confianza en que la cuenta de correo usada para lanzar este ataque fue comprometida por el grupo OilRig, probablemente por robo de credenciales.”

Esta vez, el grupo estaba detrás de una entidad gubernamental sin nombre y un proveedor de servicios tecnológicos cuyo nombre tampoco fue revelado. Utilizando un enorme nivel de ofuscación, OilRig hizo que los correos electrónicos maliciosos parecieran provenir exactamente del mismo país que estaba bajo ataque cibernético; sin embargo, la Unidad 42 determinó que el origen del ataque era un país diferente que era el más probable utilizando las credenciales que había robado.

Tipo de ataque

Este ataque en particular implicó la liberación de BACKDOOR QUADAGENT PowerShell, que es una herramienta que ha sido vinculada a OilRig por FireEye y ClearSky Cybersecurity, de acuerdo con una declaración realizada por la Unidad 42.

El grupo responsable del ataque de phishing con lanza puso mucho esfuerzo en descubrir la dirección de correo electrónico de su objetivo. Desde el descubrimiento de las direcciones de correo electrónico a través de los motores de búsqueda comunes de Internet no fue una tarea fácil. Los investigadores consideraron que esto era un indicio de que los objetivos del grupo de hackers estaban probablemente en una lista de objetivos que se había recogido antes de la ejecución del ataque real, o que era posible que se utilizaran asociados conocidos de las cuentas de correo electrónico que estaban comprometidos en el envío de los mensajes de ataque.

En todos los ataques, un archivo ejecutable portátil era el entregable, y cuando fue descargado, insertó el “BACKDOOR“, construido en la persistencia, y entró en contacto con su servidor de comando y control. Después de eso, continuó funcionando silenciosamente.

El grupo responsable de los ataques

Los investigadores de Symantec descubrieron Leafminer, una nueva campaña de espionaje que se descubrió que también tenía su base en Irán. Hasta ahora, ha atacado una larga lista de empresas y gobiernos en todo Oriente Medio. Las ubicaciones incluyen Arabia Saudita, Irán, Israel, Pakistán y Egipto.

Symantec escribió en su informe: “Leafminer es un grupo muy activo, responsable de dirigirse a una serie de organizaciones en todo Oriente Medio. El grupo parece tener su sede en Irán y parece estar ansioso por aprender y capitalizar las herramientas y técnicas utilizadas por los actores de amenazas más avanzados.

Investigadores de Symantec reunieron numerosas partes de la evidencia y esa evidencia ubicó a Leafminer como una empresa con sede en Irán. En junio de este año, los investigadores también descubrieron un servidor que contenía 112 archivos que eran todos accesibles a través de un shell web que el grupo de hackers había plantado.

El país más afectado fue Arabia Saudí, a quien Irán considera un gran enemigo. 28 sistemas en Arabia Saudita fueron infectados. En segundo lugar estaba Líbano, con 8 de sus sistemas infectados, e Israel y Kuwait en segundo y cuarto lugar. Las instalaciones sanitarias saudíes y la agencia de inteligencia libanesa se encontraban entre los objetivos.
¿Pensamientos o comentarios sobre este artículo? Por favor, déjelos abajo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *