Los hackers iraníes están evolucionando su enfoque, apuntando a los llamados sistemas de control industrial utilizados por las redes eléctricas, la fabricación y las refinerías de petróleo.
Según Wired , que habló con Microsoft antes de una presentación en el Cyberwarcon en Virginia el 21 de noviembre, el grupo de piratería iraní APT33 podría estar sentando las bases para ataques físicos.
El grupo iraní, también conocido como Holmium, Refined Kitten o Elfin, ha estado realizando ataques de rociado de contraseña durante el último año, según la investigación de Microsoft. El rociado de contraseñas es un ciberataque simple que aprovecha las credenciales débiles al intentar acceder a los sistemas utilizando contraseñas comunes.
Pero el enfoque del grupo ahora aparentemente se está volviendo más específico: ha reducido su enfoque a solo 2,000 organizaciones, al tiempo que aumenta el número de cuentas objetivo en aproximadamente 10 veces.
Alrededor de la mitad de las 25 principales organizaciones seleccionadas fueron fabricantes, proveedores o mantenedores de equipos de sistemas de control industrial, los sistemas que sustentan la infraestructura crítica, como las redes eléctricas, según el informe de Microsoft.
Wired informó que las motivaciones de los atacantes no son claras, ni es posible descifrar qué sistemas de control industrial ya han violado. Pero el investigador de seguridad de Microsoft, Ned Moran, cree que el grupo quiere sentar las bases para los ciberataques físicamente disruptivos.
«Persiguen a estos productores y fabricantes de sistemas de control, pero no creo que sean los objetivos finales», dijo Moran a Wired . «Están tratando de encontrar al cliente intermedio, para saber cómo funcionan y quién los utiliza. Están buscando infligir algo de dolor en la infraestructura crítica de alguien que hace uso de estos sistemas de control».
Moran admitió que no hay evidencia directa que demuestre un movimiento desde el espionaje y el reconocimiento hasta un ciberataque físico, pero el grupo de inteligencia de amenazas de la empresa ha visto incidentes que sugieren que APT33 está sentando las bases.
De hecho, Microsoft dijo que las huellas digitales del grupo iraní APT33 estaban presentes en múltiples intrusiones donde las víctimas fueron golpeadas luego por Shamoon, un malware utilizado en ataques contra compañías petroleras.
Irán apunta a sistemas de control industrial: un problema del gobierno
Los gobiernos son muy conscientes de la amenaza que representa un ataque cibernético a la infraestructura crítica, como las redes eléctricas. Descubierto hace 10 años cuando devastó una instalación nuclear, el gusano Stuxnet es solo un ejemplo. El resultado de este incidente fue un juego de herramientas diseñado específicamente para los sistemas basados en SCADA que alimentan la infraestructura crítica.
Estas organizaciones son vulnerables porque los sistemas de control industrial no estaban destinados a estar conectados a Internet. En julio, informé que el gobierno de EE. UU. Está planeando proteger las redes eléctricas de los ataques cibernéticos utilizando tecnologías «retro» .
Este enfoque significaría que los adversarios deben tocar físicamente el equipo, lo que hace que los ataques cibernéticos sean mucho más difíciles, según un comunicado de prensa lanzado cuando la Ley de Infraestructura de Energía Asegurada (SEIA), pasó al piso del Senado.
Y la amenaza es muy amplia. Sam Curry, director de seguridad de Cybereason advierte que la mayoría de los países son «altamente vulnerables» a los ataques cibernéticos en infraestructura crítica. “La infraestructura crítica es generalmente antigua, mal parchada y administrada, y fue diseñada antes de que las amenazas cibernéticas fueran una preocupación importante. Esto significa que la capacidad de causar daño es significativa si el atacante sabe lo que está haciendo «.
Javvad Malik, defensor de la conciencia de seguridad en KnowBe4 está de acuerdo, diciendo que este tipo de ataques son «definitivamente cosas por las que los gobiernos deberían estar preocupados».
“Una vez que los adversarios obtienen acceso a los sistemas de control industrial y utilidades similares, pueden realizar una amplia gama de ataques. Lo más preocupante es la interrupción total de la red eléctrica, pero podría haber otros escenarios, como el uso del acceso para obtener información sobre los usuarios de energía «.
Escalada de tensiones entre Estados Unidos e Irán
El informe de Microsoft también se produce en un momento de escalada de tensiones entre los EE.UU. e Irán , y demuestra la creciente amenaza planteada por la nación.
«Oh, cómo APT33 ha crecido», comenta Ian Thornton-Trump, miembro de la facultad global de CompTIA. «Desde los primeros ataques DDoS (denegación de servicio distribuida) hasta la destrucción de sitios web con quizás un ajetreo de robo de bitcoins, Irán se está convirtiendo rápidamente, mediante el uso de entrenadores rusos y chinos, en un ciber adversario altamente competente».
Thornton-Trump señala que «en este momento Irán tiene muchos poderosos rivales geopolíticos, Arabia Saudita, Israel, así como muchos grupos de poder que necesitan apoyar».
«Irán ha adoptado totalmente el ciber como parte de su plan para mover su agenda política, al mismo tiempo que aísla al condado de la amenaza de una guerra de disparos», dice Thornton-Trump.
Thornton-Trump dice que Irán fue un «estudiante cuidadoso de las operaciones cibernéticas rusas de Estonia, Georgia y Ucrania» y que ha contratado a los mejores operadores cibernéticos rusos para aumentar las capacidades. «Los resultados de los ataques iraníes han sido significativos y costosos».
En un momento en que la guerra cibernética es una amenaza muy real, los ataques a la infraestructura crítica son algo de lo que preocuparse. Todo depende de los gobiernos, las organizaciones de infraestructura crítica y los proveedores de seguridad para garantizar que los sistemas subyacentes a las redes eléctricas sean lo más seguros posible.
Fuente: LINK
Get Involved & Participate!
Comments