LOS PIRATAS INFORMÁTICOS IRANÍES han llevado a cabo algunos de los actos de sabotaje digital más disruptivos de la última década, limpiando redes informáticas enteras en oleadas de ciberataques en todo el Medio Oriente y, en ocasiones, incluso en los EE. UU. Pero ahora uno de los grupos de hackers más activos de Irán parece haber cambiado de enfoque. En lugar de solo las redes de TI estándar, se dirigen a los sistemas de control físico utilizados en las compañías eléctricas, la fabricación y las refinerías de petróleo.
En la conferencia de CyberwarCon en Arlington, Virginia, el jueves, el investigador de seguridad de Microsoft Ned Moran planea presentar nuevos hallazgos del grupo de inteligencia de amenazas de la compañía que muestran un cambio en la actividad del grupo de piratas informáticos iraníes APT33, también conocido por los nombres Holmium, Refinado Gatito o Elfin. Microsoft ha visto al grupo llevar a cabo los llamados ataques de rociamiento de contraseñas durante el año pasado que prueban solo algunas contraseñas comunes en cuentas de usuarios en decenas de miles de organizaciones. Eso generalmente se considera una forma cruda e indiscriminada de piratería. Pero en los últimos dos meses, Microsoft dice que APT33 ha reducido significativamente su uso de contraseñas alrededor de 2,000 organizaciones por mes, al tiempo que aumenta el número de cuentas dirigidas a cada una de esas organizaciones casi diez veces en promedio.
Microsoft clasificó esos objetivos según el número de cuentas que los piratas informáticos intentaron descifrar; Moran dice que aproximadamente la mitad de los 25 principales eran fabricantes, proveedores o mantenedores de equipos de sistemas de control industrial. En total, Microsoft dice que ha visto a APT33 apuntar a docenas de esas empresas de equipos industriales y software desde mediados de octubre.
El cambio representa un movimiento inquietante de APT33 en particular, dada su historia. Aunque Moran dice que Microsoft no ha visto evidencia directa de APT33 llevando a cabo un ciberataque disruptivo en lugar de un simple espionaje o reconocimiento, ha visto incidentes en los que el grupo al menos ha sentado las bases para esos ataques. Las huellas digitales del grupo han aparecido en múltiples intrusiones donde las víctimas fueron golpeadas más tarde con un malware que borra datos conocido como Shamoon, dice Moran. McAfee advirtió el año pasado que APT33, o un grupo que pretendía ser APT33, dijo, estaba desplegando una nueva versión de Shamoon en una serie de ataques que destruyen datos. La firma de inteligencia de amenazas FireEye advirtió desde 2017 que APT33 tenía enlaces a otro código destructivo conocido como Shapeshifter.
Moran declinó nombrar cualquiera de los sistemas específicos de control industrial, o ICS, compañías o productos a los que se dirigen los hackers APT33. Pero advierte que el objetivo del grupo de esos sistemas de control sugiere que Irán podría estar tratando de ir más allá de simplemente limpiar las computadoras en sus ataques cibernéticos. Puede esperar influir en la infraestructura física. Esos ataques son raros en la historia del pirateo patrocinado por el estado, pero sus efectos son perturbadores; En 2009 y 2010, Estados Unidos e Israel lanzaron conjuntamente un código conocido como Stuxnet, por ejemplo, que destruyó las centrifugadoras de enriquecimiento nuclear iraníes. En diciembre de 2016, Rusia usó una pieza de malware conocida como Industroyer o Crash Override para causar brevemente un apagón en la capital ucraniana de Kiev. Y hackers de nacionalidad desconocida.desplegó una pieza de malware conocida como Triton o Trisis en una refinería de petróleo de Arabia Saudita en 2017 diseñada para desactivar los sistemas de seguridad. Algunos de esos ataques, particularmente Tritón, tenían el potencial de causar un caos físico que amenazaba la seguridad del personal dentro de las instalaciones seleccionadas.
Pero Adam Meyers, vicepresidente de inteligencia de la firma de seguridad Crowdstrike, advierte contra leer demasiado en el nuevo enfoque de APT33. Podrían centrarse fácilmente en el espionaje. «Apuntar a ICS podría ser un medio para llevar a cabo un ataque disruptivo o destructivo, o podría ser una forma fácil de ingresar a muchas compañías de energía, porque las compañías de energía confían en esas tecnologías», dice Meyers. «Es más probable que abran un correo electrónico de ellos o instalen software desde ellos».
La escalada potencial se produce durante un momento tenso en las relaciones entre Irán e Estados Unidos. En junio, Estados Unidos acusó a Irán de usar minas de lapa para hacer agujeros en dos petroleros en el Estrecho de Ormuz, así como derribar un avión no tripulado estadounidense. Luego, en septiembre, los rebeldes hutíes respaldados por Irán llevaron a cabo un ataque con aviones no tripulados contra las instalaciones petroleras sauditas que redujeron temporalmente la producción de petróleo del país a la mitad.
Moran señala que los ataques de Irán en junio fueron respondidos en parte con un ataque del Comando Cibernético de Estados Unidos contra la infraestructura de inteligencia iraní. De hecho, Microsoft vio que la actividad de rociamiento de contraseñas de APT33 cayó de decenas de millones de intentos de piratería por día a cero en la tarde del 20 de junio, lo que sugiere que la infraestructura de APT33 puede haber sido afectada. Pero Moran dice que el robo de contraseñas volvió a sus niveles habituales aproximadamente una semana después.
Moran compara los ciberataques disruptivos de Irán con los actos de sabotaje físico que Estados Unidos acusó a Irán de llevar a cabo. Desestabilizan e intimidan a los adversarios regionales, y los primeros lo harán aún más si sus piratas informáticos pueden pasar de meros efectos digitales a físicos.
«Están tratando de entregar mensajes a sus adversarios e intentando obligar y cambiar el comportamiento de sus adversarios», dice Moran. «Cuando ves un ataque de un avión no tripulado en una instalación de extracción en Arabia Saudita, cuando ves que se destruyen los petroleros … Mi instinto dice que quieren hacer lo mismo en el ciber».
Get Involved & Participate!
Comments