Según un informe publicado el miércoles por la empresa israelí de ciberseguridad Cybereason, actores iraníes están llevando a cabo una operación de ciberespionaje contra empresas aeroespaciales y de telecomunicaciones de todo el mundo, robando información sensible de objetivos en Israel y Oriente Medio, así como en Estados Unidos, Rusia y Europa.
Cybereason identificó al actor estatal hasta ahora desconocido, apodado MalKamak, que ejecutaba una nueva y sofisticada forma de malware hasta entonces desconocida, durante una llamada de respuesta a incidentes para uno de sus clientes, dijo Assaf Dahan, jefe del grupo de investigación de ciberamenazas de Cybereason.
La campaña ha estado funcionando desde al menos 2018, y es probable que haya logrado reunir grandes cantidades de datos de objetivos cuidadosamente elegidos, dijo Dahan.
“La investigación comenzó después de que el equipo de investigación de respuesta a incidentes de Cybereason fuera llamado para ayudar a una de las empresas atacadas”, dijo Dahan. “Durante el incidente y después de instalar nuestra tecnología en los ordenadores de la organización, identificamos daños sofisticados y nuevos que aún no se han visto ni documentado. Un profundo trabajo de investigación descubrió que esto es solo una parte de toda una campaña de inteligencia iraní que se ha llevado a cabo en secreto y bajo el radar durante los últimos tres años. A partir de los pocos rastros que dejaron los atacantes, está claro que actuaron con cuidado y seleccionaron minuciosamente a sus víctimas. Se trata de un sofisticado atacante iraní que actuó profesionalmente según una estrategia meditada y calculada. El riesgo potencial inherente a una campaña de asalto de este tipo es grande y significativo para el Estado de Israel y puede suponer una amenaza real”.
“Esta fue una operación muy sofisticada que tiene todas las características de un ataque patrocinado por el Estado”, dijo Dahan. “Mientras que otros grupos iraníes están implicados en actos más destructivos, éste se centra en la recopilación de información. El hecho de que hayan podido pasar desapercibidos durante tres años demuestra su nivel de sofisticación. Evaluamos que han sido capaces de exfiltrar grandes cantidades de datos a lo largo de los años: gigabytes, o incluso terabytes. No sabemos cuántas víctimas hubo antes de 2018”.
Las organizaciones afectadas y los funcionarios de seguridad pertinentes habían sido actualizados por ella sobre el ataque, pero el alcance del daño real causado aún no se ha aclarado, dijo Cybereason.
La campaña aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ShellClient, que evade las herramientas antivirus y otros aparatos de seguridad y abusa del servicio de nube pública Dropbox para el comando y control (C2), según el informe. Los autores de ShellClient invirtieron mucho esfuerzo en hacerlo sigiloso para evadir la detección de los antivirus y otras herramientas de seguridad, aprovechando múltiples técnicas de ofuscación y recientemente implementando un cliente de Dropbox para el comando y control (C2), lo que lo hace muy difícil de detectar.
“El malware ha evolucionado mucho a lo largo de los años”, señaló Dahan. “En 2018, el código era muy simple, pero se ha vuelto muy sofisticado. A principios de este año, el grupo abandonó su antigua infraestructura de servidores y la sustituyó por el alojamiento de archivos en Dropbox, una forma sencilla de ocultarlo a la vista. En los últimos años, estamos viendo que más actores de ciberamenazas abusan de diferentes servicios en la nube como Google Drive, Dropbox y Github, ya que proporcionan el camuflaje perfecto. Aunque una vez que sabemos lo que buscamos, es más fácil descubrir otras cosas”.
Utilizando el RAT ShellClient, el actor de la amenaza también desplegó herramientas de ataque adicionales para realizar diversas actividades de espionaje en las redes objetivo, incluyendo reconocimiento adicional, movimiento lateral en el entorno y la recolección y exfiltración de datos sensibles.
La amenaza, que sigue activa, se ha observado predominantemente en la región de Oriente Medio, pero también se ha observado que se dirige a organizaciones de Estados Unidos, Rusia y Europa, centrándose en las industrias aeroespacial y de telecomunicaciones.
La investigación revela posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT, según el informe. Esto sigue a la publicación en agosto del Informe DeadRinger de Cybereason, que descubrió de forma similar múltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones.