La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. anunció el miércoles sanciones generalizadas contra diez personas y dos entidades respaldadas por el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán por su participación en ataques de ransomware al menos desde octubre de 2020.
La agencia dijo que la actividad cibernética montada por los individuos es parcialmente atribuible a conjuntos de intrusos rastreados bajo los nombres APT35, Charming Kitten, Nemesis Kitten, Phosphorus y TunnelVision.
«Este grupo ha lanzado extensas campañas contra organizaciones y funcionarios en todo el mundo, particularmente contra el personal de defensa, diplomático y gubernamental de EE. dijo.
El actor de Nemesis Kitten, que también se conoce como Cobalt Mirage, DEV-0270 y UNC2448, ha sido analizado en los últimos meses por su patrón de ataques de ransomware para la generación de ingresos oportunistas utilizando la herramienta BitLocker integrada de Microsoft para cifrar archivos en sitios comprometidos. dispositivos.
Microsoft y Secureworks han caracterizado a DEV-0270 como un subgrupo de Phosphorus (también conocido como Cobalt Illusion), con vínculos con otro actor denominado TunnelVision. El fabricante de Windows también evaluó con poca confianza que «algunos de los ataques de ransomware de DEV-0270 son una forma de pluriempleo para la generación de ingresos personales o específicos de la empresa».
Además, los análisis independientes de las dos empresas de ciberseguridad, así como de Mandiant, propiedad de Google, han revelado las conexiones del grupo con dos empresas, Najee Technology (que funciona bajo los alias Secnerd y Lifeweb) y Afkar System, ambas sujetas a sanciones estadounidenses. .
Vale la pena señalar que las conexiones de Najee Technology y Afkar System con la agencia de inteligencia iraní fueron señaladas por primera vez por una entidad anónima contra el régimen iraní llamada Lab Dookhtegan. más temprano este año.
«El modelo de las funciones de inteligencia del gobierno iraní utilizando contratistas desdibuja las líneas entre las acciones encargadas por el gobierno y las acciones que la empresa privada toma por iniciativa propia», dijo Secureworks en un comunicado. nuevo reporte detallando las actividades de Cobalt Mirage.
Si bien los vínculos exactos entre las dos empresas y el IRGC siguen sin estar claros, el método de las empresas privadas iraníes que actúan como fachada o brindan apoyo para las operaciones de inteligencia está bien establecido a lo largo de los años, incluido el de Equipo ITSEC (ITSEC), MersadEmennet Pasargad y Rana Intelligence Computing Company.
Además de eso, la investigación de Secureworks sobre un incidente de Cobalt Mirage de junio de 2022 mostró que los metadatos asociados con un archivo PDF que contenía el texto del rescate habían etiquetado a Ahmad Khatibi como su creador, quien resulta ser el director ejecutivo y propietario de la empresa iraní Afkar System.
Ahmad Khatibi Aghda también es parte de las 10 personas sancionadas por EE. UU., junto con Mansour Ahmadi, director ejecutivo de Najee Technology, y otros empleados de las dos empresas que, según se dice, son cómplices de atacar varias redes a nivel mundial al aprovechar fallas de seguridad conocidas. para obtener acceso inicial a más ataques de seguimiento.
Algunos de los fallas explotadasde acuerdo a un asesoramiento conjunto en ciberseguridad publicados por Australia, Canadá, el Reino Unido y los EE. UU., como parte de la actividad de los actores afiliados al IRGC, son los siguientes:
- Vulnerabilidad de cruce de ruta de Fortinet FortiOS (CVE-2018-13379)
- Vulnerabilidad de configuración predeterminada de Fortinet FortiOS (CVE-2019-5591)
- Fortinet FortiOS SSL VPN Omisión 2FA (CVE-2020-12812)
- ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207), y
- Log4Shell (CVE-2021-44228, CVE-2021-45046 y/o CVE-2021-45105)
“Khatibi se encuentra entre los ciberactores que obtuvieron acceso no autorizado a las redes de las víctimas para cifrar la red con BitLocker y exigir un rescate por las claves de descifrado”, dijo el gobierno de EE. UU., además de agregarlo a la lista del FBI. Lista de los más buscados.
«Arrendó la infraestructura de red utilizada para promover las actividades de este grupo cibernético malicioso, participó en comprometer las redes de las víctimas y participó en negociaciones de rescate con las víctimas».
Coincidiendo con las sanciones, el Departamento de Justicia por separado cargado Ahmadi, Khatibi y un tercer ciudadano iraní llamado Amir Hossein Nickaein Ravari por participar en un esquema criminal de extorsión para infligir daños y pérdidas a víctimas ubicadas en EE. UU., Israel e Irán.
Los tres individuos han sido acusados de un cargo de conspiración para cometer fraude informático y actividades relacionadas con las computadoras; un cargo de dañar intencionalmente una computadora protegida; y un cargo de transmisión de una demanda en relación con el daño a una computadora protegida. Ahmadi también ha sido acusado de un cargo de dañar intencionalmente una computadora protegida.
Eso no es todo. El Departamento de Estado de EE.UU. también ha recompensas monetarias anunciadas de hasta $10 millones por cualquier información sobre Mansur, Khatibi y Nikaeen y su paradero.
«Es posible que estos acusados hayan estado pirateando y extorsionando a las víctimas, incluidos los proveedores de infraestructura crítica, para su beneficio personal, pero los cargos reflejan cómo los delincuentes pueden prosperar en el refugio seguro que el gobierno de Irán ha creado y del que es responsable», dijo el fiscal general adjunto Matthew. dijo Olsen.
El desarrollo se acerca a las sanciones impuestas por los EE. UU. contra el Ministerio de Inteligencia y Seguridad de Irán (MOIS) y su Ministro de Inteligencia, Esmaeil Khatib, por participar en actividades cibernéticas contra la nación y sus aliados.