El Departamento del Tesoro de EE. UU. anunció el viernes sanciones contra el Ministerio de Inteligencia y Seguridad de Irán (MOIS) y su Ministro de Inteligencia, Esmaeil Khatib, por participar en actividades cibernéticas contra la nación y sus aliados.
«Desde al menos 2007, el MOIS y sus representantes de actores cibernéticos han llevado a cabo operaciones cibernéticas maliciosas dirigidas a una variedad de organizaciones gubernamentales y del sector privado en todo el mundo y en varios sectores de infraestructura crítica», dijo el Departamento del Tesoro. dijo.
La agencia también acusó a actores patrocinados por el estado iraní de organizando ataques disruptivos dirigido a los sistemas informáticos del gobierno albanés a mediados de julio de 2022, lo que lo obligó a suspender sus servicios en línea.
El desarrollo se produce casi nueve meses después de que el Comando Cibernético de EE. UU. caracterizara la amenaza persistente avanzada (APT) conocida como MuddyWater como un elemento subordinado dentro de MOIS. También llega casi dos años después de las sanciones del Tesoro contra otro grupo APT iraní denominado APT39 (también conocido como Chafer o Radio Serpens).
Las sanciones del viernes prohíben efectivamente que las empresas y los ciudadanos estadounidenses realicen transacciones con MOIS y Khatib, y los ciudadanos no estadounidenses que realicen transacciones con las entidades designadas pueden verse expuestos a sanciones.
Coincidiendo con el bloqueo económico, el gobierno albanés dijo el ataque cibernético a la infraestructura digital fue «orquestado y patrocinado por la República Islámica de Irán a través del compromiso de cuatro grupos que promulgaron la agresión».
Microsoft, que investigó los ataques, dijo que los adversarios trabajaron en conjunto para llevar a cabo distintas fases de los ataques, con cada grupo responsable de un aspecto diferente de la operación:
- DEV-0842 implementó el ransomware y el malware de limpieza
- DEV-0861 obtuvo acceso inicial y extrajo datos
- DEV-0166 (también conocido como Divisor intruso) datos exfiltrados, y
- DEV-0133 (también conocido como Lyceum o Siamese Kitten) sondeó la infraestructura de la víctima
Los equipos de inteligencia de amenazas del gigante tecnológico también atribuyeron los grupos involucrados en obtener acceso inicial y filtrar datos al colectivo de piratería iraní vinculado a MOIS con nombre en código Europium, que también se conoce como APT34, Cobalt Gypsy, Helix Kitten o OilRig.
“Los atacantes responsables de la intrusión y exfiltración de datos utilizaron herramientas previamente utilizadas por otros atacantes iraníes conocidos”, dijo. dijo en una inmersión técnica profunda. “Los atacantes responsables de la intrusión y exfiltración de datos apuntaron a otros sectores y países que son consistentes con los intereses iraníes”.
«El intento de destrucción patrocinado por Irán tuvo un impacto total de menos del 10% en el entorno del cliente», señaló la compañía, y agregó que las acciones posteriores a la explotación involucraron el uso de shells web para persistencia, ejecutables desconocidos para reconocimiento, técnicas de recolección de credenciales y métodos de evasión de defensa para apagar los productos de seguridad.
Los hallazgos de Microsoft encajan con el análisis previo de Mandiant de Google, que calificó la actividad políticamente motivada como una «expansión geográfica de las operaciones cibernéticas disruptivas iraníes».
Se dice que el acceso inicial a la red de una víctima del gobierno albanés ocurrió en mayo de 2021 a través de la explotación exitosa de una falla de ejecución remota de código de SharePoint (CVE-2019-0604), seguida de la exfiltración de correo electrónico de la red comprometida entre octubre de 2021 y enero de 2022.
Se observó una segunda ola paralela de recolección de correo electrónico entre noviembre de 2021 y mayo de 2022, probablemente a través de una herramienta llamada jason. Además de eso, las intrusiones implicaron la implementación de un ransomware llamado ROADSWEEP, lo que finalmente llevó a la distribución de un malware de limpieza denominado ZeroCleare.
Microsoft caracterizó la campaña destructiva como una «forma de represalia directa y proporcional» por una serie de ciberataques contra Irán, incluido uno organizado por un grupo hacktivista iraní que está afiliado a Mujahedin-e-Khalq (MEK) en la primera semana de julio de 2022.
El MEK, también conocido como Organización Muyahidines del Pueblo de Irán (PMOI), es un grupo disidente iraní con sede en Albania que busca derrocar al gobierno de la República Islámica de Irán e instalar su propio gobierno.
“Algunas de las organizaciones albanesas objetivo del ataque destructivo fueron organizaciones equivalentes y agencias gubernamentales en Irán que experimentaron ataques cibernéticos anteriores con mensajes relacionados con MEK”, dijo el fabricante de Windows.
El Ministerio de Relaciones Exteriores de Irán, sin embargo, ha acusaciones rechazadas que el país estaba detrás de la ofensiva digital contra Albania, calificándola de «infundada» y que es «parte de los esfuerzos internacionales responsables para hacer frente a la amenaza de los ataques cibernéticos».