Los piratas informáticos respaldados por Irán y Hezbollah organizaron ataques cibernéticos diseñados para socavar el apoyo público a la guerra entre Israel y Hamas después de octubre de 2023.
Esto incluye ataques destructivos contra organizaciones israelíes clave, operaciones de piratería y filtración dirigidas a entidades en Israel y Estados Unidos, campañas de phishing diseñadas para robar inteligencia y operaciones de información para poner a la opinión pública en contra de Israel.
Irán representó casi el 80% de toda la actividad de phishing respaldada por el gobierno dirigida a Israel en los seis meses previos a los ataques del 7 de octubre, dijo Google en un nuevo informe.
«Las operaciones de piratería y filtración de información siguen siendo un componente clave en estos y los esfuerzos de los actores de amenazas relacionados para telegrafiar la intención y la capacidad durante la guerra, tanto a sus adversarios como a otras audiencias en las que buscan influir», dijo el gigante tecnológico. dicho.
Pero lo que también es notable sobre el conflicto entre Israel y Hamas es que las operaciones cibernéticas parecen ejecutarse independientemente de las acciones cinéticas y en el campo de batalla, a diferencia de lo observado en el caso de la guerra ruso-ucraniana.
Estas capacidades cibernéticas pueden desplegarse rápidamente a un costo menor para interactuar con rivales regionales sin una confrontación militar directa, añadió la compañía.
Se dice que uno de los grupos afiliados a Irán, denominado GREATRIFT (también conocido como UNC4453 o Plaid Rain), propagó malware a través de un sitio falso de «personas desaparecidas» dirigido a visitantes que buscaban actualizaciones sobre israelíes secuestrados. El actor de amenazas también utilizó documentos señuelo con temas de donación de sangre como vector de distribución.
Al menos dos personajes hacktivistas llamados Karma y Handala Hack han aprovechado cepas de malware de limpieza como BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE y COOLWIPE para realizar ataques destructivos contra Israel y eliminar archivos de los sistemas Windows y Linux, respectivamente.
Otro grupo de piratería de un estado-nación iraní llamado Charming Kitten (también conocido como APT42 o CALANQUE) atacó a los medios y a organizaciones no gubernamentales (ONG) con una puerta trasera de PowerShell conocida como POWERPUG como parte de una campaña de phishing observada a finales de octubre y noviembre de 2023.
POWERPUG es también la última incorporación a la larga lista de puertas traseras del adversario, que incluye PowerLess, BellaCiao, POWERSTAR (también conocido como GorjolEcho), NokNok y BASICSTAR.
Por otra parte, los grupos vinculados a Hamás atacaron a los ingenieros de software israelíes con señuelos para tareas de codificación en un intento de engañarlos para que descargaran el malware SysJoker semanas antes de los ataques del 7 de octubre. La campaña se ha atribuido a un actor de amenazas conocido como BLACKATOM.
«Los atacantes […] Se hicieron pasar por empleados de empresas legítimas y se acercaron a través de LinkedIn para invitar a objetivos a postularse para oportunidades de desarrollo de software independientes», dijo Google. «Los objetivos incluían ingenieros de software en el ejército israelí, así como en la industria aeroespacial y de defensa de Israel».
El gigante tecnológico describió las tácticas adoptadas por los ciberactores de Hamás como simples pero efectivas, y destacó su uso de ingeniería social para ofrecer troyanos de acceso remoto y puertas traseras como MAGNIFI para atacar a usuarios tanto en Palestina como en Israel, que se ha vinculado a BLACKSTEM (también conocido como Molerats). .
Agregar otra dimensión a estas campañas es el uso de software espía dirigido a teléfonos Android que son capaces de recopilar información confidencial y filtrar los datos a la infraestructura controlada por el atacante.
Las cepas de malware, llamadas MOAAZDROID y LOVELYDROID, son obra del actor DESERTVARNISH, afiliado a Hamás, al que también se le sigue como Arid Viper, Desert Falcons, Renegade Jackal y UNC718. Cisco Talos documentó previamente los detalles sobre el software espía en octubre de 2023.
También se ha observado que grupos patrocinados por el Estado de Irán, como MYSTICDOME (también conocido como UNC1530), atacan dispositivos móviles en Israel con el troyano de acceso remoto para Android MYTHDROID (también conocido como AhMyth), así como un software espía personalizado llamado SOLODROID para la recopilación de inteligencia.
«MYSTICDOME distribuyó SOLODROID utilizando proyectos de Firebase que redirigían 302 a los usuarios a Play Store, donde se les pedía que instalaran el software espía», dijo Google, que desde entonces eliminó las aplicaciones del mercado digital.
Google destacó además un malware para Android llamado REDRUSE – una versión troyanizada de la aplicación legítima Red Alert utilizada en Israel para advertir sobre ataques con cohetes entrantes – que filtra contactos, datos de mensajes y ubicación. Se propagó a través de mensajes SMS de phishing que se hacían pasar por la policía.
La guerra en curso también ha tenido un impacto en Irán, cuya infraestructura crítica fue interrumpida por un actor llamado Gonjeshke Darande (que significa gorrión depredador en persa) en diciembre de 2023. Se cree que la persona está vinculada a la Dirección de Inteligencia Militar de Israel.
Los hallazgos se producen cuando Microsoft reveló que actores alineados con el gobierno iraní han «lanzado una serie de ciberataques y operaciones de influencia (IO) destinadas a ayudar a la causa de Hamas y debilitar a Israel y sus aliados políticos y socios comerciales».
Redmond describió sus operaciones cibernéticas y de influencia en sus primeras etapas como reactivas y oportunistas, al tiempo que corroboró la evaluación de Google de que los ataques se volvieron «cada vez más dirigidos y destructivos y las campañas de IO se volvieron cada vez más sofisticadas y poco auténticas» después del estallido de la guerra.
Además de intensificar y expandir su enfoque de ataque más allá de Israel para abarcar países que Irán percibe como que ayudan a Israel, incluidos Albania, Bahrein y Estados Unidos, Microsoft dijo que observó colaboración entre grupos afiliados a Irán como Pink Sandstorm (también conocido como Agrius) y Hezbollah Cyber. unidades.
«La colaboración reduce la barrera de entrada, permitiendo que cada grupo contribuya con capacidades existentes y elimina la necesidad de que un solo grupo desarrolle un espectro completo de herramientas o oficios comerciales», Clint Watts, gerente general del Centro de análisis de amenazas de Microsoft (MTAC), dicho.
La semana pasada, NBC News reportado que Estados Unidos lanzó recientemente un ciberataque contra un barco militar iraní llamado MV Behshad que había estado recopilando información de inteligencia sobre buques de carga en el Mar Rojo y el Golfo de Adén.
Un análisis de Recorded Future del mes pasado detalló cómo los hackers y los grupos fachada en Irán son administrados y operados a través de una variedad de empresas contratistas en Irán, que llevan a cabo operaciones de recopilación de inteligencia e información para «fomentar la inestabilidad en los países objetivo».
«Mientras los grupos iraníes se apresuraron a realizar, o simplemente fabricar, operaciones en los primeros días de la guerra, los grupos iraníes han ralentizado sus operaciones recientes, permitiéndoles más tiempo para obtener el acceso deseado o desarrollar operaciones de influencia más elaboradas», concluyó Microsoft.