Se dice que un actor de amenazas que trabaja para promover los objetivos iran\u00edes estuvo detr\u00e1s de una serie de ataques cibern\u00e9ticos disruptivos contra los servicios del gobierno alban\u00e9s a mediados de julio de 2022.<\/p>\n
Empresa de ciberseguridad Mandiant dijo<\/a> la actividad maliciosa contra un estado de la OTAN represent\u00f3 una “expansi\u00f3n geogr\u00e1fica de las operaciones cibern\u00e9ticas disruptivas iran\u00edes”.<\/p>\n los ataques del 17 de julio<\/a>seg\u00fan la Agencia Nacional de la Sociedad de la Informaci\u00f3n de Albania, oblig\u00f3 al gobierno a “cerrar temporalmente el acceso a los servicios p\u00fablicos en l\u00ednea y otros sitios web del gobierno” debido a un “ataque cibern\u00e9tico sincronizado y sofisticado desde fuera de Albania”.<\/p>\n La operaci\u00f3n disruptiva por motivos pol\u00edticos, seg\u00fan Mandiant, implic\u00f3 el despliegue de una nueva familia de ransomware llamada ROADSWEEP que inclu\u00eda una nota de rescate con el texto: “\u00bfPor qu\u00e9 nuestros impuestos deber\u00edan gastarse en beneficio de los terroristas de DURRES?”<\/p>\n Desde entonces, un frente llamado HomeLand Justice se atribuy\u00f3 el m\u00e9rito de la ciberofensiva, y el grupo supuestamente tambi\u00e9n afirm\u00f3 haber utilizado un malware de limpieza en los ataques. Aunque la naturaleza exacta del limpiaparabrisas a\u00fan no est\u00e1 clara, Mandiant dijo que un usuario alban\u00e9s envi\u00f3 una muestra para lo que se llama ZeroCleare el 19 de julio, coincidiendo con los ataques.<\/p>\n ZeroCleare, primero documentado<\/a> por IBM en diciembre de 2019 como parte de una campa\u00f1a dirigida a los sectores industrial y energ\u00e9tico en el Medio Oriente, est\u00e1 dise\u00f1ado para borrar el registro de arranque maestro (MBR) y las particiones de disco en m\u00e1quinas basadas en Windows. Se cree que es un esfuerzo de colaboraci\u00f3n entre diferentes actores del estado-naci\u00f3n iran\u00ed, incluidos Plataforma petrolera<\/a> (tambi\u00e9n conocido como APT34, ITG13 o Helix Kitten).<\/p>\n Tambi\u00e9n se implement\u00f3 en los ataques albaneses una puerta trasera previamente desconocida denominada CHIMNEYSWEEP que es capaz de tomar capturas de pantalla, enumerar y recopilar archivos, generar un shell inverso y admitir la funcionalidad de registro de teclas.<\/p>\n El implante, adem\u00e1s de compartir numerosas superposiciones de c\u00f3digo con ROADSWEEP, se entrega al sistema a trav\u00e9s de un archivo autoextra\u00edble junto con documentos de Microsoft Word se\u00f1uelo que contienen im\u00e1genes de Masud Rajavi<\/a>el antiguo l\u00edder de la Organizaci\u00f3n Muyahidines del Pueblo de Ir\u00e1n (MEK).<\/p>\n Las primeras iteraciones de CHIMNEYSWEEP se remontan a 2012 y todo apunta a que el malware puede haber sido utilizado en ataques dirigidos a hablantes de farsi y \u00e1rabe.<\/p>\n La firma de seguridad cibern\u00e9tica, que fue adquirida por Google a principios de este a\u00f1o, dijo que no ten\u00eda suficiente evidencia que vinculara las intrusiones con un colectivo adversario designado, pero se\u00f1al\u00f3 con confianza moderada que uno o m\u00e1s malos actores que operan en apoyo de los objetivos de Ir\u00e1n est\u00e1n involucrados.<\/p>\n Las conexiones con Ir\u00e1n se derivan del hecho de que los ataques tuvieron lugar menos de una semana antes de la conferencia Cumbre Mundial del Ir\u00e1n Libre del 23 al 24 de julio cerca de la ciudad portuaria de Durres por parte de entidades que se oponen al gobierno iran\u00ed, en particular los miembros del MEK. .<\/p>\n “El uso de ransomware para llevar a cabo una operaci\u00f3n disruptiva pol\u00edticamente motivada contra los sitios web del gobierno y los servicios para ciudadanos de un estado miembro de la OTAN en la misma semana en que estaba programada una conferencia de grupos de oposici\u00f3n iran\u00edes ser\u00eda una operaci\u00f3n notablemente descarada por parte de la amenaza del nexo entre Ir\u00e1n. actores”, dijeron los investigadores.<\/p>\n Los hallazgos tambi\u00e9n se producen dos meses despu\u00e9s de que el grupo iran\u00ed de amenazas persistentes avanzadas (APT) rastreado como Charming Kitten (tambi\u00e9n conocido como Phosphorus) fuera vinculado<\/a> a un ataque dirigido contra una empresa de construcci\u00f3n no identificada en el sur de los EE. UU.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"piratas](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhE4sji5EZPePTUIyu-j5mmrvfAueUidHfPosPvP3urEemTEIlYr8pxMJN5RhgBFouJBlADWp5S-vy9VQIQpLh7RR1PPNxrOQ-vkD-LaJj9WRvr-LFgW2fdaawzN9NQSUycPbl-a47sPmjwJ6IxbJRGNs1Ivj084iMcvzOaPAADssRm3hREEehmURl6\/s728-e1000\/iranian-hackers.jpg\" "\\"piratas")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n