Krypton Solid

El grupo de piratas informáticos iraníes apuntó a aerolíneas y fábricas

Un informe publicado hoy por la firma de seguridad Cylance arroja nueva luz sobre el programa de piratería militar de Irán, lo que sugiere que las capacidades del país podrían estar mucho más allá de lo que muchos esperan. En los últimos dos años, un grupo seguido por Cylance atacó a más de 50 objetivos en 16 países, incluidos Estados Unidos, Corea del Sur, Israel y Pakistán, en lo que los investigadores llamaron el «Proyecto Cleaver». El grupo prestó especial atención a las aerolíneas, los fabricantes y los contratistas de defensa. En algunos casos, el grupo obtuvo acceso a los sistemas de control de seguridad en las puertas de los aeropuertos, lo que podría permitir la falsificación de credenciales que eludirían la seguridad del aeropuerto. También obtuvieron acceso a las credenciales de PayPal y los sistemas de control industrial de otros objetivos.

Los atacantes contrabandearon archivos a través de correos electrónicos que promocionaban Viagra con descuentos.

Los métodos del grupo son efectivos, pero no particularmente nuevos, y se basan completamente en vulnerabilidades conocidas y ataques de phishing. La inyección de SQL a menudo ha proporcionado al grupo el primer lugar de apoyo en un sistema, aunque los atacantes han enviado objetivos falsos y ofertas de trabajo de contratistas de defensa como Teledyne y Northrop Grumman. Una vez que el primer objetivo fue infectado, comenzaron a acceder a credenciales más poderosas, compilando listas de contraseñas maestras y enviándolas a los servidores principales. Los archivos de contraseñas generalmente iban a un servidor FTP anónimo alojado en California, pero en un ejemplo particularmente inteligente, los atacantes eliminaron clandestinamente los archivos en correos electrónicos con descuentos de Viagra, utilizando el lenguaje del spam para asegurarse de que nadie revise los archivos adjuntos dos veces.

Es una huella notable para un programa que a menudo se ha pasado por alto en favor de grupos mejor financiados en Rusia y China. En febrero, El periodico de Wall Street informó un ataque iraní contra las redes de la Marina de los EE. UU., lo que indica que el país estaba comenzando a tomar represalias después de años como objetivo de sofisticado malware militar. El nuevo informe de Cylance solo confirma la tendencia. El informe también parece haber sacado una cantidad sorprendente de información personal específica, desarrollando cinco archivos separados sobre las personas involucradas, aunque cualquier información de identificación aún se oculta al público.

Cronología Cylance de los ataques digitales dirigidos o lanzados por Irán, que culminan en el Proyecto Cleaver.

Deja un comentario

El grupo de piratas informáticos iraníes apuntó a aerolíneas y fábricas

Un informe publicado hoy por la firma de seguridad Cylance arroja nueva luz sobre el programa de piratería militar de Irán, lo que sugiere que las capacidades del país podrían estar mucho más allá de lo que muchos esperan. En los últimos dos años, un grupo seguido por Cylance atacó a más de 50 objetivos en 16 países, incluidos Estados Unidos, Corea del Sur, Israel y Pakistán, en lo que los investigadores llamaron el «Proyecto Cleaver». El grupo prestó especial atención a las aerolíneas, los fabricantes y los contratistas de defensa. En algunos casos, el grupo obtuvo acceso a los sistemas de control de seguridad en las puertas de los aeropuertos, lo que podría permitir la falsificación de credenciales que eludirían la seguridad del aeropuerto. También obtuvieron acceso a las credenciales de PayPal y los sistemas de control industrial de otros objetivos.

Los atacantes contrabandearon archivos a través de correos electrónicos que promocionaban Viagra con descuentos.

Los métodos del grupo son efectivos, pero no particularmente nuevos, y se basan completamente en vulnerabilidades conocidas y ataques de phishing. La inyección de SQL a menudo ha proporcionado al grupo el primer lugar de apoyo en un sistema, aunque los atacantes han enviado objetivos falsos y ofertas de trabajo de contratistas de defensa como Teledyne y Northrop Grumman. Una vez que el primer objetivo fue infectado, comenzaron a acceder a credenciales más poderosas, compilando listas de contraseñas maestras y enviándolas a los servidores principales. Los archivos de contraseñas generalmente iban a un servidor FTP anónimo alojado en California, pero en un ejemplo particularmente inteligente, los atacantes eliminaron clandestinamente los archivos en correos electrónicos con descuentos de Viagra, utilizando el lenguaje del spam para asegurarse de que nadie revise los archivos adjuntos dos veces.

Es una huella notable para un programa que a menudo se ha pasado por alto en favor de grupos mejor financiados en Rusia y China. En febrero, El periodico de Wall Street informó un ataque iraní contra las redes de la Marina de los EE. UU., lo que indica que el país estaba comenzando a tomar represalias después de años como objetivo de sofisticado malware militar. El nuevo informe de Cylance solo confirma la tendencia. El informe también parece haber sacado una cantidad sorprendente de información personal específica, desarrollando cinco archivos separados sobre las personas involucradas, aunque cualquier información de identificación todavía está oculta al público.

Cronología Cylance de los ataques digitales dirigidos o lanzados por Irán, que culminan en el Proyecto Cleaver.

Deja un comentario