Los piratas informáticos iraníes han estado "rociando con contraseñas" los EE. UU.

Tras el asesinato del general iraní Qasem Soleimani por parte de los Estados Unidos y el ataque de misiles en represalia que siguió, los observadores de Irán advirtieron que el país también podría desplegar ataques cibernéticos, tal vez incluso [19459004 ] apuntando infraestructura crítica de Estados Unidos como la red eléctrica. Un nuevo informe brinda algunos detalles nuevos sobre la naturaleza de esa amenaza: según parece, los piratas informáticos iraníes actualmente no tienen la capacidad de comenzar a causar apagones en los Estados Unidos. Pero han estado trabajando para obtener acceso a los servicios eléctricos estadounidenses, mucho antes de que las tensiones entre los dos países llegaran a un punto crítico .

El jueves por la mañana, la firma de seguridad del sistema de control industrial Dragos detalló la actividad de piratería recientemente revelada que ha rastreado y atribuido a un grupo de hackers patrocinados por el estado que llama Magnallium. El mismo grupo también se conoce como APT33, Gatito refinado o Elfin, y anteriormente se ha relacionado con Irán. Dragos dice que ha observado a Magnallium llevando a cabo una amplia campaña de los llamados ataques de rociamiento de contraseñas, que adivinan un conjunto de contraseñas comunes para cientos o incluso miles de cuentas diferentes, dirigidas a empresas de servicios eléctricos de EE. UU., Así como a empresas de petróleo y gas.

Un grupo relacionado al que Dragos llama Parisite ha trabajado en aparente cooperación con Magnallium, dice la empresa de seguridad, intentando obtener acceso a las empresas de servicios eléctricos de EE. UU. Y a las empresas de petróleo y gas explotando vulnerabilidades en software de redes privadas virtuales. La campaña de intrusión combinada de los dos grupos se desarrolló durante todo 2019 y continúa hoy.

Dragos se negó a comentar si alguna de esas actividades resultó en infracciones reales. Sin embargo, el informe deja en claro que, a pesar de las pruebas del sistema de TI, no vieron señales de que los piratas informáticos iraníes pudieran acceder al software mucho más especializado que controla equipos físicos en operadores de redes eléctricas o instalaciones de petróleo y gas. En las empresas eléctricas en particular, inducir digitalmente un apagón requeriría mucha más sofisticación que las técnicas que Dragos describe en su informe.

Pero dada la amenaza de los contraataques iraníes, los propietarios de la infraestructura deben estar al tanto de la campaña, argumenta el fundador de Dragos y ex analista de inteligencia de amenazas de infraestructura crítica de la NSA Rob Lee. Y deberían considerar no solo nuevos intentos de violar sus redes, sino también la posibilidad de que esos sistemas ya se hayan visto comprometidos. “Mi preocupación con la situación de Irán no es que veamos que se desarrolle una nueva gran operación”, dice Lee. “Mi preocupación es el acceso que los grupos podrían tener”.

Las campañas de robo de contraseñas y piratería de VPN que Dragos ha observado no se limitan a los operadores de la red o el petróleo y el gas, advierte el analista de Dragos Joe Slowik. Pero también dice que Irán ha mostrado un “interés definitivo” en objetivos críticos de infraestructura que incluyen servicios públicos. “Hacer las cosas de una manera tan generalizada, aunque parezca no enfocado, descuidado o ruidoso, les permite tratar de construir múltiples puntos de acceso de manera relativamente rápida y económica que pueden extenderse a la actividad de seguimiento en un punto de su elección, “dice Slowik, quien anteriormente se desempeñó como jefe del equipo de respuesta a incidentes del Departamento de Energía.

Según los informes, los piratas informáticos de Irán violaron las empresas de servicios eléctricos de EE. UU. Antes de , sentando las bases para posibles ataques contra las empresas de servicios eléctricos de EE. UU., Al igual que Rusia y China. Los piratas informáticos estadounidenses también hacen lo mismo en otros países . Pero esta ola de exploración de la red representaría una campaña más nueva, luego del colapso del acuerdo nuclear de la administración Obama con Irán y las tensiones que se han acumulado entre los Estados Unidos e Irán desde entonces y solo se alivió un poco [19459003 ] desde el ataque con misiles de Irán el martes por la noche.

La campaña de rociado de contraseña Dragos describe coincidencias con hallazgos similares de Microsoft. En noviembre, Microsoft reveló que había visto a Magnallium llevar a cabo una campaña de rociamiento de contraseñas a lo largo de una línea de tiempo similar, pero dirigida a proveedores de sistemas de control industrial del tipo utilizado en servicios eléctricos, instalaciones de petróleo y gas, y otros industriales ambientes. Microsoft advirtió en ese momento que esta campaña de robo de contraseñas podría ser un primer paso hacia los intentos de sabotaje, aunque otros analistas han señalado que también puede haber estado dirigida al espionaje industrial.

 

Andy Greenberg is a senior writer for WIRED, covering security, privacy, information freedom, and hacker culture. He’s the author of the book Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers. Greenberg’s reporting on Ukraine’s cyberwar (including an excerpt from Sandworm) has won a… Read more