Itongadol.- Piratas informáticos iraníes consiguieron penetrar en las redes de unas 32 empresas israelíes, según anunció el lunes la empresa de seguridad informática ESET. Los piratas informáticos también penetraron en una empresa de Brasil y otra de los Emiratos Árabes Unidos. No se han revelado los nombres de las empresas, pero por lo que se sabe operan en diversos sectores, como seguros, medicina, industria, comunicaciones, informática, tecnología, comercio minorista, automoción, derecho, servicios financieros, arquitectura e ingeniería civil.
El grupo que está detrás de la campaña ha sido identificado como Ballistic Bobcat, conocido por otros nombres como Charming Kitten, TA543 o PHOSPHORUS, así como APT35/42. El objetivo principal del grupo es el ciberespionaje, pero también opera a otros niveles como el robo de datos o los ataques de rescate. Además, según los resultados, el grupo no fue el único que consiguió acceder a las redes de las víctimas. Al menos 16 empresas se vieron afectadas por atacantes secundarios, aunque ESET no especificó cuáles.
«Se recomienda a los usuarios que instalen parches de seguridad actualizados en todos los dispositivos expuestos a Internet y que estén alerta ante nuevas aplicaciones que aparezcan inesperadamente en su organización», dijo Adam Berger, investigador de ESET que descubrió el backdoor conocido como Sponsor y analizó la última campaña de ciberataque del grupo. El backdoor Sponsor utiliza archivos de configuración almacenados en el disco duro de un ordenador. Los archivos se ejecutan en secreto como archivos por lotes y se crean para que parezcan legítimos, con el fin de evitar su detección por los escáneres de seguridad.
El grupo Ballistic Bobcat comenzó a utilizar la puerta trasera en septiembre de 2021. Durante la epidemia de coronavirus, el grupo Ballistic Bobcat atacó a organizaciones relacionadas con la pandemia, entre ellas la Organización Mundial de la Salud (OMS) e investigadores médicos. Se sospecha que los ataques pretendían transmitir información a las autoridades iraníes sobre cómo hacer frente a la enfermedad en todo el mundo y las vacunas que se desarrollaron en ese momento.
Los investigadores también descubrieron que los hackers se aprovecharon de una conocida debilidad en los servidores de correo electrónico Exchange de Microsoft en al menos 23 de los 34 casos de ataque. Microsoft ya ha publicado una actualización de software para esta vulnerabilidad, por lo que lo más probable es que las víctimas no actualizaran sus sistemas en tiempo real, lo que permitió a los hackers penetrar.
Según los investigadores, no se trata de una campaña selectiva. Los piratas informáticos no trataron proactivamente de penetrar en empresas concretas, sino que se limitaron a escanear con ayuda de herramientas de pirateo y, cuando encontraron la forma de hacerlo, simplemente las utilizaron para penetrar en las redes de las empresas.
Los grupos de piratas informáticos iraníes operan regularmente contra objetivos en Israel. En todo momento hay un gran número de intentos de identificar puntos débiles en las redes corporativas, gubernamentales y militares y explotarlos. Grupos de ataque rusos, norcoreanos, sirios y turcos también operan regularmente en Israel, aunque su propósito suele ser más delictivo que político-estratégico. Sin embargo, no cabe duda de que un grupo que consiga penetrar con éxito en los ordenadores de Israel puede aprovechar la operación también a nivel político.
Israel e Irán llevan varios años realizando ciberataques sistemáticos bajo el radar. La actividad de los iraníes ha sido identificada en varios casos como el cierre del hospital Hillel Yaffe o la intrusión en las redes de empresas de defensa, municipios o incluso infraestructuras nacionales y empresas gubernamentales. En algunos casos se trata de reunir información de inteligencia, en otros el objetivo es avergonzar y cerrar una actividad o plantar programas troyanos para su uso futuro. En este momento no está claro si la campaña identificada ha tenido éxito en sus objetivos o si sigue afectando activamente a otras víctimas.