Associated Press – Tras el asesinato de un alto general iraní por parte de Estados Unidos y el ataque con misiles de represalia de Irán, ¿debería preocupar a Estados Unidos la ciberamenaza de Irán? Ya hay hackers pro-iraníes que han desfigurado varios sitios web estadounidenses para protestar por el asesinato del general Qassem Soleimani. Un grupo escribió “Esto es solo una pequeña parte de la capacidad cibernética de Irán” en uno de los sitios hackeados.
Hace dos años, escribí que las capacidades de la guerra cibernética de Irán estaban por debajo de las de Rusia y China, pero que se había convertido en una gran amenaza que solo empeoraría. Ya había llevado a cabo varios ciberataques altamente dañinos.
Desde entonces, Irán ha seguido desarrollando y desplegando sus capacidades de ciberataque. Lleva a cabo los ataques a través de una red de intermediarios, lo que permite al régimen golpear a sus enemigos mientras niega la participación directa.
Hackers apoyados por el Cuerpo de la Guardia Revolucionaria Islámica
La capacidad de guerra cibernética de Irán se encuentra principalmente dentro del Cuerpo de la Guardia Revolucionaria Islámica de Irán, una rama del ejército del país. Sin embargo, en lugar de emplear su propia fuerza cibernética contra objetivos extranjeros, el Cuerpo de la Guardia Revolucionaria Islámica parece subcontratar principalmente estos ciberataques.
Según la empresa de inteligencia sobre amenazas cibernéticas Recorded Future, el Cuerpo de la Guardia Revolucionaria Islámica utiliza intermediarios de confianza para gestionar los contratos con grupos independientes. Estos intermediarios son leales al régimen, pero están separados de él. Traducen las prioridades del ejército iraní en tareas discretas, que luego se subastan a contratistas independientes.
Recorded Future estima que hasta 50 organizaciones compiten por estos contratos. Varios contratistas pueden participar en una sola operación.
Los contratistas iraníes se comunican en línea para contratar trabajadores e intercambiar información. Ashiyane, el principal foro de seguridad en línea de Irán, fue creado por piratas informáticos a mediados del decenio de 2000 con el fin de difundir herramientas y tutoriales de piratería informática dentro de la comunidad de hackers informáticos. El Equipo de Seguridad Digital de Ashiyane era conocido por hackear sitios web y sustituir sus páginas de inicio por contenido pro iraní. En mayo de 2011, la Zona H, un archivo de sitios web desfigurados, había registrado 23.532 desfiguraciones solo por ese grupo. Su líder, Behrouz Kamalian, dijo que su grupo cooperaba con el ejército iraní, pero que operaba de manera independiente y espontánea.
Irán tenía una activa comunidad de hackers al menos en 2004, cuando un grupo que se autodenomina Sabotaje de Hackers de Irán lanzó una sucesión de ataques a la web “con el objetivo de mostrar al mundo que los hackers iraníes tienen algo que decir en la seguridad mundial”. Es probable que muchos de los cibercontratistas de Irán provengan de esta comunidad.
El uso de intermediarios y contratistas por parte de Irán hace que sea más difícil atribuir los ciberataques al régimen. No obstante, los investigadores han podido rastrear muchos ciberataques a personas dentro del Irán que operan con el apoyo del Cuerpo de la Guardia Revolucionaria Islámica del país.
Campañas cibernéticas
Irán participa en operaciones de espionaje y sabotaje. Emplea tanto malware como herramientas de software a medida, según un informe de la Fundación para la Defensa de la Democracia en 2018. Utiliza la pesca submarina, o atrae a individuos específicos con mensajes fraudulentos, para obtener el acceso inicial a las máquinas objetivo, incitando a las víctimas a hacer clic en los enlaces que conducen a sitios falsos donde entregan nombres de usuario y contraseñas o abren archivos adjuntos que colocan “puertas traseras” en sus dispositivos. Una vez dentro, la república utiliza varias herramientas de hacking para propagarse a través de las redes y descargar o destruir datos.
Las campañas de espionaje cibernético de Irán obtienen acceso a las redes con el fin de robar datos confidenciales y sensibles en áreas de interés para el régimen. Las compañías de seguridad que rastrean estas amenazas les dan nombres APT (Advanced Persistent Threat) como APT33, nombres de “gatitos” como Magic Kitten, y otros nombres varios como OilRig.
El grupo que la empresa de seguridad FireEye llama APT33 es especialmente digno de mención. Ha llevado a cabo numerosas operaciones de espionaje contra las industrias petrolífera y aeronáutica en los Estados Unidos, Arabia Saudita y otros países. Recientemente se ha informado de que APT33 utiliza pequeñas redes de bots (redes de ordenadores comprometidos) para dirigirse a sitios muy específicos para la recogida de datos.
Otro grupo conocido como APT35 (alias Phosphoros) ha intentado obtener acceso a cuentas de correo electrónico pertenecientes a personas involucradas en la campaña presidencial de los Estados Unidos para el año 2020. Si lo consiguen, podrían utilizar la información robada para influir en las elecciones, por ejemplo, divulgando públicamente información que podría ser perjudicial para un candidato.
En 2018, el Departamento de Justicia de los Estados Unidos acusó a nueve iraníes de llevar a cabo una campaña masiva de robo cibernético en nombre del Cuerpo de la Guardia Revolucionaria Islámica. Todos estaban vinculados al Instituto Mabna, una empresa iraní que está detrás de las intrusiones cibernéticas desde al menos 2013. Los acusados supuestamente robaron 31 terabytes de datos de entidades estadounidenses y extranjeras. Entre las víctimas se encontraban más de 300 universidades, casi 50 empresas y varias agencias gubernamentales.
Ciber sabotaje
Las operaciones de sabotaje de Irán han empleado malware de “limpieza” para destruir los datos de los discos duros. También han empleado redes de bots para lanzar ataques distribuidos de denegación de servicio, en los que una avalancha de tráfico desactiva efectivamente un servidor. Estas operaciones suelen estar ocultas detrás de apodos que se parecen a los utilizados por los hackers informáticos independientes que hackean por una causa en lugar de por dinero.
En un ataque altamente dañino, un grupo que se hace llamar la Espada Cortadora de la Justicia atacó a la compañía petrolera Saudi Aramco con un código de borrado en 2012. Los hackers utilizaron un virus llamado Shamoon para propagar el código a través de la red de la compañía. El ataque destruyó los datos de 35.000 ordenadores, interrumpiendo los procesos de negocio durante semanas.
El software de Shamoon reapareció en 2016, borrando los datos de miles de ordenadores de la agencia de aviación civil de Arabia Saudita y de otras organizaciones. Luego, en 2018, una variante de Shamoon golpeó a la empresa italiana de servicios petroleros Saipem, paralizando más de 300 computadoras.
Los hackers iraníes han realizado ataques masivos de denegación de servicio distribuidos. Entre 2012 y 2013, un grupo que se hace llamar los Cibercombatientes de Izz ad-Din al-Qassam lanzó una serie de incesantes ataques distribuidos de denegación de servicio contra los principales bancos estadounidenses. Se dice que los ataques causaron decenas de millones de dólares en pérdidas relacionadas con los costos de mitigación y recuperación y la pérdida de negocios.
En 2016, Estados Unidos acusó a siete hackers iraníes por trabajar en nombre del Cuerpo de la Guardia Revolucionaria Islámica para llevar a cabo los ataques a los bancos. El motivo puede haber sido la represalia por las sanciones económicas que se habían impuesto a Irán.
Mirando hacia el futuro
Hasta ahora, los ciberataques iraníes se han limitado a las computadoras de escritorio y a los servidores que utilizan software comercial estándar. Todavía no han afectado a los sistemas de control industrial que funcionan con redes de energía eléctrica y otras infraestructuras físicas. Si se introducen y se hacen cargo de estos sistemas de control, podrían, por ejemplo, causar daños más graves, como los apagones de 2015 y 2016 causados por los rusos en Ucrania.
Uno de los iraníes acusados en los ataques a los bancos se metió en el sistema de control informático de la presa de Bowman Avenue en la zona rural de Nueva York. Según la acusación, no se produjo ningún daño, pero el acceso habría permitido manipular la compuerta de la presa si no se hubiera desconectado manualmente por cuestiones de mantenimiento.
Aunque no hay informes públicos de que los actores de la amenaza iraní demuestren su capacidad contra los sistemas de control industrial, Microsoft informó recientemente de que el APT33 parece haber cambiado su enfoque hacia estos sistemas. En particular, han intentado adivinar las contraseñas de los fabricantes, proveedores y mantenedores de los sistemas. El acceso y la información que se podría adquirir al tener éxito podría ayudarles a entrar en un sistema de control industrial.
Ned Moran, un investigador de seguridad de Microsoft, especuló que el grupo podría estar intentando obtener acceso a los sistemas de control industrial para producir efectos físicamente perturbadores. Aunque APT33 no ha estado directamente implicado en ningún incidente de ciber-sabotaje, los investigadores de seguridad han encontrado vínculos entre el código usado por el grupo con el código usado en los ataques Shamoon para destruir datos.
Aunque es imposible conocer las intenciones de Irán, es probable que continúen operando numerosas campañas de ciberespionaje mientras desarrollan capacidades adicionales para el ciber sabotaje. Si las tensiones entre Irán y Estados Unidos aumentan, Irán podría responder con ciberataques adicionales, posiblemente más dañinos de lo que hemos visto hasta ahora.