Albania anunció el miércoles la ruptura de sus lazos con Irán y la expulsión de sus diplomáticos debido a un ciberataque que, según los iraníes, se produjo en julio y que pretendía destruir la infraestructura digital de Albania.
En el anuncio, el Primer Ministro de Albania, Edi Rama, declaró que, tras una investigación exhaustiva, se confirmó “con pruebas irrefutables” que el ataque fue realizado por Irán.
Rama añadió que el ataque fue llevado a cabo por cuatro grupos de hackers que actuaron de forma concertada, entre ellos un “notorio grupo ciberterrorista internacional” que, según dijo, ha llevado a cabo ataques contra Israel, Arabia saudita, EAU, Jordania, Kuwait y Chipre. El Primer Ministro no nombró a los grupos.
En agosto, la empresa de ciberseguridad Mandiant informó de que había relacionado el ciberataque contra Albania con piratas informáticos iraníes.
¿Quién reivindicó el ataque?
Aunque Rama no nombró a los grupos específicos responsables del ataque, un grupo que se autodenomina “HomeLand Justice” publicó en julio declaraciones, capturas de pantalla e información en un canal de Telegram y en un sitio web que utiliza un dominio ruso que se vincula al ciberataque.
“Realizamos los #CiberAtaques para expresar nuestro odio y rabia hacia el gobierno albanés. Los terroristas y saqueadores de dinero no pertenecen a nuestra tierra sagrada. Nuestra tierra necesita ser limpiada”, escribió el grupo en un post de Telegram.
El grupo, que se presentaba como albanés, hacía referencia al grupo de oposición iraní Mujahedin-e-Khalq (MEK) en todos sus mensajes, quejándose de que el gobierno albanés apoyaba al MEK.
HomeLand Justice también publicó archivos que, según dijo, contenían datos de las bandejas de entrada de funcionarios y oficinas del gobierno albanés.
¿Qué relación tiene HomeLand Justice con Irán?
Según Mandiant, un ransomware llamado ROADSWEEP mostraba una nota de rescate en la que se leía “¿Por qué deben gastarse nuestros impuestos en beneficio de los terroristas de DURRES?” en los ordenadores que infectaba en el ataque. La Cumbre Mundial por un Irán Libre del MEK iba a celebrarse en julio en la ciudad de Manëz, en el condado de Durrës.
El logotipo del grupo HomeLand Justice parecía idéntico al fondo de pantalla utilizado por el ransomware ROADSWEEP. El gráfico muestra un círculo con líneas que parecen circuitos y el contorno de una estrella de David, así como un águila con las garras apuntando hacia la estrella.
No está claro por qué se utilizó la estrella de David en el logotipo, ya que el grupo no hizo ninguna referencia a los judíos o al Estado de Israel en sus mensajes.
Mandiant descubrió que el ataque también utilizó un backdoor llamado CHIMNEYSWEEP que probablemente se ha utilizado en ataques contra hablantes de farsi y árabe desde 2012. CHIMNEYSWEEP y ROADSWEEP tienen varias piezas de código en común.
CHIMNEYSWEEP opera a través de un archivo autoextraíble que lo contiene y un archivo señuelo de Excel, Word o vídeo.
Una herramienta llamada ZEROCLEARE, que corrompe los sistemas de archivos, también puede haber sido utilizada en el ataque, según Mandiant.
ZEROCLEARE ha sido utilizado por piratas informáticos iraníes en múltiples ocasiones en los últimos años, según múltiples informes. Otro limpiador llamado Dustman, que ha sido identificado como una rama muy similar de ZEROCLEARE, fue utilizado en un ataque a la compañía petrolera nacional de Bahrein Bapco en 2019. Aunque son muy similares, no está claro si Dustman fue fabricado y utilizado por los mismos grupos que utilizan ZEROCLEARE.
Mandiant estimó que uno o múltiples actores de amenazas que trabajan para Irán estaban involucrados en el ciberataque contra Albania debido al momento del ataque antes de la conferencia prevista del MEK, el contenido del grupo de Telegram centrado en el MEK y la larga historia de CHIMNEYSWEEP que se utiliza para atacar a los hablantes de farsi y árabe.
La empresa de ciberseguridad destacó que el ataque era, sin embargo, “significativamente más complejo” que las operaciones anteriores de CHIMNEYSWEEP, y añadió que esto podría indicar una colaboración entre equipos u otros escenarios.
“El uso de ransomware para llevar a cabo una operación de interrupción por motivos políticos contra los sitios web del gobierno y los servicios de los ciudadanos de un estado miembro de la OTAN en la misma semana en la que se iba a celebrar una conferencia de grupos de la oposición iraní sería una operación notablemente descarada por parte de los actores de amenazas relacionadas con Irán”, dijo Mandiant en el informe.
“A medida que las negociaciones en torno al acuerdo nuclear iraní siguen estancadas, esta actividad indica que Irán puede sentirse menos restringido a la hora de llevar a cabo operaciones de ciberataque en el futuro. Esta actividad es también una expansión geográfica de las operaciones cibernéticas disruptivas iraníes, realizadas contra un estado miembro de la OTAN. Puede indicar una mayor tolerancia al riesgo a la hora de emplear herramientas disruptivas contra países que se considera que trabajan contra los intereses iraníes”.
¿Qué tiene esto que ver con Israel y otros países de Oriente Medio?
Según un informe de X-Force IRIS de IBM, ZEROCLEARE fue utilizado en un ciberataque destructivo en Oriente Medio. X-Force IRIS estimó que un grupo iraní conocido como el grupo de amenazas ITG13 o APT34/OilRig y al menos otro grupo probablemente basado en Irán colaboraron en ese ataque.
Los ataques de APT34 también han utilizado documentos de Word señuelo para infectar sistemas informáticos en ataques anteriores, según la empresa israelí de ciberseguridad CheckPoint.
Un actor ruso llamado ITG12 o Turla también tiene acceso a las herramientas utilizadas por APT34, según X-Force IRIS. Turla ha utilizado la infraestructura de APT34 para llevar a cabo sus propios ataques, aparentemente sin la cooperación explícita o el acuerdo del grupo iraní, según la Agencia de Seguridad Nacional de Estados Unidos (NSA) y el Centro Nacional de Ciberseguridad del GCHQ.
Aunque todavía no está claro si APT34 era el grupo que estaba detrás del ataque contra Albania, las herramientas con las que se le ha vinculado se utilizaron en el ataque que se ha relacionado con Irán.
APT34 ha atacado objetivos en varios países, como Líbano, Jordania e Israel, entre otros, según multitud de informes de empresas de ciberseguridad.
Los países objetivo de ZEROCLEARE y APT34 en el pasado parecen coincidir en gran medida con la lista de países objetivo declarada por el primer ministro armenio, aunque ningún ataque en Chipre del que se haya informado públicamente ha estado vinculado a APT34 o ZEROCLEARE.
Los ciberataques iraníes se han dirigido repetidamente a instalaciones civiles en el pasado.
En 2020, piratas informáticos respaldados por Irán supuestamente intentaron atacar y sabotear instalaciones de agua y alcantarillado israelíes. Los ataques atribuidos a hackers respaldados por Irán también han tenido como objetivo instalaciones médicas en Israel.