El lunes, funcionarios británicos y estadounidenses afirmaron que los hackers rusos se conectaron a una red de ciberespionaje iraní para atacar al gobierno y a las organizaciones de la industria en docenas de países mientras se hacían pasar por atacantes de la República Islámica.
El grupo ruso, conocido como Turla y acusado por las autoridades estonias y checas de operar en nombre del servicio de seguridad del FSB ruso, ha utilizado herramientas e infraestructura informática iraníes para hackear con éxito organizaciones en al menos 20 países diferentes durante los últimos 18 meses, dijeron funcionarios de seguridad británicos.
La campaña de piratería informática, cuyo alcance no se ha revelado anteriormente, fue más activa en Oriente Medio, pero también se dirigió a organizaciones británicas, dijeron.
Paul Chichester, un alto funcionario de la agencia de inteligencia británica GCHQ, dijo que la operación muestra que los hackers rusos apoyados por el Estado están trabajando en un “espacio muy abarrotado” y desarrollando nuevos ataques y métodos para cubrir mejor sus huellas.
En una declaración que acompaña a un aviso conjunto con la Agencia de Seguridad Nacional de Estados Unidos (NSA), el Centro Nacional de Seguridad Cibernética de GCHQ dijo que quería concientizar a la industria sobre la actividad y dificultar los ataques para sus adversarios.
“Queremos enviar un mensaje claro de que incluso cuando los actores cibernéticos buscan enmascarar su identidad, nuestras capacidades los identificarán en última instancia”, dijo Chichester, que se desempeña como director de operaciones de la NCSC.
Las autoridades de Rusia e Irán no respondieron inmediatamente a las solicitudes de comentarios enviadas el domingo. Moscú y Teherán han negado repetidamente las acusaciones occidentales de piratería informática.
Los funcionarios occidentales califican a Rusia e Irán como dos de las amenazas más peligrosas en el ciberespacio, junto con China y Corea del Norte, y acusan a ambos gobiernos de llevar a cabo operaciones de piratería informática contra países de todo el mundo.
Los funcionarios de inteligencia dijeron que no había pruebas de colusión entre Turla y su víctima iraní, un grupo de piratas informáticos conocido como “APT34” que los investigadores de ciberseguridad de empresas como FireEye dicen que trabaja para el gobierno iraní.
Más bien, los hackers rusos se infiltraron en la infraestructura del grupo iraní con el fin de “disfrazarse de adversario que las víctimas esperarían que fuera su objetivo”, dijo Chichester de GCHQ.
Las acciones de Turla muestran los peligros de atribuir erróneamente los ciberataques, dijeron las autoridades británicas, pero agregaron que no estaban al tanto de ningún incidente público que se hubiera culpado incorrectamente a Irán como resultado de la operación rusa.
Estados Unidos y sus aliados occidentales también han utilizado ciberataques extranjeros para facilitar sus propias operaciones de espionaje, una práctica conocida como “fourth party collection”, según documentos publicados por el ex contratista de inteligencia estadounidense Edward Snowden e informando sobre Der Spiegel.
GCHQ se negó a comentar sobre las operaciones occidentales.
Al acceder a la infraestructura iraní, los hackers rusos de Turla pudo utilizar los sistemas de “mando y control” de la APT34 para desplegar su propio código malicioso, dijeron GCHQ y la NSA en un aviso público.
El grupo ruso también pudo acceder a las redes de las víctimas existentes de la APT34 e incluso acceder al código necesario para construir sus propias herramientas de hacking “iraníes”.