Google advirtió el viernes de un aumento de los piratas informáticos respaldados por el Estado, con un informe centrado en las “notables campañas” de un grupo vinculado al Cuerpo de la Guardia Revolucionaria de Irán.
El gigante de los motores de búsqueda fue la segunda empresa tecnológica en menos de una semana que emitió una advertencia sobre los piratas informáticos iraníes, y el informe llegó días después de que Microsoft dijera que un grupo tenía como objetivo la tecnología de defensa israelí y estadounidense, y también advirtiera que Irán había cuadruplicado sus hackeos a Israel en el último año.
El viernes, Google afirmó en un blog que un grupo de piratas informáticos iraní conocido como APT35, o “Charming Kitten”, estaba llevando a cabo ataques de malware y phishing en los que se engañaba al objetivo para que instalara un software o facilitara información personal.
El Cuerpo de la Guardia Revolucionaria de Irán fue creado tras la Revolución Islámica de 1979 y cuenta con un amplio aparato de inteligencia y fuerzas.
Más noticias
“Este es el uno de los grupos que desbaratamos durante el ciclo electoral estadounidense de 2020 por sus ataques a personal de campaña”, escribió Ajax Bash, miembro del equipo de análisis de amenazas de Google. “Durante años este grupo ha secuestrado cuentas, desplegado malware y utilizado técnicas novedosas para llevar a cabo espionaje alineado con los intereses del gobierno iraní”.
El post advertía que APT35 tenía como objetivo cuentas del gobierno, el mundo académico, el periodismo, las ONG, la política exterior y la seguridad nacional, y que llevaba activo desde 2017.
La compañía dijo que APT35 utilizó el sitio web comprometido de una universidad británica no identificada para llevar a cabo un ataque de suplantación de identidad pidiendo a las personas que confirmen sus credenciales e información de seguridad.
Además, los hackers utilizaron correos electrónicos de phishing con temática de conferencias para intentar que los usuarios hicieran clic en los enlaces comprometidos.
“Los atacantes utilizaron las conferencias Munich Security y Think-20 (T20) Italia como señuelo en mensajes de correo electrónico de primer contacto no maliciosos para conseguir que los usuarios respondieran. Cuando lo hacían, los atacantes les enviaban enlaces de phishing en la correspondencia de seguimiento”, dijo el gigante del motor de búsqueda.
Google dijo que los hackers también han comenzado a utilizar la función sendMessage de la API de Telegram de la aplicación encriptada para recopilar detalles de los visitantes involuntarios a sus sitios de phishing.
En otro caso, Google dijo que APT35 intentó subir una aplicación de malware a la tienda de Google Play.
El gigante tecnológico dijo que “la aplicación se disfrazaba de software VPN que, si se instalaba, podía robar información sensible como registros de llamadas, mensajes de texto, contactos y datos de localización de los dispositivos”.
La firma dijo que la app fue descubierta y retirada de la Play Store antes de que fuera descargada e instalada por ningún usuario.
Google dijo que en 2021 hasta ahora había advertido a más de 50.000 titulares de cuentas que podrían haber sido objeto de intentos de hackeo respaldados por el Estado utilizando phishing o malware.
“Enviamos intencionadamente estos avisos por lotes a todos los usuarios que pueden estar en riesgo, en lugar de hacerlo en el momento en que detectamos la amenaza en sí, para que los atacantes no puedan rastrear nuestras estrategias de defensa”, explicó Google.
En total, Google dijo que el número de intentos de hackeo en 2021 había aumentado en un tercio en comparación con el mismo período, con el aumento atribuido a una “campaña inusualmente grande” por el grupo ruso APT28, también conocido como “Fancy Bear.”
El lunes, Microsoft dijo que había identificado a un grupo de piratas informáticos iraníes que tenían como objetivo a las empresas de tecnología de defensa israelíes y estadounidenses que utilizan los productos del gigante tecnológico, así como a las empresas que realizan envíos marítimos en Oriente Medio.
La declaración se produjo en un momento en que Israel e Irán se han acusado mutuamente de ataques a buques en Oriente Medio, y en medio de informes sobre los crecientes esfuerzos de Teherán por vengar la muerte de su principal científico nuclear, Mohsen Fakhrizadeh, asesinado el año pasado.
En una entrada de su blog, Microsoft dijo que había identificado por primera vez la célula de hackers -apodada DEV-0343- en julio.
La compañía dijo que los hackers llevaron a cabo “un extenso rociado de contraseñas contra más de 250 inquilinos de Office 365, con un enfoque en las empresas de tecnología de defensa estadounidenses e israelíes, los puertos de entrada del Golfo Pérsico, o las empresas de transporte marítimo mundial con presencia comercial en el Medio Oriente.”
Entre los objetivos han estado “empresas de defensa que apoyan a socios gubernamentales de Estados Unidos, la Unión Europea e Israel que producen radares de grado militar, tecnología de drones, sistemas de satélites y sistemas de comunicación de respuesta de emergencia.”
“Esta actividad probablemente apoya los intereses nacionales de la República Islámica de Irán, basándose en el análisis del patrón de vida, el amplio cruce de objetivos geográficos y sectoriales con actores iraníes, y la alineación de técnicas y objetivos con otro actor originario de Irán”, dice el comunicado.
Microsoft dijo que los esfuerzos de hackeo podrían ayudar a Irán a rastrear “los servicios de seguridad adversarios y el transporte marítimo en Oriente Medio.”
En los últimos años se informó de numerosos presuntos ciberataques iraníes contra Israel, incluido uno que tuvo como objetivo su infraestructura de agua en 2020. El más reciente fue reportado la semana pasada.
Microsoft dijo el domingo que Irán había multiplicado por cuatro sus hackeos a Israel en el último año.
“Microsoft detectó un aumento del enfoque de un número creciente de grupos iraníes dirigidos a entidades israelíes… y con ese enfoque llegó una serie de ataques de ransomware”, dijo el Informe anual de Defensa Digital de la compañía.
Israel e Irán llevan años inmersos en una guerra en la sombra, en la que Israel supuestamente dirige la mayor parte de sus esfuerzos -incluidos múltiples ciberataques sospechosos- a sabotear el programa nuclear de la República Islámica.