Dos empresas de ciberespionaje publicaron el martes un informe sobre el grupo de ciberataques Lyceum, con sede en Irán, que tiene como objetivo Israel, Arabia Saudita, Marruecos, Túnez y otros países africanos.
Las dos empresas, Accenture, que tiene una importante sucursal israelí, y Prevalion, con sede en Estados Unidos, publicaron una investigación que rastrea los ciberataques entre julio y octubre de este año.
Si bien los grupos de ciberinteligencia Clearsky y Kaspersky ya habían publicado resultados sobre Lyceum, incluso en agosto, el nuevo informe divulga “detalles sobre las últimas operaciones, incluyendo nuevas víctimas, geografías e industrias que son objetivo”.
Este último informe es una inmersión profunda “para analizar más a fondo la infraestructura operativa y la victimología de este actor”.
Los resultados del equipo corroboran los hallazgos “que indican un enfoque principal en eventos de intrusión en redes informáticas dirigidos a proveedores de telecomunicaciones en Oriente Medio”.
Sin embargo, la nueva investigación amplía este conjunto de víctimas al identificar objetivos adicionales dentro de los proveedores de servicios de Internet (ISP) y los organismos gubernamentales.
En particular, el informe afirma que “al menos dos de los ataques identificados se consideran en curso a pesar de la divulgación pública previa de los indicadores de compromiso (IOC)”.
El informe identificó seis dominios con una conexión previamente desconocida con Lyceum (cinco de los cuales están actualmente registrados).
Además, los nuevos descubrimientos “acabaron alimentando la capacidad de Prevailion para anexionar más de 20 dominios de Lyceum, que proporcionaron telemetría de red de los compromisos en curso”.
Si bien el informe dijo que Lyceum continúa apuntando a organizaciones en sectores de importancia nacional estratégica, incluidas las organizaciones de petróleo y gas y los proveedores de telecomunicaciones, como lo ha hecho desde 2017, agregó que el grupo ha ampliado su conjunto de objetivos para incluir a los ISP y los organismos gubernamentales.
Una de las razones por las que las empresas de telecomunicaciones y los ISP son objetivos de alto nivel para los actores de amenazas de ciberespionaje es “porque una vez comprometidos, proporcionan acceso a varias organizaciones y suscriptores, además de los sistemas internos que pueden usarse para aprovechar el comportamiento malicioso aún más.
Además, las empresas de estos sectores también pueden ser “utilizadas por los actores de amenazas o sus patrocinadores para vigilar a individuos de interés”.
En un caso concreto, Lyceum apuntó a una oficina del Ministerio de Asuntos Exteriores, que son “objetivos muy codiciados porque disponen de valiosa información sobre el estado actual de las relaciones bilaterales y de información sobre futuros tratos”.
En cuanto a las tácticas, el informe dice que “el bloqueo del sistema de nombres de dominio (DNS) parece utilizarse solo durante las primeras etapas del despliegue de la puerta trasera; posteriormente, los operadores de Lyceum utilizan la funcionalidad de comando y control (C2) HTTP(S) codificada en las puertas traseras”.
Durante la campaña, Lyceum utilizó dos familias principales de malware, apodadas Shark y Milan (también conocido como James).
Siguiendo el rastro dejado por el malware Shark, “los investigadores fueron capaces de pasar de probables hosts israelíes a direcciones IP que resolvían a telecomunicaciones e ISPs en Israel y Arabia Saudita”.
“El backdoor se dirigió constantemente a estas víctimas desde septiembre hasta octubre de 2021”, dice el informe.