Hackers iraníes se hicieron pasar por académicos británicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres en un intento de solicitar información sensible a periodistas, expertos de grupos de reflexión y profesores de alto nivel desde principios de año, según un nuevo informe de la empresa de ciberseguridad Proofpoint el martes.
Aunque Proofpoint no ha podido confirmar de forma independiente que los hackers, conocidos como TA453 o CHARMING KITTEN y PHOSPHORUS, formen parte del CGRI, estos se han alineado históricamente con las prioridades del Cuerpo de la Guardia Revolucionaria Islámica (CGRI) de Irán, con ataques dirigidos a disidentes, académicos, diplomáticos y periodistas, según el informe.
En su último ataque, TA453 comprometió un sitio perteneciente a SOAS con el fin de entregar páginas disfrazadas de enlaces de registro para recopilar información de inicio de sesión de los objetivos, incluidos los expertos en asuntos de Oriente Medio de los grupos de reflexión, profesores de alto nivel en las instituciones académicas y periodistas especializados en la cobertura de Oriente Medio.
Los intentos de conectar con los objetivos incluían largas conversaciones antes de entregar los enlaces de registro falsos para capturar las credenciales de los objetivos. TA453 también se dirigió a las cuentas de correo electrónico personales de al menos uno de los objetivos del ataque.
Proofpoint declaró que la campaña de hacking, que denominó SpoofedScholars, es una de las más sofisticadas de TA453 que ha identificado.
El grupo de hackers utilizó los personajes de personas asociadas con SOAS, con el fin de solicitar conversaciones confidenciales con los objetivos.
En los correos electrónicos iniciales enviados por el primer personaje, TA453 invitaba al objetivo a una falsa conferencia en línea sobre “Los retos de seguridad de Estados Unidos en Oriente Medio”. Los correos electrónicos de la segunda persona solicitaban contribuciones para una “Conferencia DIPS”.
En un intento de la primera persona, los hackers trataron de conectar con el objetivo por teléfono para discutir la invitación, pero el objetivo pidió una propuesta escrita con detalles, por lo que los hackers proporcionaron detalles específicos. Después de algunas idas y venidas, TA453 proporcionó una invitación detallada y finalmente intentó que el objetivo se conectara por videoconferencia.
Los hackers proporcionaron a los objetivos enlaces personalizados a un sitio web legítimo, pero comprometido, perteneciente a SOAS, que tenía a los objetivos conectados desde hace tiempo con proveedores de correo electrónico.
Proofpoint advirtió que los correos electrónicos de hanse.kendel4@gmail.com, hannse.kendel4@gmail.com y t.sinmazdemir32@gmail.com deberían considerarse sospechosos e investigarse, y que el tráfico de red hacia soasradi.org también debería investigarse.
Proofpoint señaló que TA453 demostró tener un nivel de inglés pasable y parecía desear conectarse con el objetivo en tiempo real, solicitando incluso una comunicación de voz por videoconferencia. El grupo de hackers también expresó su interés por los números de teléfono móvil, lo que, según Proofpoint, podría ser para el malware móvil o el phishing adicional.
“El uso de infraestructura legítima, pero comprometida, representa un aumento en la sofisticación de TA453 y casi seguramente se reflejará en futuras campañas. TA453 continúa iterando, innovando y recolectando en apoyo de las prioridades de recolección del IRGC”, dijo Proofpoint en el informe. “Los académicos, los periodistas y el personal de los grupos de reflexión deben ser precavidos y verificar la identidad de las personas que les ofrecen oportunidades únicas”.
Las categorías de personas seleccionadas tienen información de interés para el gobierno iraní, incluyendo información sobre política exterior, conocimientos sobre disidentes iraníes y comprensión de las negociaciones nucleares de Estados Unidos, entre otros intereses. La mayoría de los objetivos identificados en esta campaña han sido objeto de la TA453 en el pasado. Menos de diez organizaciones fueron objeto de la campaña.
El SOAS dijo que no se obtuvo ninguna información personal y que sus propios sistemas de datos no se vieron afectados, ya que el sitio web comprometido está separado del sitio web oficial del SOAS.
“Una vez que nos dimos cuenta del sitio falso a principios de este año, inmediatamente pusimos remedio e informamos de la brecha de la forma habitual. Hemos revisado cómo se produjo y hemos tomado medidas para mejorar la protección de este tipo de sistemas periféricos”, dijo la universidad en un comunicado.
Uno de los académicos suplantados dijo a Motherboard by Vice que, aunque la experiencia fue estresante, tuvo conversaciones con “un montón de gente interesante con la que [él] probablemente no habría tenido interacción de otra manera”.
“Creo que fue inteligente por su parte elegirme. El Reino Unido no reconoce el robo de identidad como un delito en sí mismo”, añadió a Motherboard. “Trabajando en el campo de la diplomacia y en una institución de renombre, pero sin la suficiente antigüedad como para ser inverosímil en un primer contacto. Una mezcla de ligeramente torpe pero también muy sofisticada”.
En abril, Proofpoint anunció que el TA453 tenía como objetivo a profesionales médicos de alto nivel especializados en investigación genética, neurología y oncología en Estados Unidos e Israel a finales del año pasado.
En esa campaña, apodada BadBlood, los hackers utilizaron una cuenta de Gmail que se presentó como perteneciente al prominente físico israelí y ex presidente del Instituto de Ciencia Weizmann, Daniel Zajfman.
TA453 también habría sido responsable de atacar sin éxito la campaña de reelección del expresidente estadounidense Donald Trump en 2019, según Reuters. El intento de hackeo tuvo como objetivo cientos de cuentas en el servicio de correo electrónico en la nube de Microsoft; cuatro cuentas que no estaban asociadas a una campaña electoral fueron comprometidas.
La Unidad de Crímenes Digitales de Microsoft y el Centro de Inteligencia de Amenazas de Microsoft han rastreado a TA453 desde 2013, anunció la compañía en 2019, y agregó que el grupo normalmente se dirigía a empresas, agencias gubernamentales, activistas y periodistas con intentos de atraer a los objetivos para que hicieran clic en enlaces maliciosos o introdujeran credenciales en formularios web fraudulentos que simulaban pertenecer a servicios en línea conocidos.