Los últimos acontecimientos han provocado un aumento de la preocupación por posibles ataques cibernéticos procedentes de Irán.

Estos son los últimos hallazgos del equipo de investigación de amenazas de Proofpoint sobre ataques patrocinados y alineados por el estado iraní, detalles sobre 11 grupos de ataque iraníes y sus tácticas preferidas y, lo más importante, recomendaciones de seguridad.

Autores de amenazas iraníes: cómo operan y últimos hallazgos

La capacidad de ataque cibernético iraní despuntó por primera vez a nivel mundial alrededor de 2013, tres años después del ataque de Stuxnet. Los atacantes patrocinados y alineados por el estado han sido una amenaza continua y se han dirigido a gobiernos, organizaciones y ciudadanos de todo el mundo, con impactos significativos.

El equipo de investigación de amenazas de Proofpoint continúa viendo actividades que siguen la misma lógica que las campañas iniciadas a principios de diciembre de 2019. Según las anteriores acciones de los actores de amenazas iraníes, es poco probable que se produzca nueva actividad de inmediato, ya que habitualmente son grupos muy metódicos y prudentes con los tiempos.

Si bien no podemos predecir que vayan a aumentar los ataques ni de qué tipo serán, es importante examinar los ataques anteriores para comprender mejor a estos actores de amenazas. Los datos históricos muestran que no podemos tomarnos esta amenaza a la ligera. Los atacantes iraníes pueden no ser tan conocidos como los de otros países, pero han llevado a cabo con éxito muchas operaciones a lo largo de los años, a veces con efectos significativos e incluso devastadores.

Los grupos de ataque iraníes operan principalmente por debajo del radar informativo (con la excepción de los ataques Shamoon). Esto se debe a la naturaleza metódica de su trabajo y su capacidad para evitar causar incidentes que generen grandes titulares. Eligen sus objetivos con cuidado y se infiltran frecuentemente de forma lenta y sigilosa, para llevar a cabo acciones de reconocimiento, espionaje o ataques posteriores. A menudo, estos grupos recogen credenciales y las mantienen a lo largo del tiempo para conseguir hacer el mayor daño posible. Esto significa que los ataques iraníes podrían tener ya información y presencia en determinados objetivos, que podrían movilizar en nuevos ataques.

Estos grupos iraníes no solo atacan a los Estados Unidos, Israel y Arabia Saudita: operan a una escala verdaderamente global. Y aunque los objetivos gubernamentales y militares son obvios, también persiguen a compañías de telecomunicaciones, organizaciones financieras y grupos de derechos humanos o incluso educativos. Organizaciones mundiales, de diversos sectores, deberían tomarse en serio esta amenaza potencial.

11 grupos de autores iraníes de amenazas y sus tácticas

A continuación se describen los principales grupos de actores de amenazas iraníes, las industrias y los países y regiones a los que se sabe que se dirigen, así como sus principales tácticas. Esta lista incluye información del marco de trabajo ATT&CK de MITRE sobre grupos de autores de amenazas, información disponible públicamente y la investigación de amenazas de Proofpoint.

Grupos de ataque iraníes

1. APT 33/Elfin: Un grupo que desde 2013 se ha dirigido a los sectores de aviación, energía, gobierno, salud y transporte en Arabia Saudita, Corea del Sur y los Estados Unidos. Algunos creen que este grupo es responsable de los ataques de Shamoon. Proofpoint rastrea a este grupo como TA451 y ha estado activo recientemente, en diciembre de 2019.
2. APT 39/Chafer: Un grupo que desde 2014 se ha dirigido a los sectores de gobierno, telecomunicaciones y viajes para recopilar información personal. Proofpoint rastrea a este grupo como TA454 y ha estado active en junio de 2019.
3. Charming Kitten: Un grupo que desde 2014 se ha dirigido a personas en los sectores de investigación académica, gobierno, grupos de derechos humanos, medios de comunicación, ejército y tecnología en Irán, Estados Unidos, Israel y el Reino Unido al obtener acceso a cuentas personales de correo electrónico y Facebook. Proofpoint rastrea a este grupo como TA453 y ha estado active en septiembre de 2019.
4. Cleaver: Un grupo u organización rastreada por primera vez en 2014, centrada en los sectores de aviación, energía, militar, transporte, salud y servicios públicos en China, Francia, Alemania, India, Israel, Arabia Saudita y los Estados Unidos. Se cree que han utilizado cuentas falsas de LinkedIn como parte de sus ataques.
5. CopyKittens: Un grupo que desde 2013 se ha dirigido a usuarios en Alemania, Jordania, Turquía, Arabia Saudita y Estados Unidos.
6. Group5 (dudoso):  La atribución a Irán no es definitiva, pero este grupo se ha dirigido a individuos conectados a la oposición siria con malware a través de ataques de spearphishing y watering hole.
7. LeafMiner: Un grupo que desde 2017 se ha dirigido al correo electrónico de personas en el gobierno y empresas en el Oriente Medio.
8. Magic Hound: Un grupo que desde 2014 se ha enfocado en los sectores de energía, gobierno y tecnología en Arabia Saudita.
9. MuddyWater: Un grupo que desde 2017 se ha centrado en los sectores de energía, gobierno, medios y telecomunicaciones en Europa, Oriente Medio y América del Norte. Proofpoint rastrea a este grupo como TA450 y ha estado activo en enero de 2020.
10. OilRig: Un grupo que desde 2014 se ha enfocado en los sectores de aviación, energía, finanzas, gobierno, medios, tecnología, telecomunicaciones y transporte en Oriente Medio. Proofpoint rastrea a este grupo como TA452 y ha estado activo en diciembre de 2019.
11. Silent Librarian/Cobalt Dickens: Silent Librarian es un grupo que desde 2013 se ha dirigido a universidades de todo el mundo. Proofpoint rastrea a este grupo como TA407. Un grupo relacionado, conocido como Cobalt Dickens, se ha centrado en los sectores de construcción, medios de comunicación, educación superior / investigación, salud y transporte. Proofpoint rastrea este grupo como TA4900. Estos grupos estuvieron activos en diciembre y septiembre de 2019, respectivamente.