Las agencias de ciberseguridad e inteligencia de los Estados Unidos han emitido una advertencia conjunta de posibles ataques cibernéticos de actores de amenaza patrocinados por el estado iraníes o afiliados.
«En los últimos meses, ha habido una actividad creciente de los hacktivistas y los actores afiliados al gobierno iraní, que se prórroga que aumente oportuno a eventos recientes», dijeron las agencias.
«Estos actores cibernéticos a menudo explotan objetivos de oportunidades basados en el uso de software no parpadeado o anticuado con vulnerabilidades y exposiciones comunes conocidas o el uso de contraseñas predeterminadas o comunes en cuentas y dispositivos conectados a Internet».
Actualmente no existe evidencia de una campaña coordinada de actividad cibernética maliciosa en los Estados Unidos que puede atribuirse a Irán, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigación (FBI), el Centro de Delitos Cibernéticos del Unidad de Defensa (DC3) y la Agencia Doméstico de Seguridad (NSA).
Enfatizando la carestia de una «maduro vigilancia», las agencias destacaron a las compañías de la Almohadilla Industrial de Defensa (DIB), específicamente aquellos con lazos con las empresas de investigación y de defensa israelíes, como un aventura elevado. Las entidades estadounidenses e israelíes asimismo pueden estar expuestas a ataques distribuidos de denegación de servicio (DDoS) y campañas de ransomware, agregaron.
Los atacantes a menudo comienzan con herramientas de registro como Shodan para encontrar dispositivos vulnerables orientados a Internet, especialmente en entornos del sistema de control industrial (ICS). Una vez internamente, pueden explotar la segmentación débil o los firewalls mal configurados para moverse lateralmente a través de las redes. Los grupos iraníes han utilizado previamente herramientas de llegada remoto (ratas), keyloggers e incluso utilidades de suministro legítimas como Psexec o Mimikatz para aumentar el llegada, todo mientras evade las defensas básicas de punto final.
Según las campañas anteriores, los ataques montados por los actores de amenaza iraníes aprovechan las técnicas de explotación de la contraseña automatizada, el agrietamiento de hash de contraseña y las contraseñas predeterminadas del fabricante para obtener llegada a dispositivos expuestos a Internet. Igualmente se ha antagónico que emplean herramientas de ingeniería y dictamen de sistemas para violar las redes de tecnología operativa (OT).
El ampliación se produce días luego de que el Unidad de Seguridad Doméstico (DHS) lanzó un boletín, instando a las organizaciones estadounidenses a apañarse posibles «ataques cibernéticos de bajo nivel» de los hacktivistas pro-iraníes en medio de las continuas tensiones geopolíticas entre Irán e Israel.
La semana pasada, Check Point reveló que el corro de piratería de estado-estado de la nación iraní rastreó como periodistas dirigidos de APT35, expertos en seguridad cibernética de suspensión perfil y profesores de ciencias de la computación en Israel como parte de una campaña de phishing de vara diseñada para capturar sus credenciales de cuentas de Google utilizando las páginas de inicio de sesión de Gmail falsos o las invitaciones de Google.
Como mitigaciones, se aconseja a las organizaciones que sigan los pasos a continuación –
- Identificar y desconectar los activos de OT y ICS de Internet notorio
- Asegúrese de que los dispositivos y las cuentas estén protegidos con contraseñas fuertes y únicas, reemplace las contraseñas débiles o predeterminadas, y apliquen la autenticación multifactor (MFA)
- Implementar MFA resistente a phishing para alcanzar a redes OT desde cualquier otra red
- Asegúrese de que los sistemas estén ejecutando los últimos parches de software para proteger contra las vulnerabilidades de seguridad conocidas
- Monitorear los registros de llegada de los usuarios para el llegada remoto a la red OT
- Establecer procesos OT que eviten cambios no autorizados, pérdida de visión o pérdida de control
- Adoptar copias de seguridad del sistema y datos completos para suministrar la recuperación
Para las organizaciones que se preguntan por dónde comenzar, un enfoque práctico es revisar primero su superficie de ataque foráneo: qué sistemas están expuestos, qué puertos están abiertos y si los servicios obsoletos aún se están ejecutando. Herramientas como el software de higiene cibernética de CISA o escáneres de código destapado como NMAP pueden ayudar a identificar riesgos antaño que los atacantes. Alinear sus defensas con el situación Mitre ATT & CK asimismo hace que sea más sencillo priorizar las protecciones basadas en las tácticas del mundo vivo utilizadas por los actores de amenazas.
«A pesar de un suspensión el fuego público y las negociaciones continuas alrededor de una opción permanente, los actores cibernéticos y grupos hacktivistas afiliados a Irán aún pueden realizar actividades cibernéticas maliciosas», dijeron las agencias.
