Los piratas informáticos iraníes piratean servidores VPN para plantar puertas traseras en empresas de todo el mundo | ZDNet

0 4

vpn-access.png

Imagen: ClearSky

Una función especial

La ciberguerra y el futuro de la ciberseguridad

El alcance y la gravedad de las amenazas de seguridad actuales han aumentado. Ahora puede haber millones, si no miles de millones, de dólares en riesgo cuando la seguridad de la información no se gestiona adecuadamente.

leer más

2019 será recordado como el año en que se revelaron errores importantes de seguridad en una gran cantidad de servidores VPN corporativos, como los vendidos por Pulse Secure, Palo Alto Networks, Fortinet y Citrix.

Un nuevo informe publicado hoy revela que las unidades de pirateo respaldadas por el gobierno iraní tuvieron la máxima prioridad el año pasado para explotar los errores de VPN tan pronto como se hicieron públicos para infiltrarse y plantar puertas traseras en empresas en el mundo entero.

Según un informe de la firma israelí de ciberseguridad ClearSky, los piratas informáticos iraníes atacaron a compañías "de los sectores de TI, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad".

Algunos ataques ocurrieron horas después de la divulgación pública

El informe disipa la idea de que los piratas iraníes no son sofisticados y menos talentosos que sus homólogos rusos, chinos o norcoreanos.

ClearSky dice que "los grupos APT iraníes han desarrollado buenas capacidades ofensivas técnicas y son capaces de explotar las vulnerabilidades del día a día durante períodos de tiempo relativamente cortos".

En algunos casos, ClearSky dijo que observó grupos iraníes que explotaban vulnerabilidades de VPN a las pocas horas de la divulgación pública de los errores.

* ATP significa amenaza persistente avanzada y es un término que se usa a menudo para describir unidades de piratería de estados nacionales

ClearSky dice que en 2019, los grupos iraníes armaron rápidamente las vulnerabilidades reveladas en Pulse Secure VPN "Connect" (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) y Palo Alto Networks "Global Protect »VPN (CVE-2019-1579).

Los ataques en estos sistemas comenzaron el verano pasado, cuando los detalles de los errores se han hecho públicos, pero también continuaron en 2020.

Además, como los detalles de otras vulnerabilidades de VPN se han hecho públicos, los grupos iraníes también han incluido estos exploits en sus ataques (es decir, CVE-2019-19781, una vulnerabilidad revelada en las VPN "ADC" de Citrix).

Hackear objetivos corporativos para plantar puertas traseras

Según el informe de ClearSky, el propósito de estos ataques es violar las redes corporativas, moverse lateralmente hacia sus sistemas internos y plantar puertas traseras para explotarlas en una fecha posterior.

Si bien el primer paso (violación) de sus ataques estaba dirigido a las VPN, la segunda fase (movimiento lateral) involucró una colección completa de herramientas y técnicas, que muestran cuán avanzadas se han vuelto estas unidades de piratería iraníes en los últimos años.

Por ejemplo, los piratas informáticos han abusado de una técnica conocida desde hace mucho tiempo para obtener derechos de administrador en sistemas Windows utilizando la herramienta de accesibilidad "Sticky Keys" (1, 2, 3, 4).

También explotaron herramientas de piratería de código abierto como JuicyPotato et Invocar hash, pero también utilizaron software legítimo de administrador de sistemas como Putty, Plink, Ngrok, Serveo o FRP.

Además, en el caso de que los piratas informáticos no encontraran herramientas de código abierto o utilidades locales para ayudarlos en sus ataques, también tenían el conocimiento para desarrollar malware personalizado. ClearSky dice que ha encontrado herramientas como:

  • STSRCheck: bases de datos de desarrollo propio y herramienta de mapeo de puertos abiertos.
  • POWSSHNET: malware de puerta trasera autodesarrollado para la tunelización RDP sobre SSH.
  • VBScripts personalizados: scripts para descargar archivos TXT del servidor de comando y control (C2 o C&C) y unificar estos archivos en un archivo ejecutable portátil.
  • Puerta trasera basada en sockets en cs.exe: un archivo EXE utilizado para abrir una conexión basada en sockets a una dirección IP codificada.
  • Port.exe: herramienta para analizar puertos predefinidos para una dirección IP.
stsrcheck.png

Imagen: ClearSky

powsshnet.png

Imagen: ClearSky

Múltiples grupos actuando como uno

Otra revelación del informe ClearSky es que los grupos iraníes también parecen colaborar y actuar como un todo, algo que no se ha visto en el pasado.

Informes anteriores sobre actividades de piratería iraníes han detallado diferentes grupos de actividades, generalmente el trabajo de un grupo.

El informe de ClearSky señala que los ataques a servidores VPN en todo el mundo parecen ser el trabajo de al menos tres grupos iraníes: APT33 (Elfin, Shamoon), APT34 (Oilrig) y APT39 (Chafer).

Manejo de ataques de borrado de datos

Actualmente, el propósito de estos ataques parece ser realizar el reconocimiento y la instalación de puertas traseras para operaciones de vigilancia.

Sin embargo, a ClearSky le preocupa que el acceso a todas estas redes corporativas infectadas también pueda armarse en el futuro para implementar malware que borre datos que pueda sabotear negocios y destruir redes y operaciones comerciales.

Tales escenarios son posibles y muy plausibles. Desde septiembre de 2019, dos nuevas cepas de malware de borrado de datos (ZeroCleare et basurero) fueron descubiertos y vinculados a piratas iraníes.

Además, ClearSky tampoco descarta que los piratas informáticos iraníes puedan explotar el acceso a estas empresas violadas para atacar la cadena de suministro contra sus clientes.

Esta teoría está respaldada por el hecho de que a principios de mes, el FBI envió una alerta de seguridad al sector privado estadounidense ataques continuos contra empresas de la cadena de suministro, “Incluidas las entidades que apoyan los sistemas de control industrial (SCI) para la producción, transmisión y distribución global de energía. El ICS y el sector energético han sido un objetivo tradicional para los grupos de piratería iraníes en el pasado.

La misma alerta del FBI señaló los vínculos entre el malware implementado en estos ataques y el código utilizado anteriormente por el grupo iraní APT33, lo que sugiere que los piratas informáticos iraníes podrían estar detrás de los ataques.

Además, el ataque contra Bapco, la compañía petrolera nacional de Bahrein, utilizó la misma táctica de "violación de VPN -> moverse hacia los lados" que ClearSky describió en su informe.

ClearSky ahora advierte que después de meses de ataques, las compañías que finalmente han parcheado sus servidores VPN también deberían escanear sus redes internas en busca de signos de compromiso.

le Informe ClearSky incluye indicadores de compromiso (COI) que los equipos de seguridad pueden usar para analizar periódicos y sistemas internos en busca de signos de intrusión por parte de un grupo iraní.

Sin embargo, las mismas fallas también han sido explotadas por Piratas chinos y múltiples ransomware y grupos de criptominería.

Nuevas vulnerabilidades de VPN

Además, dados los hallazgos del informe ClearSky, también podemos esperar que los piratas informáticos iraníes también aprovechen la oportunidad para explotar nuevas vulnerabilidades de VPN una vez que se hagan públicas.

Esto significa que podemos esperar que los piratas informáticos iraníes probablemente apunten a los servidores SonicWall SRA y SMA VPN en el futuro después de que los investigadores de seguridad comenzaron a principios de esta semana. detalles publicados de seis vulnerabilidades que afectan a estos dos productos.

Este artículo apareció primero en https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

Dejar un comentario

Su dirección de correo electrónico no será publicada.