Se sospecha que Irán piratea una empresa energética europea | VPNoverview.com

Se sospecha que un grupo de piratería respaldado por el estado con sede en Irán ha pirateado una empresa europea de energía. Se cree que el grupo utilizó un troyano de acceso remoto (RAT) llamado PupyRAT en su ataque.


¿Qué es PupyRAT?

Pupy es una RAT de código abierto escrita principalmente en python que puede dar a los atacantes acceso total a los sistemas de las víctimas. Es una pieza de malware multiplataforma y, por lo tanto, puede infiltrarse en múltiples plataformas, a saber, Windows, Linux, OSX y Android.

Un troyano de acceso remoto (RAT) es un malware que permite a los piratas informáticos monitorear y controlar la computadora o la red de una víctima. Funciona como programas legítimos de acceso remoto a menudo utilizados por el soporte técnico para ayudar a los clientes con problemas informáticos..

Aunque PupyRAT es un malware de código abierto, está principalmente relacionado con las campañas de piratería respaldadas por el estado iraní. Está particularmente asociado con el grupo de piratería APT 33 respaldado por el estado. APT 33 ha estado involucrado en ataques pasados ​​contra organizaciones en el sector energético a nivel mundial.

¿Cómo se implementó la RAT??

Las RAT solo se pueden implementar en sistemas previamente comprometidos. En este caso, los investigadores no saben cómo se implementó PupyRAT, pero creen que se distribuyó a través de ataques de phishing.

Los ataques de phishing están dirigidos a un solo destinatario en lugar de a un gran número de destinatarios, como ocurre con los ataques de phishing normales. Los ciberdelincuentes seleccionan un objetivo dentro de una organización y utilizan las redes sociales y otra información pública para obtener más información sobre su posible víctima. Luego crean un correo electrónico falso diseñado para esa persona.

Las campañas anteriores de APT 33 involucraron a atacantes que seleccionaron una víctima potencial y ganaron su confianza antes de enviarles un documento malicioso por correo electrónico. En consecuencia, los investigadores creen que es probable que en este caso se haya utilizado el mismo método de implementación..

Evidencia de la intrusión en la compañía energética

El Grupo Insikt de Future Grabado informó ayer que habían encontrado evidencia de que un servidor de Comando y Control PupyRAT (C2) estaba chateando con un servidor de correo desde fines de noviembre de 2019 hasta el 5 de enero de 2020.

El informe de Insikt Group continúa explicando que: “Si bien los metadatos por sí solos no confirman un compromiso, evaluamos que el alto volumen y las comunicaciones repetidas del servidor de correo dirigido a un PupyRAT C2 son suficientes para indicar una posible intrusión”.

El servidor de correo pertenecía a una organización europea del sector energético que coordina la asignación y la dotación de recursos energéticos en Europa. Dado el papel de la organización, este ataque es de particular interés, especialmente teniendo en cuenta el aumento de las intrusiones vinculadas a Irán en el software ICS del sector energético..

Phil Neray, vicepresidente de Ciberseguridad Industrial en CyberX, comentó: “Dadas las amplias dependencias transfronterizas en toda la infraestructura energética europea, este parece ser un movimiento estratégico del adversario para enfocarse en un objetivo centralizado para impactar a múltiples países en el Al mismo tiempo, similar al valor estratégico de atacar una sola estación central de transmisión en lugar de múltiples subestaciones remotas, como lo hicieron los actores de la amenaza rusa en el ataque a la red ucraniana de 2016 en comparación con su ataque de 2015 “.

Los objetivos de los atacantes

Los investigadores creen que esta última campaña de piratería en empresas europeas en el sector de la Energía fue una misión de reconocimiento. Se cree que la misión tiene como objetivo reunir conocimientos importantes sobre los procesos de las plantas de energía y sus Sistemas de Control Industrial (ICS). Los atacantes también buscan identificar debilidades en los procesos y la infraestructura crítica de las empresas..

Priscilla Moriuchi, directora de desarrollo de amenazas estratégicas en Recorded Future, explica: “Habilitar operaciones o ataques destructivos requiere este tipo de reconocimiento y comprensión del comportamiento de los funcionarios de estas compañías durante meses y comprender cómo una determinada capacidad podría afectar la información o la distribución de energía recursos “.

Para países como Irán, de quienes se sospecha que patrocinan estos grupos de piratería, ese conocimiento puede usarse contra adversarios en casos de conflicto. La información se puede utilizar para lanzar ataques cibernéticos para paralizar los sectores clave de un adversario, como la energía, el agua y el transporte..

Con esto en mente, es interesante anotar las fechas de la campaña de piratería. Esto indica que la campaña de piratería informática comenzó antes de la tensión geopolítica causada por el asesinato del general iraní Qassem Soleimani. En consecuencia, este ciberataque no pudo haber sido un ataque de represalia por el asesinato de Soleimani.

Ataques previos a infraestructura crítica

Los ataques a los sistemas ICS y la infraestructura crítica han ido en aumento en los últimos años. La razón de esto es que son objetivos relativamente fáciles.

El principal problema con los sistemas ICS y la infraestructura crítica como los ferrocarriles y las centrales eléctricas es que la mayoría se construyeron antes de que se considerara la ciberseguridad. Muchos de estos no tenían ningún sistema de seguridad y algunos sistemas ICS todavía no. Cuando se readaptan con sistemas de seguridad, no siempre es fácil saber dónde se han dejado los agujeros. De hecho, muchos sistemas ICS, por ejemplo, están llenos de vulnerabilidades..

El ataque más famoso a la infraestructura crítica se realizó en 2012 con el malware Stuxnet. Stuxnet es un gusano informático que se dirige específicamente a los controladores lógicos programables (PLC). Permiten la automatización de procesos industriales y procesos de control de maquinaria..

Los investigadores creen que Stuxnet fue desarrollado por inteligencia estadounidense e israelí y fue utilizado para atacar una refinería nuclear iraní. Recopiló inteligencia y destruyó miles de centrifugadoras utilizadas para enriquecer uranio..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map