Iran sospita de piratejar una companyia energètica europea | VPNoverview.com

Se sospita que un grup de pirateria patrocinat per l’estat amb seu a l’Iran hauria piratejat una companyia europea d’energia. Es creu que el grup havia utilitzat un troià d’accés remot (RAT) anomenat PupyRAT en el seu atac.


Què és PupyRAT

Pupy és un RAT de codi obert escrit principalment en pitó que permet als atacants accedir completament als sistemes de les víctimes. És un programari maliciós multiplataforma i, per tant, pot infiltrar-se en diverses plataformes: Windows, Linux, OSX i Android.

Un trojan d’accés remot (RAT) és programari maliciós que permet als pirates informàtics controlar i controlar l’ordinador o la xarxa de la víctima. Funciona com a programes legítims d’accés remot que sovint utilitzen el suport tècnic per ajudar els clients amb problemes d’ordinador.

Tot i que PupyRAT és un programari maliciós de codi obert, es relaciona principalment amb campanyes de pirateria que es recolzen en l’estat iranià. Està especialment associat al grup de pirateria recolzat per l’estat APT 33. L’APT 33 ha participat en atacs passats a l’organització del sector de l’energia a tot el món.

Com es va desplegar el RAT?

Els RAT només es poden desplegar en sistemes prèviament compromesos. En aquest cas, els investigadors no saben com es va desplegar el PupyRAT, però creuen que es va distribuir mitjançant atacs de caça.

Els atacs de pesca amb llança estan dirigits a un únic destinatari en lloc de gran quantitat de destinataris, tal com ocorre amb els atacs normals de pesca. Els ciberdelinqüents seleccionen un objectiu dins d’una organització i utilitzen les xarxes socials i altra informació pública per obtenir més informació sobre la seva possible víctima. A continuació, envien un correu electrònic fals a la mida d’aquesta persona.

Les campanyes anteriors de l’APT 33 han implicat atacants seleccionant una víctima potencial i guanyant-se la seva confiança abans d’enviar-los un document maliciós per correu electrònic. En conseqüència, els investigadors creuen que és probable que s’utilitzés en aquest cas el mateix mètode de desplegament.

Evidència de la intrusió a la companyia energètica

El Grup Insikt de Future Recorded va informar ahir que havien trobat evidències d’un servidor de comandaments i control PupyRAT (C2) xerrant amb un servidor de correu des de finals de novembre de 2019 fins al 5 de gener de 2020.

L’informe del Grup Insikt continua explicant que: “Si bé els metadades no confirmen cap compromís, considerem que l’elevat volum i les comunicacions repetides del servidor de correu orientat a un PupyRAT C2 són suficients per indicar una intrusió probable”.

El servidor de correu pertanyia a una organització del sector energètic europeu que coordina l’assignació i el recurs de recursos energètics a Europa. Atès el paper de l’organització, aquest atac és d’interès especial, sobretot tenint en compte l’augment d’intrusions relacionades amb l’Iran al programari ICS del sector energètic..

Phil Neray, vicepresident de la ciberseguretat industrial de CyberX, va comentar: “Tenint en compte les àmplies dependències transfrontereres de la infraestructura energètica europea, sembla que aquest és un moviment estratègic de l’adversari per centrar-se en un objectiu centralitzat per tal d’impactar diversos països en el al mateix temps, similar al valor estratègic d’atacar una sola estació de transmissió central en lloc de múltiples subestacions remotes, com ho van fer els actors de l’amenaça russa en l’atac de la xarxa ucraïnesa del 2016 en comparació amb l’atac del 2015 ”.

Objectius dels atacants

Els investigadors creuen que aquesta darrera campanya de pirateria sobre empreses europees del sector energètic va ser una missió de reconeixement. Es creu que la missió tenia com a objectiu la recollida de coneixements importants sobre els processos de les plantes d’energia i els seus sistemes de control industrial (ICS). Els atacants també busquen identificar punts febles en els processos de les empreses i en les infraestructures crítiques.

Priscilla Moriuchi, directora de desenvolupament d’amenaces estratègiques de Recorded Future explica: “L’activació d’operacions o atacs destructius requereix aquest tipus de reconeixement i coneixement del comportament dels funcionaris d’aquestes empreses i entendre com una determinada capacitat pot afectar la informació o la distribució d’energia. recursos ”.

Per a països com l’Iran, que se sospita que patrocinen aquests grups de pirateria, aquest coneixement es pot utilitzar contra adversaris en casos de conflicte. La informació es pot utilitzar per llançar ciberataques per paralitzar els sectors clau d’un adversari, com ara l’energia, l’aigua i el transport..

Tenint això en compte, és interessant notar les dates de la campanya de pirateria. Aquests indiquen que la campanya de pirateria va començar abans de la tensió geopolítica causada per la matança del general iranià Qassem Soleimani. Per tant, aquest ciberatac no va poder ser un atac de represàlia per l’assassinat de Soleimani.

Atacs anteriors a infraestructures crítiques

Els atacs als sistemes ICS i a les infraestructures crítiques han estat en augment els darrers anys. La raó d’això és que són objectius relativament fàcils.

El principal problema amb els sistemes ICS i la infraestructura crítica com els ferrocarrils i les centrals elèctriques és que la majoria es van construir abans que es tingués en compte la ciberseguretat. Molts d’aquests no tenien cap sistema de seguretat i alguns sistemes ICS encara no. Quan es tornen a instal·lar sistemes de seguretat, no sempre és fàcil saber on han quedat forats. De fet, molts sistemes ICS, per exemple, estan plens de vulnerabilitats.

L’atac més famós a la infraestructura crítica es va produir el 2012 mitjançant el programari maliciós Stuxnet. Stuxnet és un cuc d’ordinador que específicament s’adreça als controladors de lògica programables (PLCs). Aquests permeten automatitzar processos i processos industrials per controlar maquinària.

Els investigadors creuen que Stuxnet va ser desenvolupat per intel·ligència nord-americana i israeliana i es va utilitzar per atacar una refineria nuclear iraniana. Ambdós van recollir informació i van destruir milers de centrífuges utilitzats per enriquir l’urani.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me