Durante la última década, Irán ha desarrollado sus propias capacidades orgánicas de piratería informática y guerra cibernética. Pero los grupos asociados con la orquestación de las diversas actividades de guerra cibernética y espionaje cibernético de Irán también han dependido significativamente de la minería del trabajo de otros, y en al menos un caso, han tratado de traer ayuda externa con el propósito ostensible de entrenar a los posibles piratas informáticos. .
Según Chris Kubecka, un investigador de seguridad que desempeñó un papel destacado en la respuesta de Saudi Aramco al malware «limpiador» Shamoon atribuido a Irán, los funcionarios de la Compañía de Telecomunicaciones de Irán le enviaron correos electrónicos y mensajes en nombre del gobierno iraní, intentando «reclutar para enseñarme a hackear en el país contra la infraestructura crítica con un enfoque en las instalaciones nucleares», dijo a Ars.
Estos esfuerzos, a los que Kubecka aludió brevemente en una presentación en AppSec California en 2023, abarcaron más de 2,5 años, durante los cuales Kubecka informó al FBI. “Recolecté evidencia y me comuniqué con ellos directamente hasta enero pasado cuando intervino el FBI”, dijo. «El último contacto que tuvimos, los iraníes querían la dirección de mi casa para enviarme ‘un regalo'».
El contacto de TCI le ofreció a Kubecka «hasta $100,000 por un mes» para venir a Irán, explicó Kubecka, para impartir un curso avanzado de probador de penetración de Certificación de Garantía de Información Global (GIAC) para sistemas de control industrial (ICS) y control de supervisión y adquisición de datos (SCADA). ) sistemas. El viaje incluyó una «gira VVIP programada con fotos con sus militares», afirmó Kubecka. Le mostró algunos de los mensajes a Ars, incluidas algunas de sus comunicaciones con el FBI.
El acceso de Irán a las herramientas y la capacitación en seguridad de la información de EE. UU. está, en teoría, bloqueado por las sanciones contra el país, aunque ciertamente ha habido lagunas que podrían explotarse para sortear esas barreras. Y cuando Irán se acercó a Kubecka, las sanciones de la ONU se levantaron parcialmente con la firma del Plan de Acción Integral Conjunto (JCPA, por sus siglas en inglés) en 2023, aunque las sanciones de EE. UU. permanecieron vigentes.
Aunque la salida de la administración Trump de la JCPA impidió significativamente el comercio legítimo con Irán, el gobierno puede usar proxies para obtener tecnología restringida, incluidas las herramientas utilizadas por TCI para censurar Internet de Irán y vigilar a los usuarios de Internet. Mientras tanto, Irán ha desarrollado sus propias capacidades orgánicas sobre herramientas listas para usar, algunas de código abierto, algunas de software comercial «crackeado», y las lecciones aprendidas de sus campañas en Arabia Saudita y otros estados del Golfo, así como contra las empresas occidentales.
CISA ha advertido a la industria sobre la intensificación de las actividades de Irán, incluidos nuevos posibles ataques destructivos. Y desde entonces, ha habido un aumento en los últimos meses en los esfuerzos por obtener acceso y recopilar información de la cuenta. En octubre y noviembre de 2023, el grupo de amenazas APT33, atribuido a Irán, apuntó a un total de unas 4000 organizaciones, principalmente en el espacio de controles industriales, con ataques de «rociado de contraseñas» contra cientos de cuentas en cada organización.
En agosto y septiembre de 2023, se observó que otro grupo amenazante iraní, APT35, realizaba miles de intentos de vulnerar las cuentas de correo electrónico de la organización de la campaña presidencial de Trump. APT35 también fue visto tratando de violar las cuentas de correo electrónico de funcionarios actuales y anteriores del gobierno de EE. UU. y de periodistas y expatriados iraníes.
