NEGOCIOS

Un agente misterioso engaña a los piratas informáticos de Irán y se deshace de su código

Foto estilizada de la computadora de escritorio.

Casi tres años después de que el misterioso grupo llamado Shadow Brokers comenzara a destripar a los piratas informáticos de la NSA y filtrara sus herramientas de piratería en la web abierta, los piratas informáticos de Irán están probando esa experiencia desconcertante. Durante el último mes, una persona o grupo misterioso ha estado apuntando a un importante equipo de piratas informáticos iraníes, descargando sus datos secretos, herramientas e incluso identidades en un canal público de Telegram, y la filtración no muestra signos de detenerse.

Desde el 25 de marzo, un canal de Telegram llamado Read My Lips o Lab Dookhtegan, que se traduce del farsi como «labios cosidos», ha estado divulgando sistemáticamente los secretos de un grupo de piratas informáticos conocido como APT34 o OilRig, en el que los investigadores han creído durante mucho tiempo que estaba trabajando. servicio del gobierno iraní. Hasta ahora, el filtrador o los filtradores han publicado una colección de las herramientas de los piratas informáticos, evidencia de sus puntos de intrusión para 66 organizaciones víctimas en todo el mundo, las direcciones IP de los servidores utilizados por la inteligencia iraní e incluso las identidades y fotografías de los presuntos piratas informáticos que trabajan. con el grupo OilRig.

«Estamos exponiendo aquí las herramientas cibernéticas (APT34/OILRIG) que el despiadado Ministerio de Inteligencia iraní ha estado utilizando contra los países vecinos de Irán, incluidos los nombres de los crueles administradores e información sobre las actividades y los objetivos de estos ataques cibernéticos». lea el mensaje original publicado en Telegram por los piratas informáticos a fines de marzo. «¡Esperamos que otros ciudadanos iraníes actúen para exponer la verdadera cara fea de este régimen!»

Nueve trabajadores de Amazon describen los riesgos diarios que enfrentan

La naturaleza exacta de la operación de filtración y la persona o personas detrás de ella no están nada claras. Pero la filtración parece tener la intención de avergonzar a los piratas informáticos iraníes, exponer sus herramientas, obligándolos a construir otras nuevas para evitar la detección, e incluso comprometer la seguridad de los miembros individuales de APT34/OilRig. «Parece que una persona interna descontenta está filtrando herramientas de los operadores APT34, o es una especie de entidad tipo Shadow Brokers interesada en interrumpir las operaciones de este grupo en particular», dice Brandon Levene, jefe de inteligencia aplicada en la firma de seguridad Chronicle, que ha estado analizando la fuga. «Parece que tienen algo para estos muchachos. Están nombrando y avergonzando, no solo tirando herramientas».

A partir del jueves por la mañana, los filtradores de Read My Lips continuaron publicando nombres, fotos e incluso detalles de contacto de presuntos miembros de OilRig en Telegram, aunque WIRED no pudo confirmar que ninguno de los hombres identificados estuviera realmente conectado con el grupo de piratas informáticos iraníes. «De ahora en adelante, expondremos cada pocos días la información personal de uno de los empleados malditos e información secreta del vicioso Ministerio de Inteligencia para destruir este ministerio traidor», decía un mensaje publicado por los filtradores el jueves.

Los analistas de Chronicle confirman que al menos las herramientas de piratería publicadas son, de hecho, las herramientas de piratería de OilRig, como afirmaron los filtradores. Incluyen, por ejemplo, programas llamados Hypershell y TwoFace, diseñados para dar a los piratas informáticos un punto de apoyo en los servidores web pirateados. Otro par de herramientas llamadas PoisonFrog y Glimpse parecen ser versiones diferentes de un troyano de acceso remoto llamado BondUpdater, que los investigadores de Palo Alto Networks han observado que utiliza OilRig desde agosto pasado.

Más allá de filtrar esas herramientas, el filtrador Read My Lips también afirma haber borrado el contenido de los servidores de inteligencia iraníes y publicado capturas de pantalla del mensaje que dice que dejó, como el que se muestra a continuación.

Un agente misterioso engana a los piratas informaticos de Iran

Lab Dookhtegan/Lee mis labios

Cuando Shadow Brokers derramó su colección de herramientas secretas de piratería de la NSA en el transcurso de 2023 y 2023, los resultados fueron desastrosos: las herramientas de piratería de la NSA filtradas, EternalBlue y EternalRomance, por ejemplo, se usaron en algunos de los ataques cibernéticos más destructivos y costosos de la historia. , incluidos los gusanos WannaCry y NotPetya. Pero Levene de Chronicle dice que las herramientas de OilRig descargadas no son tan únicas o peligrosas, y las versiones filtradas de las herramientas webshell en particular carecen de elementos que permitirían reutilizarlas fácilmente. «No es realmente cortar y pegar», dice Levene. «Es poco probable que se vuelvan a armar estas herramientas».

Otra herramienta incluida en la filtración se describe como malware «DNSpionage» y se describe como «código utilizado para [man-in-the-middle] para extraer detalles de autenticación» y «código para administrar el secuestro de DNS». El nombre y la descripción de DNSpionage coinciden con una operación que las empresas de seguridad descubrieron a fines del año pasado y desde entonces han atribuido a Irán. La operación se dirigió a docenas de organizaciones en todo el Medio Oriente al alterar su Registros DNS para redirigir todo su tráfico de Internet entrante a un servidor diferente donde los piratas informáticos podrían interceptarlo silenciosamente y robar cualquier nombre de usuario y contraseña que incluyera.

Pero Levene de Chronicle dice que, a pesar de las apariencias, Chronicle no cree que el malware DNSpionage en la fuga coincida con el malware utilizado en esa campaña previamente identificada. Sin embargo, las dos herramientas de secuestro de DNS parecen tener una funcionalidad similar, y las dos campañas de piratería al menos compartieron algunas víctimas. La filtración de Read My Lips incluye detalles de los compromisos del servidor que OilRig estableció en una amplia gama de redes de Medio Oriente, desde los aeropuertos de Abu Dhabi hasta Etihad Airways, la Agencia de Seguridad Marketingdecontenido de Bahrein y Solidarity Saudi Takaful Company, una compañía de seguros de Arabia Saudita. Según el análisis de Chronicle de los datos filtrados de las víctimas, los objetivos de OilRig son tan diversos como una empresa de juegos de Corea del Sur y una agencia del gobierno mexicano. Pero la mayoría de las docenas de víctimas de los piratas informáticos están agrupadas en el Medio Oriente, y algunas también fueron afectadas por el espionaje de DNS, dice Levene. «No vemos ningún vínculo con el espionaje de DNS, pero hay una superposición de víctimas», dice. «Si no son iguales, al menos sus intereses son mutuos».

Para OilRig, la fuga en curso representa un revés vergonzoso y una violación de la seguridad operativa. Pero para la comunidad de investigación de seguridad, también ofrece una visión poco común de las partes internas de un grupo de piratería patrocinado por el estado, dice Levene. «No solemos echar un vistazo a los grupos patrocinados por el estado y cómo operan», dice. «Esto nos da una idea del alcance y la escala de las capacidades de este grupo».

Incluso cuando el filtrador de Read My Lips revela los secretos de los iraníes, la fuente de esas filtraciones sigue siendo un misterio. Y a juzgar por sus afirmaciones de Telegram, solo está comenzando. “Tenemos más información secreta sobre los crímenes del Ministerio de Inteligencia iraní y sus directivos”, se lee en un mensaje del grupo publicado la semana pasada. «Estamos decididos a seguir exponiéndolos. ¡Síguenos y comparte!»

Esta historia apareció originalmente en WIRED.com.

Artículo Recomendado:  ZFS 101: comprensión del almacenamiento y el rendimiento de ZFS

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba