Una campaña para infiltrarse en empresas TI y de algunas reparticiones de infraestructura crítica del Estado estadounidense y de Israel ha estado persiguiendo un grupo de hackers iraní según un reporte de la empresa israelí de ciberseguridad, ClearSky.
La Campaña Fox Kitten, como se le denominó a esta actuación de piratas informáticos de la República Islámica de Irán, usaría VPN para infiltrarse como puerta trasera a empresas de «de los sectores de TI, Telecomunicaciones, Petróleo y Gas, Aviación, Gobierno y Seguridad».
Esta campaña de instalación de vulnerabilidades también se puede usar como plataforma para propagar y activar malware destructivo como ZeroCleare y Dustman, vinculado a la herramienta de ciberespionaje APT34.
Según ClearSky, los hackers de Irán vienen trabajando en estas vulneraciones del VPN desde 2017 y sus objetivos serían los siguientes:
- Desarrollar y mantener rutas de acceso a las organizaciones seleccionadas.
- Robar información valiosa de las organizaciones objetivo
- Mantener un punto de apoyo duradero en las organizaciones seleccionadas.
- Infracción de compañías adicionales a través de ataques a la cadena de suministro.
Sin embargo, las conclusiones sobre estos ataques informáticos son aún más preocupantes para la comunidad internacional.
Esto porque se establece que los grupos de de piratas informáticos iraníes han logrado penetrar y robar información de docenas de compañías en todo el mundo en los últimos tres años.
«El vector de ataque más exitoso y significativo utilizado por los grupos de iraníes en los últimos tres años ha sido la explotación de vulnerabilidades conocidas en sistemas con servicios VPN y RDP no parcheados, para infiltrarse y tomar el control de los almacenamientos críticos de información corporativa. Este vector de ataque no es utilizado exclusivamente por los grupos APT iraníes; se convirtió en el principal vector de ataque para grupos de delitos cibernéticos, ataques de ransomware y otros grupos ofensivos patrocinados por el estado», manifiestan en ClearSky.
Una de las últimas empresas afectadas fue Citrix, y la intención principal es llegar a esas compañías de TI, para a través de ellas llegar a las redes de compañías adicionales.
La empresa de ciberseguridad de Israel confirma que «el tiempo necesario para identificar a un atacante en una red comprometida es largo y varía de un mes a otro. La capacidad de monitoreo existente para que las organizaciones identifiquen y bloqueen a un atacante que ingresó a través de herramientas de comunicación remota es difícil o imposible».
