Microsoft afirma que diferentes grupos de actores de amenazas respaldados por el estado de Irán, han intentado comprometer cada vez más a las empresas de servicios informáticos en el presente año, cuyos objetivos son el robo credenciales, los cuales podrían ser utilizados para vulnerar los sistemas de los clientes.
Según los analistas de seguridad del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y de la Unidad de Seguridad Digital (DSU), esta actividad forma parte de un objetivo de espionaje más amplio para comprometer entidades de interés para el régimen iraní.
«Esta actividad es notable porque apuntar a terceros tiene el potencial de explotar organizaciones más sensibles aprovechando la confianza y el acceso en una cadena de suministro… Microsoft ha observado múltiples actores de amenazas iraníes que apuntan al sector de servicios de TI en ataques que tienen como objetivo robar credenciales de inicio de sesión pertenecientes a las redes de clientes descendentes para permitir nuevos ataques.»
Redmond ha enviado más de 1.600 notificaciones para alertar a más de 40 empresas de TI de intentos de hackeos coordinados por grupos APT iraníes. Esto muestra un aumento asombroso en comparación con 2020, cuando Microsoft solo envió 48 notificaciones en todo el año. La mayoría de estos ataques se centran en empresas de servicios informáticos de la India, y algunos de ellos también se dirigen a varias empresas con sede en Israel y los Emiratos Árabes Unidos.

Como reveló Microsoft, dos grupos de hackers iraníes Identificados como: DEV-0228 y DEV-0056 lograron vulnerar a diferentes empresas del sector TI de Israel y Bahrein en julio y septiembre del presente año:
- En Julio de 2021, el MSTIC rastrea como DEV-0228 y que considera que es un grupo APT con sede en Irán, aquel grupo comprometió a una única empresa de TI con sede en Israel que proporciona software de gestión empresarial. Según la evaluación de MSTIC, DEV-0228 utilizó el acceso a esa empresa de TI para ampliar sus ataques y poner en peligro a clientes de los sectores de defensa, energía y legal en Israel.
- En Septiembre, detectamos que otro grupo iraní, DEV-0056, comprometiendo las cuentas de correo electrónico de una empresa de integración de TI con sede en Bahréin que trabaja en la integración de TI con clientes del Gobierno de Bahréin, que probablemente eran el objetivo final de DEV-0056. DEV-0056 también comprometió varias cuentas en una organización parcialmente gubernamental de Oriente Medio que proporciona tecnología de la información y las comunicaciones a los sectores de defensa y transporte, que son objetivos de interés para el régimen iraní. DEV-0056 mantuvo su persistencia en la organización de integración de tecnologías de la información al menos hasta octubre.
Los actores de la amenaza iraní han estado en el punto de mira durante las dos últimas semanas, con varios avisos e informes que advierten de la actividad iraní dirigida a organizaciones de todo el mundo, con fines de realizar trabajos de ciber-espionaje a industrias estrategias para el régimen de Irán.
Las diferentes agencias de ciberseguridad de Estados Unidos, Reino Unido y Australia advirtieron el jueves de la explotación en curso de las vulnerabilidades de Microsoft Exchange ProxyShell y Fortinet, vinculadas a un grupo de hackers patrocinado por Irán y a ataques de ransomware. Un día antes, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) reveló que seis grupos de hackers iraníes han comenzado a desplegar ransomware y a exfiltrar datos de los sistemas de las víctimas a partir de septiembre de 2020.

Y finalmente, también el FBI advirtió en una notificación de la industria privada TLP:AMBER (PIN) de un actor de la amenaza iraní que intenta comprar información robada asociada a organizaciones estadounidenses y de todo el mundo a partir de fuentes de la web clara y oscura que podría ser utilizada para violar sus sistemas de nuevo.
Más información
https://www.microsoft.com/security/blog/2021/11/18/iranian-targeting-of-it-sector-on-the-rise/
https://us-cert.cisa.gov/ncas/alerts/aa21-321a

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence