La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), junto con el FBI, el Centro de Delitos Cibernéticos del Departamento de Defensa y la Agencia de Seguridad Nacional, ha emitido una advertencia urgente con respecto a posibles ataques cibernéticos de actores afiliados a Irán dirigidos a la infraestructura crítica de los Estados Unidos.
A pesar de las continuas negociaciones de alto el fuego y los esfuerzos diplomáticos, estos actores de amenazas continúan planteando riesgos significativos para las redes y sistemas estadounidenses, particularmente aquellos dentro del sector de base industrial de defensa.
Los grupos cibernéticos iraníes han demostrado un patrón consistente de explotar sistemas vulnerables a través de vectores de ataque sofisticados que aprovechan las vulnerabilidades técnicas y las tácticas de ingeniería social.
Estos actores maliciosos se dirigen rutinariamente a redes mal aseguradas y dispositivos conectados a Internet, centrándose en sistemas con software sin parpadear que contiene vulnerabilidades y exposiciones comunes (CVE) o dispositivos protegidos solo por contraseñas de fabricante predeterminadas.
El panorama de amenazas se ha intensificado después de eventos geopolíticos recientes, con hacktivistas alineados con los intereses iraníes que aumentan significativamente sus operaciones contra los objetivos estadounidenses e israelíes.
La metodología de ataque empleada por estos grupos abarca técnicas de adivinanzas de contraseña automatizadas, grietas hash utilizando recursos en línea y la explotación sistemática de las credenciales de defensa de la fábrica.
Cuando se dirigen a entornos de tecnología operativa, los atacantes utilizan herramientas especializadas de ingeniería y diagnóstico de sistemas para comprometer los componentes de infraestructura crítica que incluyen controladores lógicos programables, interfaces de máquinas humanas y sistemas de monitoreo de terceros.
Analistas de CISA identificado que estos actores de amenaza se han centrado cada vez más en las empresas de base industrial de defensa, particularmente aquellas que mantienen relaciones o participaciones con organizaciones de investigación y defensa israelíes.
Las campañas recientes demuestran la sofisticación en evolución de las operaciones cibernéticas iraníes, con los atacantes que realizan operaciones coordinadas de hack-and-lok combinadas con tácticas de guerra de información.
Estas operaciones implican robo de datos seguido de una divulgación estratégica a través de la amplificación de las redes sociales y las campañas de acoso de mensajería directa, diseñadas para socavar la confianza pública en las organizaciones específicas al tiempo que causan pérdidas financieras y daños a la reputación.
Doculación de tecnología operativa y explotación del sistema de control industrial
El aspecto más preocupante de las operaciones cibernéticas iraníes implica su orientación sistemática de las redes de tecnología operativa y los sistemas de control industrial en múltiples sectores de infraestructura crítica.
Entre noviembre de 2023 y enero de 2024, los actores afiliados al Cuerpo de la Guardia Revolucionaria Islámica iraní realizaron una campaña global contra los controladores lógicos programables fabricados en israelíes e interfaces de máquinas humanas, lo que resultó en docenas de víctimas comprometidas de los Estados Unidos a través de agua y aguas residuales, energía, alimentación y fabricación de bebidas, y sectores de atención médica.
Estos ataques explotaron específicamente los sistemas de control industrial conectados a Internet que utilizaron contraseñas de defensa de fábrica o permanecieron completamente desprotegidos, accediendo a los sistemas a través de puertos de protocolo de control de transmisión predeterminados.
Los actores de amenaza demostraron una comprensión avanzada de los procesos industriales, utilizando herramientas legítimas de ingeniería de sistemas para mantener la persistencia dentro de los entornos de tecnología operativa al tiempo que evitan la detección de los sistemas tradicionales de monitoreo de ciberseguridad.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
