Los hackers respaldados por Irán están apuntando a la infraestructura crítica de EE. UU., Advierte EE. UU.

, Forma parte de la Historia

Agrandar / Conjunto de ilustración de banderas a partir de destinos de código binario.

imágenes falsas

Las organizaciones responsables de la infraestructura crítica en los EE. UU. Están en la mira de los piratas informáticos del gobierno iraní, que están explotando vulnerabilidades conocidas en productos empresariales de Microsoft y Fortinet, advirtieron el miércoles funcionarios del gobierno de EE. UU., Reino Unido y Australia.

Un aviso conjunto publicado el miércoles dijo que un grupo de piratería de amenazas persistentes avanzadas alineado con el gobierno iraní está explotando vulnerabilidades en Microsoft Exchange y FortiOS de Fortinet, que forma la base de las ofertas de seguridad de esta última compañía. Todas las vulnerabilidades identificadas se han parcheado, pero no todos los que usan los productos han instalado las actualizaciones. El aviso fue publicado por el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., El Centro Nacional de Seguridad Cibernética del Reino Unido y el Centro de Seguridad Cibernética de Australia.

Una amplia gama de objetivos

“Los actores de APT patrocinados por el gobierno iraní están apuntando activamente a una amplia gama de víctimas en múltiples sectores de infraestructura crítica de EE. UU., Incluido el Sector de Transporte y el Sector de Salud y Salud Pública, así como organizaciones australianas”, dijo el aviso. “El FBI, CISA, ACSC y NCSC evalúan que los actores están enfocados en explotar vulnerabilidades conocidas en lugar de apuntar a sectores específicos. Estos actores de APT patrocinados por el gobierno iraní pueden aprovechar este acceso para operaciones de seguimiento, como exfiltración o cifrado de datos, ransomware y extorsión «.

El aviso dijo que el FBI y CISA han observado que el grupo explota las vulnerabilidades de Fortinet desde al menos marzo y las vulnerabilidades de Microsoft Exchange desde al menos octubre para obtener acceso inicial a los sistemas. Luego, los piratas informáticos inician operaciones de seguimiento que incluyen la implementación de ransomware.

En mayo, los atacantes apuntaron a un municipio estadounidense no identificado, donde probablemente crearon una cuenta con el nombre de usuario «elie» para profundizar más en la red comprometida. Un mes después, piratearon un hospital con sede en EE. UU. Especializado en atención médica para niños. El último ataque probablemente involucró servidores vinculados a Irán en 91.214.124[.]143, 162.55.137[.]20 y 154.16.192[.]70.

El mes pasado, los actores de APT explotaron las vulnerabilidades de Microsoft Exchange que les dieron acceso inicial a los sistemas antes de las operaciones de seguimiento. Las autoridades australianas dijeron que también observaron al grupo aprovechando la falla de Exchange.

Tenga cuidado con las cuentas de usuario no reconocidas

Los piratas informáticos pueden haber creado nuevas cuentas de usuario en los controladores de dominio, servidores, estaciones de trabajo y directorios activos de las redes que comprometieron. Algunas de las cuentas parecen imitar las cuentas existentes, por lo que los nombres de usuario suelen ser diferentes de una organización objetivo a otra. El aviso dijo que el personal de seguridad de la red debe buscar cuentas no reconocidas con especial atención en los nombres de usuario como Support, Help, elie y WADGUtilityAccount.

El aviso se produce un día después de que Microsoft informara que un grupo alineado con Irán al que llama Phosphorous está utilizando cada vez más ransomware para generar ingresos o interrumpir a los adversarios. El grupo emplea «ataques agresivos de fuerza bruta» en objetivos, agregó Microsoft.

A principios de este año, dijo Microsoft, Phosphorus escaneó millones de direcciones IP de Internet en busca de sistemas FortiOS que aún no habían instalado las correcciones de seguridad para CVE-2018-13379. La falla permitió a los piratas informáticos recopilar credenciales de texto sin cifrar utilizadas para acceder de forma remota a los servidores. Phosphorus terminó recopilando credenciales de más de 900 servidores de Fortinet en EE. UU., Europa e Israel.

Más recientemente, Phosphorus pasó a buscar servidores Exchange locales vulnerables a CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, una constelación de fallas que se denominan ProxyShell. . Microsoft solucionó las vulnerabilidades en marzo.

“Cuando identificaron servidores vulnerables, Phosphorus buscó ganar persistencia en los sistemas de destino”, dijo Microsoft. «En algunos casos, los actores descargaron un corredor Plink llamado MicrosoftOutLookUpdater.exe. Este archivo se enviaría periódicamente a sus servidores C2 a través de SSH, lo que permitiría a los actores emitir más comandos. Más tarde, los actores descargarían un implante personalizado a través de un comando de PowerShell codificado en Base64. Este implante estableció la persistencia en el sistema de la víctima mediante la modificación de las claves de registro de inicio y, en última instancia, funcionó como un cargador para descargar herramientas adicionales «.

Te puede interesar  Revisión: Cowboy Bebop reinventado conserva en gran medida los elementos queridos del original

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *