El grupo ha atacado a los sectores de energía y aviación
FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad dirigida por inteligencia, anunció detalles de un grupo de hackers iraní con capacidades potenciales de destrucción, al que FireEye ha designado como APT33.
Los análisis de FireEye revelan que APT33 ha llevado a cabo operaciones de ciber-espionaje desde al menos 2013 y probablemente trabaje para el gobierno de Irán. Esta información viene de investigaciones recientes por los consultores de FireEye® Mandiant® incident response combinados con análisis de FireEye iSIGHT® Threat Intelligence que descubrieron información de las operaciones, capacidades y motivaciones potenciales del APT33.
Objetivos
APT33 ha apuntado a organizaciones (a lo largo de múltiples industrias) con sede en Estados Unidos, Arabia Saudita y Corea del Sur, el grupo ha mostrado particular interés en organizaciones en el sector de aviación involucrados tanto en el sector militar como comercial, así como organizaciones en el sector energético con lazos a producción petroquímica.
Desde mediados de 2016 hasta inicios de 2017, APT33 comprometió a una organización en el sector de aviación de EE.UU. y apuntó a un conglomerado de negocios localizado en Arabia Saudita ligado con la aviación. Durante el mismo periodo el grupo también atacó una empresa surcoreana de refinación de petróleo y petroquímicos. En mayo de 2017 APT33 atacó una organización de Arabia Saudita y un conglomerado de negocios de Corea del Sur usando un archivo malicioso que intentó atraer víctimas con vacantes de trabajo en una empresa petroquímica de Arabia Saudita.
Los analistas de FireEye creen que el ataque a la organización de Arabia Saudita pudo ser un intento de ganar conocimiento de los rivales regionales, mientras que el ataque a las empresas surcoreanas puede deberse a las sociedades de Corea del Sur con la industria petrolera de Irán, así como las relaciones de Corea del Sur con empresas de petroquímica de Arabia Saudita. APT33 pudo haber atacado a estas organizaciones como resultado del deseo de Irán de expandir su propia producción petroquímica y mejorar su competitividad dentro de la región.
Spear Phishing
El grupo envió una avanzada de fraude electrónico (spear phishing) en correos a empleados cuyos trabajos estuvieron relacionados con la industria de aviación, estos correos incluían señuelos de reclutamiento y contenían enlaces a archivos de aplicaciones HTML maliciosos. Los archivos contenían descripciones de puesto y enlaces a publicaciones de empleos legítimas en sitios de empleo populares que serían relevantes para los individuos objetivo.
En algunos casos, los operadores de APT33 dejaron en los valores por defecto de la superficie del módulo de phishing. Estos parecen ser errores ya que minutos después de enviar los correos con los valores, el grupo envió nuevos correos a los mismos destinatarios con los valores removidos.
Enmascarando Dominios
APT33 registró múltiples dominios enmascarados como compañías de aviación de Arabia Saudita y organizaciones occidentales que tienen sociedades para brindar capacitación, mantenimiento y soporte para la flota militar y comercial de Arabia Saudita. Basados en los patrones observados de los ataques, parece que APT33 usó estos dominios para los correos del spear phishing para atacar a las organizaciones víctimas.
Lazos adicionales refuerzan la atribución a Irán
El ataque de APT33 a las organizaciones involucradas en aviación y energía hace que se alinee con los intereses de la nación-estado, implicando que el actor de la amenaza es seguramente patrocinado por el gobierno. Esto a la par con los tiempos de las operaciones, que coinciden con las horas de trabajo en Irán, y el uso de múltiples herramientas de hackers iraníes, y los nombres de los servidores refuerzan la estimación de FireEye de que el APT33 es probable que haya operado de parte del gobierno de Irán.
John Hultquist, Director de Análisis de Ciber Espionaje en FireEye, agregó que “Irán ha demostrado repetidamente una voluntad para aprovechar globalmente estas capacidades de ciber espionaje. Su agresivo uso de esta herramienta, combinado con cambios geopolíticos, subrayan el peligro que APT33 representa para gobiernos e intereses comerciales en Medio Oriente y a lo largo del mundo. Identificar este grupo y su capacidad destructiva presenta una oportunidad para las organizaciones detectar cualquier asunto relacionado con estas amenazas proactivamente”.
Conozca más acerca del APT33 vía un próximo webinar de FireEye, de clic aquí:
https://www.brighttalk.com/webcast/10703/275683?utm_source=FireEye_blog