FireEye, Inc. ha anunciado los detalles de un grupo de hackers iraní con habilidades potencialmente destructivas al que FireEye ha denominado APT33.
El análisis realizado por FireEye revela que APT33 ha llevado a cabo actividades de ciberespionaje al menos desde 2013 y que es probable que trabaje para el gobierno iraní. Esta información proviene de investigaciones recientes de los consultores de respuesta a incidentes de Mandiant® , una compañía de FireEye®, combinado con el análisis de FireEye iSIGHT® Threat Intelligence, que desveló información de las actividades, habilidades y motivaciones potenciales de APT33.
Objetivos
APT33 ha atacado organizaciones- procedentes de diferentes industrias- con sede en Estados Unidos, Arabia Saudí y Corea del Sur. El grupo ha mostrado un particular interés en organizaciones del sector de la aviación dedicadas tanto al ámbito militar como comercial, así como otras compañías del sector de la energía con vínculos con la producción petroquímica.
Desde mediados de 2016 hasta principios de 2017, APT33 comprometió una organización estadounidense del sector de la aviación y atacó un grupo empresarial de Arabia Saudí con participaciones en empresas de aviación. Durante el mismo período, el grupo también atacó una compañía surcoreana relacionada con la industria petroquímica y la refinería de petróleo. En mayo de 2017, parece que APT33 atacó una organización saudita y un grupo empresarial surcoreano utilizando un archivo malicioso que intentó embaucar a las víctimas con ofertas de trabajo de una compañía petroquímica de Arabia Saudí.
Los analistas de FireEye creen que los ataques a la organización de Arabia Saudí podrían constituir un intento de obtener información de rivales regionales, mientras que los ataques a las empresas surcoreanas podrían deberse a las alianzas que tienen con la industria petroquímica iraní, así como a las relaciones de Corea del Sur con compañías petroquímicas de Arabia Saudí. APT33 podría haber atacado estas organizaciones como resultado del anhelo de Irán de ampliar su propia producción petroquímica y mejorar su competitividad en la región.
Spear Phishing
El grupo envió correos electrónicos de spear phishing (estafa de correo electrónico dirigida a objetivos concretos) a empleados con trabajos relacionados con la industria de la aviación. Estos emails usaban como cebo asuntos relacionados con procesos de selección de personal y contenían enlaces a archivos de aplicaciones HTML maliciosas. Los archivos incluían descripciones de puestos de trabajo y enlaces a ofertas de trabajo verdaderas en sitios web de empleo conocidos que podrían ser de interés para las personas a las que iban dirigidos.
En unos pocos casos, los miembros de APT33 dejaron los valores por defecto del módulo shell (interfaz que hay entre el usuario y el sistema) en el phishing. Parece que lo hicieron por error, ya que minutos después de enviar los emails con los valores por defecto, el grupo volvió a enviar los correos a los mismos destinatarios con los valores por defecto eliminados.
Enmascaramiento de dominios
APT33 registró varios dominios que se enmascaraban como compañías de aviación sauditas y organizaciones occidentales con acuerdos para dar formación, mantenimiento y apoyo a la flota comercial y militar de Arabia Saudí. Teniendo en cuenta los patrones de ataque que hemos visto, es probable que APT33 usara esos dominios en emails de spear phishing para atacar a víctimas de las organizaciones
Vínculos suplementarios que apoyan la atribución a Irá
Que APT33 tenga como objetivos a organizaciones relacionadas con los sectores de la aviación y la energía, implica que el autor de la amenaza está financiado muy probablemente por algún gobierno. Esto unido a los horarios de las actividades- que coinciden con el horario de trabajo iraní- y el uso de múltiples herramientas hacker y nombres de servidores iraníes apoyan la evaluación de FireEye de que probablemente APT33 ha actuado en nombre del gobierno iraní.
John Hultquist, Director de análisis de ciberespionaje de FireEye añade, “Irán ha mostrado su voluntad reiterada de potenciar sus habilidades para el ciberespionaje a escala mundial. Su uso agresivo de esta herramienta, combinado con los movimientos geopolíticos, subrayan el peligro que constituye APT33 para los intereses comerciales y gubernamentales en Oriente Medio y en todo el mundo. La identificación de este grupo y su capacidad destructiva constituye una oportunidad para que las organizaciones detecten y gestionen proactivamente las amenazas relacionadas con el mismo”.