Esto es lo que sabemos sobre los ataques de rociado de contraseñas realizados por piratas informáticos iraníes
La creciente tensión entre Irán y Estados Unidos es comprensiblemente noticia de primera plana. La situación es extremadamente compleja y nadie está realmente seguro de lo que sucederá después. Por ahora, las cosas son relativamente pacíficas, pero todos sabemos que ciertos dedos podrían estar flotando sobre ciertos botones rojos, y solo podemos esperar que al final prevalezca el sentido común. Sin embargo, debe decirse que, si bien la tensión del mundo real podría disminuir, en línea, es poco probable que el intercambio de ataques entre Irán y Estados Unidos se detenga pronto.
Ayer, Dragos Inc., un equipo de seguridad cibernética que se centra en la protección de los sistemas de control industrial (ICS), publicó un informe que detalla las actividades de once grupos de piratería vinculados a Irán y, más específicamente, sus ataques contra la red eléctrica de los EE. UU. Muestra que, aunque tienden a no atraer demasiado la atención de los medios, los actores de amenazas respaldados por la nación atacan los activos de ICS de otros países todo el tiempo.
A pesar de esto, hay que decir que los desacuerdos del mundo real entre Irán y Estados Unidos han tenido un impacto en las actividades de los actores de la amenaza. Los once grupos de piratería analizados en el informe de Dragos son conocidos por atacar los sistemas ICS en todo el mundo, pero los expertos señalaron que el año pasado, la mayoría de ellos apuntó a los EE. UU. Y a la infraestructura crítica para generar y distribuir electricidad.
Sin interrupciones serias todavía
Según el informe, el primer ataque de malware conocido que causó un apagón ocurrió en diciembre de 2015 en Ucrania, y afortunadamente, hay poca evidencia que sugiera que los monitores iraníes Dragos monten el segundo. De hecho, los grupos han logrado infiltrarse en las redes de compañías responsables del suministro de electricidad, y han desviado algunos datos confidenciales. En este punto, sin embargo, aún no se han acercado a alcanzar el nivel de acceso que les permitiría interrumpir el suministro de electricidad para un gran número de hogares. Sin embargo, esto no significa que nunca pueda suceder.
Tenga en cuenta que no estamos hablando de ciberdelincuentes autodidactas con una inclinación por las sudaderas con capucha y las máscaras de Guy Fawkes. A menudo referido a Amenazas Persistentes Avanzadas (APT), los equipos de piratería patrocinados por el estado consisten en especialistas experimentados que tienen recursos ilimitados para comprometer sus objetivos. Los expertos de Dragos señalaron que golpear con éxito una sección vital de la red eléctrica estadounidense va a ser extremadamente difícil, pero los currículums de los grupos iraníes de la APT discutidos en el informe sugieren que muy bien podrían gritar.
Se han hecho un nombre atacando a grandes organizaciones en todo el mundo, y la mayoría de sus objetivos anteriores están trabajando en la industria del petróleo y el gas, otra parte vital de la economía mundial que gasta cantidades significativas de efectivo en seguridad. Los actores de amenazas son conocidos por su uso de ataques de la cadena de suministro para infiltrarse en una red, y una vez que están dentro, a menudo implementan herramientas desarrolladas a medida diseñadas específicamente para el sistema ICS objetivo. A veces, sin embargo, no se trata solo de sofisticación de vanguardia.
La pulverización de contraseñas y las VPN sin parches a veces pueden dejar expuesta la infraestructura crítica
Andy Greenberg de Wired también cubrió el informe de Dragos, y se centró en las actividades de dos de las APT: Magnallium y Parisite. A lo largo de 2019, los dos equipos trabajaron en conjunto para atacar a varias empresas de servicios eléctricos y de petróleo y gas en los EE. UU.
Para lograr su objetivo, los miembros del grupo Parisite explotaron vulnerabilidades en un cliente de Red Privada Virtual (VPN) sin nombre utilizado por sus objetivos. Magnallium, por otro lado, recurrió a la pulverización de contraseñas. En un ataque de rociado de contraseña, los piratas informáticos toman la dirección de correo electrónico de un usuario (en este caso, un empleado de una empresa de servicios eléctricos) y la usan en combinación con una selección de contraseñas simples y fáciles de adivinar para intentar iniciar sesión El sistema objetivo. Debido a que muchas personas usan contraseñas simples y fáciles de adivinar, algunos de los intentos son exitosos.
Lo interesante de esto es que no es necesario ser un hacker sofisticado patrocinado por el estado para explotar una VPN vulnerable u organizar un ataque de rociado de contraseña. De hecho, estas técnicas son bastante ruidosas, y generalmente están reservadas para los imitadores de Guy Fawkes con capucha. Sin embargo, Parisite y Magnallium, dos APT con mucho efectivo y recursos, han decidido usarlos. ¿Por qué harían eso?
Porque piensan que estos ataques serán exitosos. Este es un pensamiento preocupante.
A menos que estemos hablando de una vulnerabilidad de día cero, explotar una VPN insegura significa que el usuario ha configurado mal la red o ha descuidado una actualización de seguridad. Y en cuanto a la aplicación de contraseñas, como ya mencionamos, solo es posible porque adivinar las contraseñas de las personas no es tan difícil como debería ser. En otras palabras, las APT iraníes están apostando a que la gente cometa simples errores de seguridad. Las personas en cuestión son responsables de las partes vitales de la red eléctrica de los Estados Unidos.
Esto debería activar algunas alarmas para los responsables de las organizaciones que puedan ser atacadas. Hay mucho en juego, y la seguridad (tanto física como en línea) debe ser una prioridad. Es poco probable detener los ataques implacables de los piratas informáticos respaldados por la nación, pero las personas responsables de la red eléctrica de los EE. UU. Al menos pueden deshacerse de la fruta que cuelga.
