Una campaña de ciberespionaje no descubierta previamente que utiliza malware nunca antes visto se está infiltrando en empresas aeroespaciales y de telecomunicaciones globales en una operación altamente específica que ha estado activa desde al menos 2018, pero que permaneció completamente fuera del radar hasta julio de este año.
La campaña es obra de un grupo de hackers iraní recientemente revelado llamado MalKamak, que ha sido detallado por la empresa de ciberseguridad Cybereason Nocturnus, que lo descubrió después de ser llamado por un cliente para investigar un incidente de seguridad.
Apodada Operación GhostShell, el objetivo de la campaña de ciberespionaje es comprometer las redes de empresas de las industrias aeroespacial y de telecomunicaciones para robar información confidencial sobre activos, infraestructura y tecnología. Los objetivos –que no han sido revelados– se encuentran predominantemente en Medio Oriente, pero con víctimas adicionales en Estados Unidos, Europa y Rusia. Cada objetivo parece haber sido elegido personalmente por los atacantes.
VER: Los atacantes de ransomware se dirigieron a esta empresa. Entonces los defensores descubrieron algo curioso.
“Este es un tipo de ataque muy, muy dirigido”, dijo a Assaf Dahan, jefe de investigación de amenazas de Cybereason. “Sólo hemos logrado identificar a unas 10 víctimas en todo el mundo”.
MalKamak distribuye un troyano de acceso remoto (RAT) previamente no documentado conocido como ShellClient que está diseñado pensando en el espionaje, razón por la cual permaneció sin ser detectado durante tres años. Una de las razones por las que el malware sigue siendo tan eficaz es porque los autores se han esforzado mucho en hacerlo lo suficientemente sigiloso como para evitar los antivirus y otras herramientas de seguridad. El malware recibe actualizaciones periódicas para que esto siga siendo así.
“En cada iteración, añaden más funcionalidad, añaden diferentes niveles de sigilo”, dijo Dahan.
ShellClient incluso ha comenzado a implementar un cliente de Dropbox para comando y control en redes de destino, lo que dificulta su detección porque es posible que muchas empresas no noten o no piensen mucho en otra herramienta de colaboración en la nube que realiza acciones, si es que lo notan.
Todo es parte del plan para utilizar el troyano para monitorear sistemas, robar credenciales de usuarios, ejecutar comandos en redes en secreto y, en última instancia, robar información confidencial. Cada máquina infectada recibe una identificación única para que los atacantes puedan realizar un seguimiento de su trabajo durante las semanas y meses que están husmeando en las redes comprometidas.
“Una vez dentro, comienzan a realizar un reconocimiento exhaustivo de la red. Identifican los activos importantes: las joyas de la corona que elegirían, servidores clave como Active Directory, pero también servidores empresariales que contienen el tipo de información que lo que buscan”, dijo Dahan.
La campaña pasó desapercibida con éxito hasta julio, cuando se llamó a investigadores para investigar un incidente. Es posible que los atacantes confiaran demasiado en sus tácticas y exageraran, dejando evidencia que permitió a los investigadores identificar la campaña y el malware que se estaba implementando.
“Según lo que estamos viendo, en el último año aceleraron el ritmo. A veces, cuando eres más rápido, puedes ser un poco descuidado o simplemente habrá más casos que se detectarán”, explicó Dahan.
El análisis de las herramientas y técnicas de MalKamack llevó a los investigadores a creer que los ataques fueron obra de una operación de piratería informática que operaba desde Irán, ya que una de las herramientas que utiliza ShellClient RAT para los ataques de dumping de credenciales es una variación de SafetKatz, que se ha vinculado a ataques iraníes anteriores. campañas. Los ataques contra empresas aeroespaciales y de telecomunicaciones que operan en Medio Oriente también se alinean con los objetivos geopolíticos de Irán.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de )
Pero si bien existen similitudes con conocidas operaciones de ciberespionaje respaldadas por el estado iraní, incluida Chafer (APT39), que utiliza técnicas similares para atacar a víctimas en Medio Oriente, EE. UU. y Europa, así como Agrius APT, que comparte similitudes en el código de malware, Los investigadores creen que MalKamack es una nueva operación cibernética iraní, aunque probablemente tenga conexiones con otras actividades patrocinadas por el Estado.
Los investigadores también creen que la Operación GhostShell permanece activa y que MalKamack seguirá evolucionando en su forma de realizar ataques para seguir robando información de los objetivos. Actualmente no se sabe cómo los atacantes obtienen acceso inicial a la red, pero existe la posibilidad de que se produzca a través de ataques de phishing o de la explotación de vulnerabilidades sin parches.