Ciberataques iraníes apuntan a la infraestructura de EE. UU., advierte DHS

Una coalición de las principales agencias de ciberseguridad e inteligencia de EE. UU. emitió el lunes una advertencia contundente: se espera que los hackers patrocinados por el estado iraní y los hacktivistas afiliados aumenten los ciberataques dirigidos a los sistemas de defensa estadounidenses, infraestructura crítica y redes industriales, particularmente aquellas con vínculos con Israel.

En un aviso conjunto, la Agencia de Seguridad Cibernética e Infraestructura (CISA), el Buró Federal de Investigaciones (FBI), el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3) y la Agencia de Seguridad Nacional (NSA) instaron a las organizaciones estadounidenses a mantenerse alerta ante posibles actividades cibernéticas dirigidas contra la infraestructura crítica de EE. UU. y otras entidades estadounidenses por actores cibernéticos afiliados a Irán, a medida que las amenazas crecen en frecuencia y sofisticación.

“A pesar de un alto el fuego declarado y negociaciones en curso hacia una solución permanente, los actores cibernéticos afiliados a Irán y los grupos hacktivistas aún pueden llevar a cabo actividades cibernéticas maliciosas.

Las agencias autoras continúan monitoreando la situación y publicarán información pertinente sobre amenazas cibernéticas y defensa cibernética a medida que esté disponible”, dice el aviso conjunto.

Aunque aún no se ha detectado ninguna campaña coordinada a gran escala, las agencias advierten sobre un posible aumento en los ciberataques de hackers vinculados a Irán, especialmente a medida que las tensiones en el Medio Oriente continúan en aumento.

Actividad de Amenaza

Se cree que las empresas de la Base Industrial de Defensa (DIB), particularmente aquellas conectadas a organizaciones de investigación o defensa israelíes, están en mayor riesgo. Estos actores a menudo explotan sistemas mal asegurados aprovechando software sin parches, vulnerabilidades conocidas y contraseñas predeterminadas o débiles.

“Los actores cibernéticos afiliados a Irán y los grupos hacktivistas alineados a menudo explotan objetivos de oportunidad basados en el uso de software sin parches o desactualizado con Vulnerabilidades y Exposiciones Comunes (CVE) conocidas o el uso de contraseñas predeterminadas o comunes en cuentas y dispositivos conectados a Internet”, agregó el aviso.

Los grupos de amenazas cibernéticas iraníes, muchos vinculados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), utilizan una variedad de técnicas, como la adivinanza automatizada de contraseñas, el descifrado de hashes de contraseñas utilizando recursos en línea y la introducción de contraseñas predeterminadas de fabricantes, para violar sistemas y moverse sin ser detectados a través de redes.

Al atacar sistemas de tecnología operativa (OT), también utilizan herramientas de ingeniería de sistemas y diagnóstico para comprometer el rendimiento, la seguridad y los sistemas de mantenimiento.

Recientemente, los hacktivistas alineados con Irán han aumentado las desfiguraciones de sitios web y filtraciones de datos, y es probable que amplíen los ataques de denegación de servicio distribuido (DDoS) en sitios web de EE. UU. e Israel. Además, los actores cibernéticos iraníes pueden colaborar con grupos de ransomware para cifrar datos, robar información sensible y publicarla en línea.

Campañas de Amenaza Previas

Entre noviembre de 2023 y enero de 2024, los actores cibernéticos afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) lanzaron una campaña cibernética global dirigida a controladores lógicos programables (PLC) y interfaces hombre-máquina (HMI) fabricados en Israel, afectando sectores de EE. UU. como agua, energía, alimentos y atención médica.

Los actores de amenaza aprovecharon los sistemas de control industrial (ICS) que eran accesibles a través de Internet y que aún utilizaban contraseñas predeterminadas de fábrica o ninguna contraseña, junto con puertos de Protocolo de Control de Transmisión (TCP) predeterminados que no habían sido asegurados.

En protesta por el conflicto Israel-Hamas, estos actores cibernéticos iraníes también llevaron a cabo varias operaciones de hackeo y filtración para robar y liberar públicamente datos sensibles, a menudo amplificados a través de las redes sociales.

Los ataques causaron pérdidas financieras, daños a la reputación y buscaron socavar la confianza pública en la ciberseguridad. Aunque la mayoría de los objetivos eran israelíes, al menos una empresa de televisión por protocolo de Internet (IPTV) de EE. UU. también se vio afectada.

Mitigaciones

Las agencias autoras, en colaboración con socios gubernamentales de EE. UU. y del extranjero, sugieren pasos inmediatos para las organizaciones, especialmente aquellas en infraestructura crítica:

• Identificar y desconectar los sistemas OT e ICS de Internet público.
• Reemplazar contraseñas débiles/predeterminadas e implementar autenticación multifactor (MFA) resistente al phishing.
• Aplicar rápidamente los últimos parches de software del fabricante.
• Monitorear comportamientos inusuales de acceso remoto.
• Realizar copias de seguridad completas del sistema y los datos.
• Limitar privilegios de administrador y adoptar microsegmentación.

Para obtener información adicional, las organizaciones pueden consultar la Visión General de Amenazas de Irán de CISA y las páginas web de Amenazas de Irán del FBI.