Hackers iraníes han estado hackeando servidores VPN para alojar puertas traseras
2019 será recordado como el año en que se revelaron errores importantes de seguridad en una gran cantidad de servidores VPN empresariales. Por ejemplo, los vendidos por Pulse Secure, Palo Alto Networks, Fortinet y Citrix.
Un informe publicado recientemente revela que las unidades de hacking del gobierno de Irán se han enfocado en explotar las vulnerabilidades de VPN. Lo hicieron tan pronto como se publicaron para infiltrarse y alojar puertas traseras en empresas de todo el mundo.
Según un informe de la firma de ciberseguridad ClearSky, los hackers iraníes han apuntado a empresas “de los sectores de Telecomunicaciones, Petróleo, Aviación, etc.
Algunos ataques ocurrieron horas después de la divulgación pública
El informe disipa la noción de que los hackers iraníes no son sofisticados y tienen menos talento que sus homólogos rusos, chinos o norcoreanos.
ClearSky dice que “los grupos APT iraníes han desarrollado buenas capacidades ofensivas técnicas y pueden explotar vulnerabilidades zero-days en períodos de tiempo relativamente cortos”.
En algunos casos, ClearSky dice que observó grupos iraníes explotando fallas de VPN dentro de las horas posteriores a la divulgación pública de los errores.
* APT significa amenaza persistente avanzada y es un término que se usa a menudo para describir unidades de hacking de estado-nación.
ClearSky dice que, en 2019, los grupos iraníes rápidamente aprovecharo las vulnerabilidades reveladas en la VPN Pulse Secure Connect (CVE-2019-11510). Asimismo, en la VPN Fortinet FortiOS (CVE-2018-13379) y VPN Palo Alto Networks “Global Protect” (CVE-2019-1579).
Los ataques contra estos sistemas comenzaron el verano pasado, cuando los detalles sobre los errores se hicieron públicos, pero también continuaron en 2020.
Además, a medida que los detalles sobre otras fallas de VPN se hicieron públicos, los grupos iraníes también incluyeron estas vulnerabilidades en sus ataques.
Hackear objetivos corporativos para alojar puertas traseras
Según el informe de ClearSky, el propósito de estos ataques es hackear las redes empresariales. Además, moverse lateralmente a través de sus sistemas internos y alojar puertas traseras para explotar en una fecha posterior.
La primera etapa (violación) de sus ataques solamente apuntó a las VPN. La segunda fase (movimiento lateral) involucró una colección integral de herramientas y técnicas. Estas muestran cuán avanzadas se han vuelto estas unidades de hacking iraníes en los últimos años.
Por ejemplo, los hackers abusaron de una técnica conocida desde hace mucho tiempo para obtener derechos de administrador en los sistemas Windows.
También usaron herramientas de hacking de código abierto como JuicyPotato e Invoke the Hash. Empero, también utilizaron software legítimo de administrador de sistemas como Putty, Plink, Ngrok, Serveo o FRP.
Además, en el caso de que los hackers no encontraran herramientas de código abierto o similares para ayudar en sus ataques; tenían el conocimiento para desarrollar malware personalizado. ClearSky dice que encontró herramientas como:
- STSRCheck: Herramienta de desarrollo propio para de mapeo de puertos abiertos y bases de datos.
- POWSSHNET: Malware desarrollado por ellos para puerta trasera para túneles RDP sobre SSH.
- VBScripts personalizados: scripts para descargar archivos TXT del servidor de comando y control (C2 o C&C) y unificar estos archivos en un archivo ejecutable portátil.
- Puerta trasera basada en sockets sobre cs.exe: un archivo EXE utilizado para abrir una conexión basada en sockets a una dirección IP codificada.
- Port.exe: herramienta para escanear puertos predefinidos en busca de una dirección IP.
Múltiples grupos actuando como uno
Otra revelación del informe ClearSky es que los grupos iraníes también parecen estar colaborando y actuando como uno solo, algo no visto antes.
Los informes anteriores sobre las actividades de hacking iraníes detallaban diferentes grupos de actividad, generalmente el trabajo de un grupo singular.
El informe ClearSky destaca que los ataques contra servidores VPN en todo el mundo parecen ser obra de al menos tres grupos iraníes.
La amenaza de los ataques de borrado de datos
Actualmente, el propósito de estos ataques parece ser realizar reconocimiento y alojar puertas traseras para operaciones de vigilancia.
Sin embargo, ClearSky teme que el acceso a todas estas redes empresariales infectadas también puedan ser usadas en el futuro. El propósito puede ser desplegar malware de borrado de datos que pueda sabotear compañías y eliminar redes y operaciones comerciales.
Tales escenarios son posibles y muy plausibles. Desde septiembre de 2019, dos nuevos ejemplares de malware de “limpieza” de datos (ZeroCleare y Dustman) se han descubierto y están ligados a los hackers iraníes.
ClearSky tampoco descarta que los hackers iraníes puedan explotar el acceso a estas empresas violadas por ataques a la cadena de suministro contra sus clientes.
Esta teoría está respaldada por el hecho de que, a principios de este mes, el FBI envió una alerta de seguridad al sector privado de EE. UU. Advirtiendo sobre los ataques en curso contra las empresas de la cadena de suministro de software”. El aviso incluye las entidades que apoyan los Sistemas de Control Industrial (ICS) para la generación y transmisión de energía global y distribución “. El ICS y el sector energético han sido un objetivo tradicional para los grupos de hacking iraníes en el pasado.
La misma alerta del FBI observó vínculos entre el malware implementado en estos ataques y el código utilizado anteriormente por el grupo APT33 de Irán. Esto sugiere fuertemente que los hackers iraníes podrían estar detrás de estos ataques.
ClearSky ahora advierte que después de meses de ataques, las compañías que finalmente han parcheado sus servidores VPN también deberían escanear sus redes internas.
Nuevas vulnerabilidades de VPN
Teniendo en cuenta las conclusiones del informe de ClearSky, también podemos esperar que los hackers iraníes también aprovechen la oportunidad de explotar nuevas fallas de VPN. Esto lo pueden hacer una vez que se hagan públicas.
