💡 Resumen (TL;DR):
- Irán activó una severa campaña de ciberataques como respuesta a operaciones militares de Estados Unidos e Israel.
- El grupo MuddyWater infiltró un banco estadounidense y sistemas aeroportuarios usando un nuevo malware llamado Dindoor.
- Analistas de Google proyectan una ola masiva de ataques disfrazados de ransomware contra países vulnerables.
Irán responderá de forma inminente a los recientes ataques militares de Estados Unidos e Israel con una oleada de ciberataques contra organizaciones de Medio Oriente y el resto del mundo. John Hultquist, analista principal del Grupo de Inteligencia de Amenazas de Google, confirmó este escenario crítico tras detectar un aumento masivo en la actividad de hackers iraníes.
La ofensiva digital estalló poco después del 28 de febrero, fecha en que Estados Unidos e Israel lanzaron la Operación León Rugiente y la Operación Furia Épica. Estos movimientos cinéticos destruyeron instalaciones nucleares, bases militares y golpearon liderazgos en Irán.
La firma de seguridad CloudSEK registró más de 150 incidentes informáticos en apenas tres días. Los atacantes ejecutaron tácticas DDoS, robo de datos y alteraciones de sitios web, apuntando directo contra el sector financiero y de aviación. Alertas similares fueron emitidas de urgencia por Google, Mandiant, Cloudflare y Microsoft.
Durante un evento en Londres, Hultquist advirtió que la región carece de defensas adecuadas. “Antes hablábamos de atacar a un Estado pequeño con una capacidad de seguridad increíblemente madura. Ahora hablamos de un sinfín de otros objetivos que podrían no tener la misma madurez”, sentenció el especialista.
El despliegue del backdoor Dindoor
El grupo de ciberespionaje MuddyWater, operado por el Ministerio de Inteligencia y Seguridad de Irán, aprovechó el caos para expandir su alcance. Investigadores de Symantec y Carbon Black detectaron la infiltración.
Dindoor es un backdoor que facilita el control remoto de sistemas informáticos evadiendo defensas, y ya fue utilizado con éxito para vulnerar múltiples blancos estratégicos. El reporte técnico confirma brechas en:
* Un banco comercial en Estados Unidos.
* Una entidad vinculada a la infraestructura aeroportuaria.
* Una compañía de software con sede en Israel.
De forma paralela, Check Point reportó cientos de intentos para vulnerar cámaras IP de las marcas Hikvision y Dahua en Emiratos Árabes Unidos, Qatar, Bahréin, Kuwait, Chipre y el Líbano. El ejército iraní utiliza rutinariamente este hardware de videovigilancia para realizar reconocimiento previo y fijar objetivos para sus misiles.
Hultquist anticipa que el gobierno iraní utilizará grupos de hacktivistas como fachada en las próximas semanas para causar disrupción masiva. “Espero incidentes de ransomware que en realidad no son incidentes de ransomware”, explicó a Infosecurity Magazine.
El impacto económico y de infraestructura a nivel global apenas comienza a materializarse. “Los espero en EE. UU., en el Consejo de Cooperación del Golfo y en cualquiera que haya provocado la ira de Irán en este momento”, advirtió Hultquist. Y sobre la agresiva táctica de los ciberataques patrocinados por el estado, remató: “Son realmente buenos jugando en este espacio brumoso”.
