Los recientes acontecimientos geopolíticos en torno a Irán han provocado una mayor preocupación en torno a los actores de ciberamenazas iraníes, tanto los estatales como los hacktivistas ideológicos. Desde Guardicore, experto en seguridad en el centro de datos y en la nube, sugieren a los profesionales de seguridad a cargo de las redes de las organizaciones permanecer especialmente vigilantes en las próximas semanas para evitar ataques oportunistas.
Guardicore monitoriza proactivamente las redes de sus clientes y notificará y actualizará en caso de actividades maliciosas concretas en las redes. Su equipo de analistas de ciberseguridad continuará siguiendo los acontecimientos y hechos que requieran intervención.
En estos momentos, la red global de sensores de Guardicore (GGSN) de servidores de engaño (deception) reporta que no se ha detectado ningún cambio en el panorama de amenazas habitual y que no hay razón para la alarma. Sin embargo, esta es una buena excusa para que las organizaciones comprueben la seguridad de su red y se aseguren de que sus sistemas estén adecuadamente configurados para detectar actividades maliciosas. El CISA de EE.UU. y el Departamento de Seguridad Nacional de EE.UU. han publicado información y orientación sobre cómo estar mejor preparado.
En 2019 se ha detectado en múltiples campos una intensa actividad respaldada por el estado iraní, con acciones que abarcan desde la desinformación, hasta ataques a redes críticas para la seguridad, pasando por ataques a medios de comunicación. Esta actividad ha sido reportada por múltiples grupos, como Microsoft, FireEye junto con Facebook, Twitter y otras grandes empresas mediáticas.
Algunos ejemplos los tenemos en los múltiples ataques exitosos de secuestro de DNS, que comenzaron en 2018 y continuaron en 2019 (según lo reportado por FireEye), junto con campañas de espionaje profesional sostenidas en el tiempo. Irán también ha influido en el discurso de muchos medios de comunicación, creando sitios web de noticias falsas y campañas de medios sociales utilizando actividad humana y bots.
Lo más preocupante es el nuevo enfoque de los actores estatales iraníes que apuntan a los sistemas de control físico en muchas redes críticas para la seguridad, como las centrales eléctricas, fábricas y refinerías de petróleo.
Desde Guardicore instan a los equipos de seguridad a asegurarse de que los sistemas están parcheados y que los sistemas heredados estén segmentados y alejados de Internet. Las vulnerabilidades sin parches y la reutilización de credenciales son los dos mejores vectores para cualquier grupo patrocinado por estados, e Irán no es diferente. Recomiendan también asegurarse de que se da prioridad a la aplicación de parches para gestionar las vulnerabilidades que se sabe que son utilizadas por diferentes actores de amenazas, o bien que se aíslan dichos sistemas para evitar el acceso remoto. Por ejemplo, miles de redes siguen exponiendo dispositivos vulnerables de VPN Pulse Secure, sitios web Sharepoint vulnerables a simples ataques de ejecución de código remoto y antiguas instalaciones de Microsoft Office. Estos son objetivos fáciles para los atacantes y, por lo tanto, se les debe dar prioridad.