miércoles, 9 de septiembre de 2020

Hackers Iraníes están vendiendo acceso a empresas comprometidas en foros clandestinos



Hackers iraníes

      Según ha informado la empresa de ciberseguridad Crowdstrike, uno de los grupos de hackers patrocinado por el estado de Irán, ha sido detectado vendiendo acceso a redes corporativas comprometidas en un foro de hacking clandestino.

La empresa ha identificado el grupo con el nombre en clave Pioneer Kitten, el cual es un nombre alternativo para el grupo también conocido como Fox Kitten o Parisite.

Crowdstrike cree que este grupo el cual está contratado por un régimen iraní, ha estado tanto en 2019 como en 2020 hackeando las redes corporativas utilizando las vulnerabilidades de VPNs y equipos de red siguientes:

-              Palo Alto Networks “Global Protect” VPN servers (CVE-2019-1579)

-             F5 Networks BIG-IP equilibradores de carga (CVE-2020-5902)

-              Fortinet VPN servers funcionando con FortiOS (CVE-2018-13379)

-              Pulse Secure “Connect” Enterprise VPNs (CVE-2019-11510)

-              Citrix “ADC” servers y Citrix network gateways (CVE-2019-19781)

Según han afirmado las empresas de ciberseguridad ClearSky y Dragos, el grupo de hackers, utilizando las vulnerabilidades mencionadas anteriormente conseguía acceder a la red implantando una backdoor, para posteriormente permitir el acceso a otros grupos de hackers iranís, como pueden ser APT33(Shamoon), Oilrig(APT34) o Chafer.

Una vez los otros grupos tenían acceso, utilizaban malware y exploits más avanzados para de esa forma expandir el acceso inicial que había creado Pioneer kitten, consiguiendo acceder a más sitios de la red, con la finalidad de buscar y robar información sensible que sería de interés para el gobierno iraní.

En uno de los últimos reportes de Crowdstrike, ha indicado que el grupo Pioneer Kitten ha sido descubierto vendiendo acceso a redes corporativas comprometidas en algunos foros de hacking clandestinos desde por lo menos julio de 2020.

Según cree el grupo Crowdstrike, el grupo está tratando de diversificar su flujo de ingresos y monetizar redes que no tienen ningún valor para los servicios de inteligencia iraníes.

Algunos de los objetivos clásicos de los grupos de hackers patrocinados por el estado iraní suelen incluir compañías y gobiernos localizados en US, Israel, y otros países árabes en el oriente medio. Los sectores que suelen ser objetivos de estos grupos incluyen defensa, tecnología, atención sanitaria y gobierno del país al que atacan. Todo aquello que no entre en estos sectores posiblemente este fuera del alcance de los hackers del gobierno iraní, y lo más probable es que acabe en un foro clandestino de hacking para el uso de otros grupos. 


No hay comentarios:

Publicar un comentario