Una investigación alertó sobre ciberataques vinculados al régimen iraní contra instituciones israelíes

El inicio de la guerra en la Franja de Gaza tras los ataques perpetrados por los terroristas de Hamas el pasado 7 de octubre provocó un fuerte aumento del antisemitismo a nivel global. Además de expresiones y manifestaciones contra la comunidad judía, también se han registrado ataques contra sus instituciones.

Un informe elaborado por Palo Alto Networks, una empresa norteamericana de ciberseguridad con sede en Santa Clara (California), alertó sobre recientes ciberataques contra sectores de la enseñanza superior y la tecnología israelíes.

La investigación realizada por la Unidad 42 -Unidad de Investigación e Inteligencia de Amenazas de la compañía- indicó que los ataques cibernéticos comenzaron a principios de año y se extendieron hasta fines de octubre.

El objetivo de los hackers no era buscar dinero, sino “robar datos sensibles, desde información personal hasta documentos relacionados con la propiedad intelectual”. “Una vez que se concretaban las agresiones virtuales, se desplegaban limpiadores destinados a cubrir huellas e inutilizar terminales”.

De acuerdo a lo denunciado por Palo Alto Networks, los ataques tienen un estrecho nexo con el régimen iraní a través del grupo APT (Advanced Persistent Threat), que fue rastreado por la Unidad 42 como Agonizing Serpens, también conocido como Agrius, BlackShadow, Pink Sandstorm, y DEV-0022.

La compañía señala que Agonizing Serpens es un grupo APT vinculado al régimen de Irán que estuvo activo desde el año 2020. Es conocido “por sus ataques destructivos de wiper y falso ransomware”, y sus principales objetivos son organizaciones israelíes de múltiples industrias y países.

“Los ataques de Agonizing Serpens suelen tener dos objetivos principales; el primero es robar información confidencial para publicar en redes sociales, mientras que el segundo -el más relevante- es sembrar el caos e infligir daños considerables borrando tantos endpoints como sea posible”, apunta un comunicado de Palo Alto Network.

“Los ataques no pudieron terminar de eludir Cortex XDR y el XSIAM, los cuales tienen la capacidad de detectar e impedir los ataques descritos. Al mismo tiempo la ciberseguridad puede construir perfiles de comportamiento de la actividad del usuario con aprendizajes automáticos, lo que les permite detectar actividad anómala indicativa de, por ejemplo, ataques basados en credenciales”, explicó Darío Opezzo, country manager de la empresa en Argentina.

El informe sostiene que estos hackeos forman parte de una campaña más amplia contra organizaciones israelíes, entre las que se destacan los sectores de la educación y la tecnología.

La investigación de Palo Alto Networks descubrió nuevas herramientas en el arsenal del grupo, que incluyen “un conjunto de tres wipers previamente no documentados, así como una herramienta de extracción de bases de datos”. Este hallazgo demostró que los hackers mejoraron sus capacidades, principalmente en lo relacionado a las técnicas de ocultación y evasión “diseñadas para eludir soluciones de seguridad como la tecnología EDR”.

A través de un comunicado, la empresa norteamericana afirmó que uno de los principales objetivos de los atacantes era “obtener las credenciales de usuarios con privilegios administrativos”. Sin embargo, esos intentos fueron impedidos por la plataforma Cortex XDR.

“Durante el ataque, el grupo intentó específicamente eludir las soluciones EDR para llevar a cabo su ataque sin interrupciones y con mayor sigilo. Estos intentos fueron bloqueados por nuestra plataforma. Es interesante señalar que el grupo probó múltiples herramientas y técnicas, y cada vez que fracasaban con una, intentaban aprovechar otra”, comentó Opezzo.