Defensas contra las ciberamenazas iraníes
Los recientes acontecimientos geopolíticos en torno a Irán han provocado una mayor preocupación en torno a los actores de ciberamenazas iraníes, tanto los estatales como los hacktivistas ideológicos. Desde Guardicore, referente en seguridad en el centro de datos y en la nube, sugieren a los profesionales de seguridad a cargo de las redes de las organizaciones permanecer especialmente vigilantes en las próximas semanas para evitar ataques oportunistas.
Guardicore monitoriza proactivamente las redes de nuestros clientes y notificará y actualizará en caso de actividades maliciosas concretas en las redes. Su equipo de analistas de ciberseguridad continuará siguiendo los acontecimientos y hechos que requieran intervención.
En estos momentos, la red global de sensores de Guardicore (GGSN) de servidores de engaño (deception) reporta que no se ha detectado ningún cambio en el panorama de amenazas habitual y que no hay razón para la alarma. Sin embargo, esta es una buena excusa para que las organizaciones comprueben la seguridad de su red y se aseguren de que sus sistemas estén adecuadamente configurados para detectar actividades maliciosas. El CISA de EE UU y el Departamento de Seguridad Nacional de EE UU han publicado información y orientación sobre cómo estar mejor preparado.
En 2019 se ha detectado en múltiples campos una intensa actividad respaldada por el estado iraní, con acciones que abarcan desde la desinformación, hasta ataques a redes críticas para la seguridad, pasando por ataques a medios de comunicación. Esta actividad ha sido reportada por múltiples grupos, como Microsoft, FireEye junto con Facebook, Twitter y otras grandes empresas mediáticas.
Algunos ejemplos los tenemos en los múltiples ataques exitosos de secuestro de DNS, que comenzaron en 2018 y continuaron en 2019 (según lo reportado por FireEye), junto con campañas de espionaje profesional sostenidas en el tiempo. Irán también ha influido en el discurso de muchos medios de comunicación, creando sitios web de noticias falsas y campañas de medios sociales utilizando actividad humana y bots.
Lo más preocupante es el nuevo enfoque de los actores estatales iraníes que apuntan a los sistemas de control físico en muchas redes críticas para la seguridad, como las centrales eléctricas, fábricas y refinerías de petróleo.
Desde Guardicore instan a los equipos de seguridad a asegurarse de que sus sistemas están parcheados y que los sistemas heredados estén segmentados y alejados de Internet. Las vulnerabilidades sin parches y la reutilización de credenciales son los dos mejores vectores para cualquier grupo patrocinado por estados, e Irán no es diferente. Asegúrese de que se da prioridad a la aplicación de parches para gestionar las vulnerabilidades que se sabe que son utilizadas por diferentes actores de amenazas, o bien que se aislan dichos sistemas para evitar el acceso remoto. Por ejemplo, miles de redes siguen exponiendo dispositivos vulnerables de VPN Pulse Secure, sitios web Sharepoint vulnerables a simples ataques de ejecución de código remoto y antiguas instalaciones de Microsoft Office. Estos son objetivos fáciles para los atacantes y, por lo tanto, se les debe dar prioridad.
Los investigadores de amenazas de Guardicore Labs y los analistas de ciberseguridad continuarán rastreando ésta y otras tendencias de amenazas.
