Cómo opera “Charming Kitten”, los hackers vinculados a Irán que intentaron robar información del laboratorio Gilead

Cuando a finales de abril los resultados de un estudio científico sobre el remdesivir mostraron resultados prometedores en el uso de este medicamento antiviral en la lucha contra el coronavirus, en todo el mundo creció la esperanza ante el surgimiento de un posible primer tratamiento contra la enfermedad que se ha convertido en pandemia.

La Administración de Medicamentos y Alimentos (FDA, por su acrónimo en inglés) de Estados Unidos otorgó incluso una autorización de emergencia para el uso del remdesivir en pacientes con coronavirus en estado grave. Esto permite a los médicos recetar el medicamento a pesar de que éste aún no haya superado todas las etapas requeridas para obtener una habilitación propiamente dicha.

Pero todo este entusiasmado por el remdesivir y muchos otros medicamentos y vacunas en desarrollo en todo el mundo ha generado, también, el interés de otros actores.

El viernes la agencia Reuters reveló que un grupo de hackers vinculados al régimen de Irán lanzaron en las últimas semanas una serie de ciberataques contra personal del laboratorio estadounidense Gilead Sciences Inc, la compañía que desarrolló el remdesivir.

El objetivo era robar información sensible sobre el antiviral, presuntamente para ser utilizada en la creación de medicamentos similares o en el planteo de estrategias locales para contener la expansión del virus. Irán es el país más golpeado por el coronavirus en Medio Oriente, con 6.541 muertos y más de 100.000 contagios (aunque muchos creen que el número real podría ser muy superior).

La misión iraní en las Naciones Unidas, sin embargo, negó cualquier responsabilidad por los hackeos. “El gobierno de Irán no conduce acciones de guerra en el ciberespacio. Las actividades cibernéticas de Irán son puramente defensivas y destinadas a proteger cualquier ataque a la infraestructura iraní”, explicó el portavoz Alireza Miryousefi, citado por Reuters.

En un contexto de competencia entre laboratorios, y países, para hallar la cura para el coronavirus, la industria farmacéutica global se ha convertido en blanco de ciberataques y en el preciado botín de los gobiernos que se desesperan por poner freno a una pandemia que ha dejado más de 270.000 muertos y al menos 3.500.000 contagios en todo el mundo.

De acuerdo al reporte de Reuters, basado en el testimonio de tres expertos en ciberseguridad, los métodos y la infraestructrura usados en el ataque a Gilead han sido previamente utilizados por un grupo de hackers conocido como Charming Kitten (Gatito encantador, en inglés), vinculado a Irán.

Especialmente se habla del uso de phishing, la técnica de engañar a los empleados de una empresa u organización con un correo electrónico que aparenta ser otra cosa, utilizando la llamada “ingeniería social”. En el caso de Gilead, los hackers se habrían hecho pasar por periodistas para intentar que altos ejecutivos accedieran a hacer click en un enlace maliciosos o compartieran información sensible.

¿Pero qué es exactamente Charming Kitten (también conocido como APT35, Ajax o NewsBeef, entre otros nombres), cómo opera y para quien?

Las principales firmas globales de cibereguridad, como las estadounidense Mandiant y FireEye, la rusa Kaspersky o la israelí ClearSky han estado estudiando al grupo desde al menos 2014, cuando se comenzó a observar un aumento en sus actividades.

De acuerdo a un informe publicado por ClearSky, Charming Kitten es un grupo iraní de ciberespionaje que ha concentrado sus ataques en académicos, disidentes, activistas de Derechos Humanos y periodistas, en algunas ocasiones de origen iraní pero viviendo en el extranjero y, presumiblemente, opositores al régimen del ayatolá Ali Khamenei.

Sus blancos se encuentran especialmente en Estados Unidos, Reino Unido y países de Medio Oriente, y el phishing es su método preferido.

El clásico patrón de ataque detectado incluye en una primera etapa una serie de correos electrónicos en los que el agresor se hace pasar por un académico o periodista que invita a su víctima a un evento académico o entrevista, siempre en el lenguaje del atacado.

En una segunda etapa, la víctima accede a un falso sitio web que usualmente se hace pasar por diferentes servicios de Google, como Gmail y Google Drive, y a los cuales el atacado ingresa haciendo click en un enlace presente en el primer correo electrónico. También se ha visto el uso de una plataforma que se hace pasar por Instagram, aunque en menos ocasiones, y también por diferentes medios periodísticos como Sky News o Deutsche Welle.

Aunque estos falsos sitios web suelen ser muy similares a los originales, en el caso de Charming Kitten se han notado errores ortográficos, y la dirección url siempre tendrá un detalle revelador. Por ejemplo, en un ataque de 2019 se falsificó el sitio web del Instituto de Investigación de las Naciones Unidas para el Desarrollo Social (UNRISD, en inglés) utilizando la dirección unrisd.com, cuando la original es unrisd.org.

En cuanto a la infraestructura utilizada para los ataques, Charming Kitten y otros grupos de ciberespionaje iraníes suelen utilizar las empresas de hosting Hetzner, alemana, y BelCloud, de Bulgaria para sus falsos sitios web, así como la empresa iraní de intercambio de dinero ExNovin, de acuerdo a ClearSky.

Estos detalles son importantes porque permiten atribuir los nuevos a ataques a grupos de hackers conocidos. En base a esta información Reuters ha reportado que tres empresas de ciberseguridad consideran que Charming Kitten estuvo detrás del ataque a Gilead, entre ellas ClearSky.

Aún no queda claro, sin embargo, si tuvieron éxito en ingresar a los sistemas de la farmacéutica o si lograron obtener información sensible. Gilead no ha querido pronunciarse sobre el tema por cuestiones de seguridad, indicó Reuters.

Recientemente, los miembros de Charming Kitten han sido acusados de perpetrar ataques contra la Organización Mundial de la Salud (OMS). A comienzos de abril numerosos empleados del organismo recibieron correos electrónicos apócrifos que decían provenir de la cadena británica BBC o del Concejo Americano de Política Exterior, un think tank estadounidense. También el académico y periodista científico iraní Erfan Kasraie, radicado en Alemania, fue en febrero objeto de un ataque de phishing en el que un presunto hacker pretendía ser un periodista del Wall Street Journal.

El martes las agencias de ciberseguridad del Reino Unidos y Estados Unidos emitieron un alerta en conjunto sobre las actividades de los grupos de hackers sponsoreados por estados, que se encuentran “atacando activamente organizaciones relacionadas a las respuesta nacionales e internacionales ante el avance del COVID-19”. “Los hackers buscan obtener inteligencia sobre políticas de salud u obtener información sensible sobre las investigaciones en curso sobre el COVID-19”, agrega el documento.

MÁS SOBRE ESTE TEMA: