Microsoft alertó que hackers del régimen de Irán tienen en la mira a empresas de defensa, de satélites y farmacéuticas

Hackers respaldados por el régimen de Irán llevaron a cabo una serie de ataques cibernéticos dirigidos hacia empresas farmacéuticas, de defensa y de satélites en Estados Unidos y en varias partes del mundo, según informó Microsoft en un comunicado.

Desde febrero pasado, estos hackers lograron infiltrarse con éxito en miles de organizaciones que han sido blanco de sus ataques. Utilizaron una técnica de piratería altamente efectiva, lo que resalta la determinación de los grupos de hackers con sede en Teherán para acceder a información de inteligencia valiosa, detalló la compañía.

El régimen de sanciones impuesto por Estados Unidos ha intentado restringir el acceso de Irán a equipos militares y, según un informe de un panel de las Naciones Unidas, en algunos casos ha disuadido a empresas occidentales de suministrar productos médicos a Irán.

Aunque resulta complicado determinar las motivaciones precisas detrás de los ataques cibernéticos a empresas farmacéuticas, de defensa y de satélites, las sanciones han aumentado el incentivo para que Irán busque secretos comerciales pertenecientes a empresas extranjeras, según lo explicó Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft.

En diálogo con CNN, manifestó: “Esos son sectores en los que podrían haber tenido problemas para generar las cosas que necesitan internamente”.

“Desde febrero de 2023, Microsoft ha observado actividad de pulverización de contraseñas contra miles de organizaciones llevada a cabo por un actor al que rastreamos como Peach Sandstorm (HOLMIUM). Peach Sandstorm es un actor de amenazas del estado-nación iraní que recientemente ha perseguido a organizaciones en los sectores de satélites, defensa y farmacéutico en todo el mundo. Con base en el perfil de las organizaciones víctimas y la actividad de intrusión posterior observada, Microsoft evalúa que esta campaña de acceso inicial probablemente se utilice para facilitar la recopilación de inteligencia en apoyo de los intereses del estado iraní”, denunció la empresa.

Luego explicó que Peach Sandstorm es un grupo patrocinado por el régimen de Teherán conocido por atacar organizaciones en varios países. En ataques anteriores, persiguió objetivos en los sectores de aviación, construcción, defensa, educación, energía, servicios financieros, atención médica, gobierno, satélites y telecomunicaciones. La actividad que Microsoft atribuye a Peach Sandstorm se superpone con los informes públicos sobre grupos conocidos como APT33, Elfin y Refined Kitten, agregó la compañía.

A lo largo de este año, Peach Sandstorm demostró constantemente interés en organizaciones de los sectores satelital, de defensa y, en menor medida, farmacéutico. En la fase inicial, llevó a cabo campañas de difusión de contraseñas contra miles de organizaciones en varios sectores y geografías. Si bien Microsoft observó varias organizaciones anteriormente objetivo de Peach Sandstorm, el volumen de actividad y la variedad de organizaciones sugieren que al menos un subconjunto de la actividad inicial es “oportunista”, denunció.

El método de piratería consiste en “comprometer una identidad”, indicó DeGrippo; al tiempo que agregó: “No sé por qué elegirían otro método si éste les funciona muy bien”.

En mayo pasado, Microsoft aseguró que hackers auspiciados por el régimen de China han estado atacando infraestructura crítica de Estados Unidos y podrían estar estableciendo las bases técnicas para una posible alteración de comunicaciones vitales entre Estados Unidos y Asia durante futuras crisis.

Los objetivos incluyeron instalaciones en Guam, en donde Estados Unidos tiene una importante presencia militar, indicó la compañía.

La actividad hostil en el ciberespacio —desde espionaje hasta colocación con antelación de malware para posibles ataques a futuro— se ha convertido en un sello de rivalidad geopolítica moderna.

Microsoft señaló en un blog que el grupo de hackers con respaldo del Estado chino, al cual se refiere como Volt Typhoon, ha estado en operaciones desde mediados de 2021. Añadió que algunas de las organizaciones afectadas por los hackeos —los cuales buscan acceso persistente— incluyen a los sectores de telecomunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, tecnología de la información y educación.

También reveló que Volt Typhoon (El Tifón Volt) está activo desde mediados de 2021. “Microsoft estima, con una confianza moderada, que esta campaña de Volt Typhoon persigue el desarrollo de capacidades que podrían interrumpir la infraestructura crítica de comunicaciones entre Estados Unidos y la región asiática durante futuras crisis”, señaló.

“El comportamiento observado sugiere que el actor amenazante pretendía espiar y mantener el acceso sin ser detectado durante el mayor tiempo posible”, concluyó.