Los hackers accedieron a correos electrónicos, unidades de almacenamiento en la nube, calendarios y contactos y exportaron datos de las cuentas de las víctimas.
Hackers respaldados por el gobierno iraní han atacado a activistas, periodistas, investigadores, académicos, diplomáticos y políticos que trabajan en temas de Oriente Medio en un ciberataque de phishing, anunció el lunes Human Rights Watch.
La investigación, llevada a cabo por HRW y el Laboratorio de Seguridad de Amnistía Internacional, descubrió que el ataque de phishing fue probablemente llevado a cabo por un grupo conocido como APT42, un grupo identificado por primera vez por la empresa de ciberseguridad Mandiant en septiembre.
Dos miembros del personal de HRW y otras 18 personas se encuentran entre las víctimas de la operación de phishing.
El correo electrónico y otros datos sensibles de un corresponsal de un importante periódico estadounidense, un defensor de los derechos de la mujer en la región del Golfo y Nicholas Noe, un consultor de defensa de Refugees International con sede en el Líbano, han sido comprometidos por APT42.
Los hackers accedieron a sus correos electrónicos, unidades de almacenamiento en la nube, calendarios y contactos y exportaron datos de sus cuentas.
“Los hackers iraníes respaldados por el Estado están utilizando agresivamente sofisticadas tácticas de ingeniería social y recolección de credenciales para acceder a la información sensible y a los contactos de los investigadores y grupos de la sociedad civil centrados en Oriente Medio”, dijo Abir Ghattas, director de seguridad de la información de HRW. “Esto aumenta significativamente los riesgos a los que se enfrentan los periodistas y los defensores de los derechos humanos en Irán y en otros lugares de la región”.
¿Qué es APT42?
En un informe de septiembre, Mandiant evaluó con una confianza moderada que APT42 opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica (CGRI). Aunque sus operaciones son similares a las de otro grupo afiliado al CGRI conocido como APT35, Mandiant consideró que ambos grupos son distintos.
APT42 en general también parece alinearse con la actividad que otros organismos de ciberseguridad han denominado TA453, Yellow Garuda e ITG18, así como con parte de la actividad atribuida a un grupo denominado Phosphorus.
Según Mandiant, APT42 ha estado activo desde 2015 y se especializa en operaciones de phishing y vigilancia contra individuos y organizaciones de interés estratégico para Irán, incluyendo funcionarios del gobierno, ex figuras políticas iraníes, disidentes iraníes, periodistas y académicos.
APT42 opera utilizando el phishing y la ingeniería social con el fin de crear confianza y relación con las víctimas para recopilar información sobre ellas y sus allegados. Grupos de reflexión, investigadores, periodistas, funcionarios gubernamentales, centros sanitarios y la diáspora iraní han sido objetivos de al menos 14 países, entre ellos Israel y los Emiratos Árabes Unidos, como parte de la actividad de APT42.
¿A quién se dirigió APT42 en su última operación?
En octubre, un miembro del personal de HRW que trabaja en la región de Oriente Medio y el Norte de África recibió mensajes sospechosos en WhatsApp de una persona que fingía trabajar para un grupo de expertos con sede en el Líbano. La persona por la que se hicieron pasar los hackers había trabajado anteriormente para el think tank y la invitación tenía el mismo formato que las anteriores del think tank.
HRW descubrió que los enlaces enviados por la persona dirigían a una página falsa de inicio de sesión de Microsoft que capturaba la contraseña del correo electrónico y el código de autenticación del usuario.
HRW y Amnistía Internacional se pusieron en contacto con las 18 personas que descubrieron que eran objeto de la campaña, y 15 de ellas respondieron y confirmaron que habían recibido los mismos mensajes de WhatsApp entre el 15 de septiembre y el 25 de noviembre.
El 23 de noviembre, un segundo miembro del personal de HRW recibió los mismos mensajes de WhatsApp desde el mismo número que contactó con otros objetivos.
Aunque casi todas las direcciones IP utilizadas por los hackers para conectarse a las cuentas comprometidas eran del servicio Express VPN, los investigadores encontraron una dirección IP iraní en Teherán que se conectaba a una de las bandejas de entrada de los objetivos. La dirección IP puede ser la dirección de la propia red del atacante, ya que éste puede haber olvidado activar su VPN antes de conectarse.
La investigación también descubrió que los mismos atacantes habían registrado un dominio para imitar el de un grupo de defensa con sede en Estados Unidos llamado United Against Nuclear Iran, que fue blanco del grupo de hackers Charming Kitten (APT35), respaldado por Irán, en noviembre de 2021.
La investigación de HRW y Amnistía Internacional descubrió además que las protecciones de seguridad de Google no funcionaban adecuadamente, ya que las personas que fueron blanco del ataque dijeron a HRW que no se dieron cuenta de que sus cuentas de Gmail habían sido comprometidas o que sus datos habían sido exportados.
HRW aconsejó a Google que “refuerce rápidamente las advertencias de seguridad de sus cuentas de Gmail para proteger mejor a los periodistas, a los defensores de los derechos humanos y a sus usuarios más expuestos a los ataques”.
“En una región de Oriente Medio plagada de amenazas de vigilancia para los activistas, es esencial que los investigadores de seguridad digital no sólo publiquen y promuevan sus hallazgos, sino que también den prioridad a la protección de los activistas, periodistas y líderes de la sociedad civil de la región”, dijo Ghattas.
Ataques similares han tenido como objetivo a Israel en el pasado
En junio, la empresa israelí de ciberseguridad Check Point informó de que era probable que Phosphorus estuviera detrás de los intentos de hackear los correos electrónicos de altos funcionarios y ejecutivos israelíes y estadounidenses, entre ellos la ex ministra de Asuntos Exteriores Tzipi Livni y un ex embajador de Estados Unidos en Israel.
Ese ataque utilizó correos electrónicos haciéndose pasar por un conocido ex general de división de las Fuerzas de Defensa de Israel y un diplomático estadounidense para atraer a sus objetivos.
En mayo, el Shin Bet reveló que hackers iraníes intentaban atraer a empresarios y académicos israelíes al extranjero para secuestrarlos o perjudicarlos y reunir información de inteligencia.
En ese ataque, los hackers también se hicieron pasar por académicos, periodistas, oficiales de la reserva, empresarios y filántropos extranjeros e israelíes, y utilizaron las identidades robadas y las historias de cobertura pertinentes para recopilar información de inteligencia sobre los israelíes y para atraerlos a lugares en el extranjero con el fin de secuestrarlos o hacerles daño.
El Shin Bet no nombró al grupo que estaba detrás de esa operación cibernética.
El año pasado, la empresa de ciberseguridad Proofpoint informó de que Phosphorus tuvo como objetivo a profesionales médicos de alto nivel especializados en investigación genética, neurología y oncología en Estados Unidos e Israel en 2020.
En ese ataque, los hackers utilizaron una cuenta de Gmail que se presentó como perteneciente al destacado físico israelí y ex presidente del Instituto de Ciencia Weizmann, Daniel Zajfman.
