Facebook reveló que ha desmantelado una “sofisticada” campaña de ciberespionaje en línea llevada a cabo por piratas informáticos iraníes que tenía como objetivo a unos 200 militares y empresas de los sectores de defensa y aeroespacial de Estados Unidos, Reino Unido y Europa, utilizando a personas falsas en su plataforma.
El gigante de las redes sociales atribuyó los ataques a un actor de la amenaza conocido como Tortoiseshell (también conocido como Imperial Kitten), basándose en el hecho de que el adversario utilizó técnicas similares en campañas anteriores atribuidas al grupo de la amenaza, que anteriormente era conocido por centrarse en la industria de la tecnología de la información en Arabia Saudí, lo que sugiere una aparente expansión de la actividad maliciosa.
Según la compañía, los ataques formaban parte de una campaña multiplataforma mucho mayor, en la que los malos actores aprovechaban Facebook como vector de ingeniería social para redirigir a las víctimas a dominios falsos a través de enlaces maliciosos.
Para ello, Tortoiseshell habría desplegado sofisticados personajes ficticios para ponerse en contacto con sus objetivos, y a veces se comprometía con ellos durante meses para generar confianza, haciéndose pasar por reclutadores y empleados de empresas de defensa y aeroespaciales, mientras que otros decían trabajar en los sectores de la hostelería, la medicina, el periodismo, las ONG y las aerolíneas.
Los dominios fraudulentos, que incluían versiones falsas de un sitio de búsqueda de empleo del Departamento de Trabajo de EE.UU. y de sitios web de reclutamiento, estaban diseñados para dirigirse a personas de probable interés dentro de las industrias aeroespacial y de defensa con el objetivo final de perpetrar el robo de credenciales y desviar datos de cuentas de correo electrónico pertenecientes a los objetivos.
Además de aprovechar las diferentes plataformas de colaboración y mensajería para trasladar las conversaciones fuera de la plataforma y entregar a sus víctimas malware adaptado al objetivo, el agente de la amenaza también perfiló sus sistemas para aspirar información sobre las redes a las que estaban conectados los dispositivos y el software instalado en ellos para desplegar troyanos de acceso remoto (RAT) con todas las funciones, herramientas de reconocimiento de dispositivos y redes, y registradores de pulsaciones de teclas.
El análisis de Facebook de la infraestructura de malware de Tortoiseshell, descubrió que una parte de su conjunto de herramientas fue desarrollada por Mahak Rayan Afraz (MRA), una empresa de TI en Teherán con vínculos con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
Con información de: El Economista.