Cuatro meses después del día en que una incursión de Hamas a través de la frontera israelí en Gaza desató una guerra que resultó en la muerte de miles de israelíes y decenas de miles de palestinos, Microsoft ha compartido nueva información de inteligencia sobre cómo los actores de amenazas vinculados o respaldados por el El gobierno de Irán ha intensificado las operaciones cibernéticas ofensivas contra Israel. Irán, que es aliado de Hamás, ha lanzado una serie de ciberataques y operaciones de influencia destinadas a apoyar a su representante y debilitar a Israel, sus aliados y socios comerciales, muchos de ellos realizados de manera apresurada y caótica. “Contrariamente a algunas afirmaciones de los medios estatales iraníes, los medios cibernéticos e IO iraníes [influence operations] Los actores reaccionaron en la fase inicial de la guerra entre Israel y Hamas”, escribió Clint Watts, director general del Centro de Análisis de Amenazas de Microsoft (MTAC). “El MTAC observó que los medios estatales iraníes emitían detalles engañosos de supuestos ataques y que grupos iraníes reutilizaban material fechado de operaciones históricas y exageraban el alcance general y el impacto de los supuestos ataques cibernéticos. Tres meses después, la preponderancia de los datos sugiere que los ciberactores iraníes reaccionaron y rápidamente intensificaron sus operaciones cibernéticas y de influencia después de los ataques de Hamás para contrarrestar a Israel. “Desde el estallido de la guerra entre Israel y Hamas el 7 de octubre, Irán ha aumentado sus operaciones de influencia y sus esfuerzos de piratería contra Israel, creando un entorno de amenaza en el que todos deben ponerse manos a la obra”, dijo. “Estos ataques fueron reactivos y oportunistas en los primeros días de la guerra, pero a finales de octubre, casi toda su influencia y los principales actores cibernéticos estaban dirigidos a Israel. Los ataques cibernéticos se volvieron cada vez más dirigidos y destructivos, y las campañas de IO se volvieron cada vez más sofisticadas y poco auténticas, desplegando redes de cuentas de ‘títeres’ en las redes sociales”. Sin embargo, Watts dijo que el trabajo de Irán en nombre de Hamas parecía consistir tanto en dar la apariencia de tener influencia global como en tener un impacto concreto y dañino, y señaló que era probable que los grupos iraníes de amenaza persistente avanzada (APT, por sus siglas en inglés) pudieran usar similares tácticas contra las próximas elecciones presidenciales estadounidenses. Tácticas cibernéticas iraníes en la guerra de Gaza Según MTAC, las operaciones de influencia cibernéticas de Irán han pasado por tres etapas clave desde el 7 de octubre. Su informe denomina estas fases así: reactiva y engañosa; Todas las manos en el mazo; Alcance geográfico ampliado. En la primera fase, Irán aprovechó el acceso preexistente, como el alcance de emisoras afiliadas al estado como la cadena Press TV (prohibida en el Reino Unido desde 2012), pero tendió a depender de material más antiguo para las filtraciones, hizo un uso mínimo de calcetines títeres y se abstuvieron de enviar SMS masivos o campañas de correo electrónico. Algunos aspectos destacados de esta primera fase incluyen afirmaciones de una agencia de noticias vinculada al Cuerpo de la Guardia Revolucionaria Iraní (IGRC), Tasnim, que alega que un grupo llamado Cyber ​​Avengers (que sí existe) había atacado la infraestructura eléctrica israelí durante la incursión del 7 de octubre. La evidencia presentada fueron informes de cortes de energía de hace semanas y una captura de pantalla de un corte sin fecha en el sitio web de la supuesta víctima. Otro operador, conocido como Malek Team, probablemente dirigido por el Ministerio de Inteligencia y Seguridad (MOIS) de Teherán, filtró datos robados de una universidad israelí el 8 de octubre, pero estos datos no tenían relevancia real para lo que estaba sucediendo en Gaza en ese momento, lo que sugiere la selección fue oportunista y se basó en el acceso preexistente. A mediados de octubre, Irán estaba pasando a la segunda fase, durante la cual el MTAC observó una casi duplicación del número de grupos que atacaban a Israel y un cambio hacia ataques destructivos y ocasionalmente coordinados contra los mismos objetivos que incorporaban mensajes pro-Hamás. . Malware personalizado En un incidente particularmente notable el 18 de octubre, el operador Shahid Kaveh, respaldado por el IRGC, implementó malware personalizado contra cámaras de seguridad en Israel. Luego utilizó una persona llamada Soldados de Salomón para afirmar falsamente que había rescatado cámaras de seguridad y datos en la Base de la Fuerza Aérea de Nevatim, una gran instalación cerca de Beersheba en el sur del desierto de Negev. Sin embargo, un examen más detenido de las imágenes filtradas mostró que fueron tomadas desde una calle Nevatim ubicada en una ciudad al norte de Tel Aviv, no desde la base aérea en absoluto. Por parte de IO, el uso de títeres con calcetines se disparó (muchos de ellos reutilizados), al igual que las campañas masivas de SMS y correos electrónicos, y los iraníes comenzaron a intensificar la suplantación de activistas israelíes y palestinos. La tercera fase de actividad comenzó a finales de noviembre, cuando los iraníes comenzaron a extender su influencia cibernética más allá de Israel para apuntar a países amigos de Israel y/u hostiles a Irán. Esto se alineó con los hutíes con base en Yemen y respaldados por Irán que intensificaron sus ataques contra el transporte marítimo en el Mar Rojo. Aquí se destacan dos incidentes particularmente notables, uno que tuvo como objetivo varias instituciones en Albania el día de Navidad, lo que puede parecer una elección extraña de objetivo al principio, pero recordemos que Albania en realidad cortó relaciones diplomáticas con Irán en 2022 por un ciberataque. Otros ataques tuvieron como objetivo el gobierno de Bahréin y las instituciones financieras, siendo Bahréin signatario de los Acuerdos de Abraham de 2020 que normalizaron las relaciones entre Israel y algunos estados árabes, y la infraestructura nacional crítica (CNI) en los EE. UU., incluido el incidente de finales de noviembre contra dispositivos programables de fabricación israelí. controladores lógicos en la Autoridad Municipal del Agua de Aliquippa, Pensilvania. ¿Qué quiere Irán? Irán tiene cuatro objetivos clave en su actual campaña para socavar a Israel y sus partidarios, causar confusión y dañar la confianza, dijo Watts. El primero de estos objetivos es abrir y exacerbar divisiones políticas y sociales internas, centrándose, por ejemplo, en las divisiones que han surgido sobre cómo el gobierno israelí ha abordado el intento de recuperar a los rehenes retenidos por Hamás. El segundo es tomar represalias contra Israel, el grupo Cyber ​​Avengers ha apuntado específicamente al CNI israelí en respuesta a los ataques de Israel a tales instalaciones en Gaza, citando el viejo adagio bíblico de “ojo por ojo”. El tercero es intimidar a los ciudadanos israelíes y amenazar a las familias de los soldados que sirven en las Fuerzas de Defensa de Israel. El cuarto es socavar el apoyo global a Israel, a menudo resaltando la innegable devastación que Israel ha causado en su respuesta. Watts dijo que era probable que los grupos iraníes colaboraran cada vez más entre sí, reduciendo las barreras de entrada para varios grupos dispares e intensificando su enfoque en Israel. «Evaluamos que la progresión mostrada hasta ahora en las tres fases de la guerra continuará», escribió. “En medio del creciente potencial de una guerra cada vez más amplia, esperamos que las operaciones de influencia y los ciberataques iraníes sigan siendo más selectivos, más colaborativos y más destructivos a medida que se prolongue el conflicto entre Israel y Hamas. Irán seguirá probando líneas rojas, como lo hizo con un ataque a un hospital israelí y a los sistemas de agua de Estados Unidos a finales de noviembre. “La mayor colaboración que hemos observado entre diferentes actores de amenazas iraníes planteará mayores amenazas en 2024 para los defensores de las elecciones que ya no pueden consolarse con rastrear únicamente a unos pocos grupos. Más bien, un número creciente de agentes de acceso, grupos de influencia y actores cibernéticos crea un entorno de amenazas más complejo y entrelazado”.

Source link