Un grupo de hackers iraní está yendo contra organizaciones críticas de Oriente Medio

La compañía de ciberseguridad Symantec ha descubierto la existencia de una campaña de ciberespionaje que está siendo llevada a cabo por un grupo llamado Leafminer, el cual se ha centrado en atacar organizaciones gubernamentales y de negocios ubicadas en Oriente Medio desde al menos principio de 2017.

Con el fin de infiltrarse en las redes de sus objetivos, Leafminer utiliza principalmente tres técnicas de intrusión: sitios web tipo watering hole, escaneados de vulnerabilidad de los servicios de redes en la Internet e intentos de inicio de sesión por fuerza bruta/mediante diccionario. Parece que el grupo está buscando datos como correos electrónicos, archivos y servidores de bases de datos en sistemas operativos comprometidos o vulnerables, lo que muestra que sus claro enfoque en el espionaje.

Leafminer es un grupo bastante activo y utiliza herramientas que están disponibles de forma pública que generalmente no disparan las alertas, a las cuales se suma un malware personalizado para cumplir con sus propios objetivos. Es importante tener en cuenta que tiene grandes ambiciones y quiere aprender de los agentes de amenazas más avanzados, como su imitación de la técnica watering hole de Dragonfly.

Symantec ha detectado mediante sus análisis una lista de 809 objetivos usada por los miembros de Leafminer para llevar escaneos contra estos. A nivel de regiones opera contra Arabia Saudí, los Emiratos Árabes Unidos, Qatar, Kuwait, Bahrein, Egipto, Israel y Afganistán, apuntando contra entidades gubernamentales y los sectores financiero y energético. Al parecer, el grupo es de origen iraní, ya que la lista de estaba escrito en idioma farsi, además de haber usado MagicCoder para la creación de la web con la que luego se establecería el servidor. A lo mencionado hasta aquí hay que sumar un identificador de hacker vinculado a foros de hacking iraníes y a otro grupo de hackers iraní llamado Sun Army.

Que los grupos hackers tengan como objetivo infraestructuras críticas de un estado no es algo nuevo, ya que en otras ocasiones hemos informado de otros casos en los que se apuntaba contra centrales eléctricas y el sistema sanitario, cuando no se trataba de grandes empresas como Sony Pictures. Por otro lado, no se puede descartar que estén patrocinados por algún estado, como es el caso de Lazarus y Corea del Norte.