Los hackers atacan a los contratistas de defensa del Gobierno con un nuevo malware de puerta trasera.

Microsoft ha revelado recientemente que APT33, un grupo de ciberespionaje iraní también conocido como Peach Sandstorm, HOLMIUM o Refined Kitten, está atacando a contratistas de defensa de todo el mundo con un malware de puerta trasera recién descubierto llamado FalseFront. Este ataque selectivo pone de relieve la amenaza persistente que estos hackers respaldados por el Estado suponen para la seguridad de las tecnologías y la información sensibles.

FalseFront es un malware de puerta trasera personalizado que concede a los operativos de APT33 acceso remoto a los sistemas comprometidos, lo que les permite ejecutar programas y robar datos dentro de las redes infectadas. Una vez robados, permite la transferencia de archivos a sus servidores de comando y control (C2).

FalseFront marca una evolución preocupante en las capacidades de APT33. Su primera observación en el mundo real se remonta a principios de noviembre de 2023, lo que indica un desarrollo relativamente reciente. Microsoft también destaca que su diseño se ajusta a las tácticas anteriores de APT33, lo que sugiere un perfeccionamiento continuo de su conjunto de herramientas de ciberespionaje.

Los ataques de APT33 se dirigen específicamente a la Base Industrial de Defensa (DIB), una red de más de 100 000 empresas y subcontratistas de defensa responsables de la investigación y el desarrollo de sistemas, subsistemas y componentes de armas militares. No es la primera vez que APT33 pone su mirada en la DIB.

En septiembre de 2023, Microsoft informó de una campaña independiente que implicaba amplios ataques de pulverización de contraseñas dirigidos a miles de organizaciones, incluidas varias del sector de la defensa. A lo largo de 2023, APT33 mostró interés en organizaciones estadounidenses y de otros países dedicadas a la industria satelital, la defensa y la farmacéutica. El ataque de septiembre fue la culminación de una serie de sondeos realizados a lo largo del año, que dieron lugar al robo de datos de un número limitado de víctimas en estos sectores.

Esta persistencia subraya el inquebrantable interés del grupo por adquirir secretos militares y perturbar infraestructuras críticas. APT33 ha atacado sectores en Estados Unidos, Arabia Saudí y Corea del Sur durante la última década, con objetivos que van desde el gobierno, la defensa y la investigación hasta las finanzas y la ingeniería.

Hace solo dos años, un grupo de hackers vinculado a Irán conocido como DEV-0343 atacó a empresas de tecnología de defensa estadounidenses e israelíes. Es necesario que las empresas y aquellos en quienes confían, principalmente Microsoft en este caso, apliquen medidas más estrictas de control de la ciberseguridad para garantizar la protección frente a ataques extranjeros y la pérdida de datos críticos.

Por desgracia, los contratistas de defensa no existen en el vacío. Las campañas de ciberespionaje dirigidas a este sector son solo una pieza más de un rompecabezas mucho mayor. En los últimos años, las agencias y contratistas de defensa de todo el mundo se han enfrentado a ataques implacables por parte de:

• Hackers estatales rusos: campañas de espionaje dirigidas a la inteligencia militar y los secretos tecnológicos.
• Grupos de piratas informáticos norcoreanos: intentos de robar información confidencial y perturbar potencialmente infraestructuras críticas.
• Operaciones de ciberespionaje chino: esfuerzos a largo plazo para adquirir información clasificada y conocimientos tecnológicos.

Este panorama global de amenazas cibernéticas pone de relieve la necesidad de adoptar medidas sólidas de ciberseguridad en toda la base industrial de defensa.

De hecho, este no es el primer problema de seguridad relacionado con el gobierno en 2023, ya que en septiembre se produjo el error CISA Citrix Sharefile. Ese problema provocó un aumento de las actividades sospechosas, con muchos intentos de aprovechar las vulnerabilidades causadas por el error. Muchas personas sin escrúpulos están esperando para aprovechar la situación y obtener todo lo que puedan, o se esconden en sus sistemas para esperar a que pase la tormenta y robar información cuando sea seguro. Desgraciadamente, las entidades relacionadas con el gobierno se consideran un objetivo prioritario para la explotación o la manipulación en el ámbito de la ciberseguridad.

Microsoft recomienda varios pasos críticos para que los contratistas de defensa se protejan contra APT33 y otros grupos de piratas informáticos avanzados: TABLICE LO SIGUIENTE

• Restablecer credenciales: Implemente políticas de contraseñas estrictas y restablezca inmediatamente las credenciales de las cuentas que hayan sido objeto de ataques indiscriminados.
• Revocar cookies de sesión: Minimizar la superficie de ataque invalidando cualquier cookie de sesión establecida previamente.
• Cuentas seguras: aplique la autenticación multifactor (MFA) a todas las cuentas, incluidas las utilizadas para RDP y Windows Virtual Desktop.
• Manténgase alerta: implemente programas continuos de formación y concienciación sobre seguridad para educar a los empleados sobre el phishing y otras amenazas cibernéticas comunes.

El panorama en constante evolución de las amenazas cibernéticas exige una vigilancia constante y medidas proactivas. Manteniéndose informados, dando prioridad a prácticas sólidas de ciberseguridad y colaborando con expertos en seguridad, los contratistas de defensa pueden proteger sus tecnologías e información vitales de grupos como APT33.