Según ha informado la empresa de ciberseguridad Crowdstrike,
uno de los grupos de hackers patrocinado por el estado de Irán, ha sido
detectado vendiendo acceso a redes corporativas comprometidas en un foro de hacking
clandestino.
La empresa ha identificado el grupo con el nombre en clave Pioneer
Kitten, el cual es un nombre alternativo para el grupo también conocido
como Fox Kitten o Parisite.
Crowdstrike cree que este grupo el cual está contratado por
un régimen iraní, ha estado tanto en 2019 como en 2020 hackeando las
redes corporativas utilizando las vulnerabilidades de VPNs y equipos de red
siguientes:
–
Palo Alto Networks “Global Protect” VPN servers
(CVE-2019-1579)
– F5 Networks BIG-IP equilibradores de carga
(CVE-2020-5902)
–
Fortinet VPN servers funcionando con FortiOS (CVE-2018-13379)
–
Pulse Secure “Connect” Enterprise VPNs (CVE-2019-11510)
–
Citrix “ADC” servers y Citrix network gateways
(CVE-2019-19781)
Según han afirmado las empresas de ciberseguridad ClearSky y
Dragos, el grupo de hackers, utilizando las vulnerabilidades mencionadas
anteriormente conseguía acceder a la red implantando una backdoor, para posteriormente
permitir el acceso a otros grupos de hackers iranís, como pueden ser
APT33(Shamoon), Oilrig(APT34) o Chafer.
Una vez los otros grupos tenían acceso, utilizaban malware
y exploits más avanzados para de esa forma expandir el acceso inicial
que había creado Pioneer kitten, consiguiendo acceder a más sitios de la
red, con la finalidad de buscar y robar información sensible que sería de interés
para el gobierno iraní.
En uno de los últimos reportes de Crowdstrike, ha indicado
que el grupo Pioneer Kitten ha sido descubierto vendiendo acceso a redes
corporativas comprometidas en algunos foros de hacking clandestinos desde por
lo menos julio de 2020.
Según cree el grupo Crowdstrike, el grupo está tratando de
diversificar su flujo de ingresos y monetizar redes que no tienen ningún valor
para los servicios de inteligencia iraníes.
Algunos de los objetivos clásicos de los grupos de hackers
patrocinados por el estado iraní suelen incluir compañías y gobiernos
localizados en US, Israel, y otros países árabes en el oriente medio. Los
sectores que suelen ser objetivos de estos grupos incluyen defensa, tecnología,
atención sanitaria y gobierno del país al que atacan. Todo aquello que no entre
en estos sectores posiblemente este fuera del alcance de los hackers del
gobierno iraní, y lo más probable es que acabe en un foro clandestino de
hacking para el uso de otros grupos.