Elecciones en EE.UU: Los piratas informáticos iraníes atacan las campañas políticas
Con las elecciones, siempre ha habido acusaciones de amaño y corrupción, y es posible que tales afirmaciones tengan algo de verdad en distintos países del mundo. Sin embargo, las elecciones estadounidenses se han visto recientemente sometidas a la influencia de la ciberdelincuencia.
Este escenario es el resultado del ataque de piratas informáticos iraníes a campañas políticas que pueden influir en las elecciones estadounidenses. En este artículo, nos sumergiremos en los detalles de la iniciativa objetivo y veremos en qué consiste el ciberespionaje iraní.
Las elecciones estadounidenses, en peligro
Según informes recientes de los medios de comunicación, expertos en ciberseguridad han vinculado a piratas informáticos iraníes con la creación de una nueva infraestructura utilizada para actividades de apoyo relacionadas con campañas políticas. Los expertos del Grupo Inskit han vinculado a estos piratas informáticos con el grupo de actores de amenazas conocido como el grupo de piratas informáticos GreenChaelie. GreenCharlie es un grupo de actores de amenazas relacionado con Irán que se solapa con:
- APT42.
- Gatita encantadora.
- Damselfly.
- Tormenta de arena de menta.
- TA453, y Yellow Garuda.
La empresa de ciberseguridad, proporcionando información relativa a la infraestructura del grupo, declaró que:
"La infraestructura del grupo está meticulosamente diseñada, utilizando proveedores de DNS dinámicos (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing. Estos dominios a menudo emplean temas engañosos relacionados con servicios en la nube, intercambio de archivos y visualización de documentos para atraer a los objetivos a revelar información sensible o descargar archivos maliciosos."
Historial del Grupo de Hacking GreenCharile
Cabe mencionar aquí que el adversario es conocido por realizar ataques de phishing muy selectivos. Estos ataques utilizan técnicas de ingeniería social que ayudan a infectar los sistemas de los usuarios con malware. Dos ejemplos comunes de este tipo de malware son POWERSTART y GORBLE.
Se sabe que malware como GORBLE, TAMECAR y POWERSTART son variantes que pertenecen a la misma familia de malware. Estas cargas útiles son una serie de implantes PowerShell que evolucionan continuamente y han sido desplegadas por el grupo de hackers GreenCharlie en los últimos años.
Además, BlackSmith, otra variante perteneciente a la familia del malware, también se utilizó para atacar a una destacada figura judía en julio de 2024 a través de una campaña de spear-phishing.
Infraestructura DDNS Phishing
El proceso de infección de los ciberataques que supuestamente amenazan las elecciones estadounidenses está categorizado entre múltiples etapas.
Inicialmente, se trata de adquirir acceso mediante técnicas de phishing. Una vez obtenido el acceso, se desarrollan comunicaciones de seguimiento con los servidores de mando y control (C2). A continuación, se filtran los datos o se entregan cargas útiles adicionales.
Aparte de esto, el actor de la amenaza había registrado un gran número de dominios DDNS desde mayo de 2024. Además, también se identificó la comunicación entre direcciones IP con sede en Irán, 38.180.146[.]194 y 38.180.146[.]174, y la infraestructura del grupo de piratas informáticos GreenCharile durante julio y agosto de 2024.
Cabe señalar que también se ha identificado un enlace entre los clusters de GreenCharlie y los servidores C2 utilizados por GROBLE. Se dice que las operaciones relacionadas con el enlace son facilitadas por Proton VPN o Proton Mail. Al comentar las tácticas de phishing del grupo que podrían amenazar las elecciones estadounidenses , Recorded Future, una empresa de ciberseguridad, declaró:
"Las operaciones de phishing de GreenCharlie están muy dirigidas, y a menudo emplean técnicas de ingeniería social que explotan acontecimientos de actualidad y tensiones políticas."
Conclusión
La amenaza planteada por el grupo de piratas informáticos GreenCharlie pone de manifiesto la evolución del panorama de la guerra cibernética, en la que adversarios extranjeros atacan acontecimientos políticos clave para influir en los resultados. Este asalto digital en curso pone de relieve la urgente necesidad de medidas de ciberseguridad sólidas para salvaguardar los procesos democráticos y proteger la integridad de las futuras elecciones estadounidenses.
Las fuentes de esta pieza incluyen artículos en The Hacker News y CYPRO.