Saltar al contenido
Cosas Tecnológicas

Facebook captura a espías iraníes para atrapar objetivos militares estadounidenses

Si usted es miembro del ejército de los EE. UU. Y ha estado recibiendo mensajes amigables de Facebook de reclutadores del sector privado durante meses, lo que sugiere que la industria de contratistas aeroespaciales o de defensa será lucrativa en el futuro, entonces Facebook puede traer malas noticias.

El jueves, el gigante de las redes sociales reveló que había rastreado y, al menos parcialmente, interrumpido una campaña de piratería iraní de larga duración que usaba cuentas de Facebook para fingir ser reclutadores, enviando archivos infectados con malware o engañándolos para que fueran objetivos estadounidenses. sitio web de phishing. Facebook declaró que los piratas informáticos también pretenden trabajar en la industria hotelera o médica, el periodismo, las ONG o las aerolíneas y, a veces, utilizan datos personales en varias plataformas de redes sociales diferentes para comunicarse con sus objetivos durante meses. A diferencia de algunos casos anteriores de bagres en las redes sociales financiados por el estado iraní de los vecinos de Irán, esta última campaña parece estar dirigida principalmente a los estadounidenses y, en menor medida, a las víctimas en el Reino Unido y Europa.

Facebook declaró que, como resultado de la investigación, eliminó “menos de 200” datos personales falsos de su plataforma y notificó aproximadamente a la misma cantidad de usuarios de Facebook que los piratas informáticos los atacaron.

“Nuestra investigación encontró que Facebook es parte de una campaña de espionaje más amplia que se dirige a personas con phishing, ingeniería social, sitios engañosos y dominios maliciosos en múltiples plataformas de redes sociales, correos electrónicos y sitios de colaboración. Dijo David Agranovich, director de amenazas de Facebook. Interrupción, dijo en una conferencia telefónica con los medios el jueves.

Facebook ha identificado al pirata informático detrás de la actividad de ingeniería social como una organización conocida como Tortoiseshell, que se cree que trabaja en nombre del gobierno iraní. Esta organización tiene algunas conexiones sueltas y similitudes con otras organizaciones iraníes conocidas como APT34 o Helix Kitten y APT35 o Charming Kitten, que fueron expuestas por primera vez en 2019. En ese momento, la empresa de seguridad Symantec descubrió que los piratas informáticos invadieron a los proveedores de TI de Arabia Saudita en un aparente ataque a la cadena de suministro destinado a infectar a los clientes de la empresa con un malware llamado Syskit. Facebook encontró el mismo malware utilizado en esta última campaña de piratería, pero su tecnología de infección es mucho más amplia y el objetivo es Estados Unidos y otros países occidentales en lugar de Oriente Medio.

Según la empresa de seguridad Mandiant, Tortoiseshell parece haber elegido la ingeniería social en lugar de los ataques a la cadena de suministro desde el principio, y comenzó el phishing en las redes sociales ya en 2018. John Hultquist, vicepresidente de inteligencia de amenazas de Mandiant, dijo que esto incluye no solo a Facebook. “A partir de algunas de las primeras acciones, utilizaron planes de redes sociales muy complejos para compensar métodos técnicos muy simples. Esta es un área en la que Irán es muy bueno”, dijo Hultquist.

En 2019, el departamento de seguridad de Talos de Cisco descubrió que Tortoiseshell estaba ejecutando un sitio web falso para veteranos llamado Hire Military Heroes, diseñado para engañar a las víctimas para que instalen una aplicación de escritorio que contenga malware en sus PC. Craig Williams, director del Talos Intelligence Group, dijo que tanto el sitio web falso como las actividades más amplias identificadas por Facebook muestran cómo el personal militar que intenta encontrar trabajo en el sector privado puede convertirse en objetivos maduros para los espías. “El problema al que nos enfrentamos es que la transición de los veteranos al mundo empresarial es una industria enorme”, dijo Williams. “Las personas malas pueden encontrar personas que cometen errores, harán clic en cosas que no deberían hacer y se sentirán atraídas por ciertas propuestas”.

Facebook advirtió que la organización también engañó al sitio web del Departamento de Trabajo de EE. UU.; La compañía proporcionó una lista de nombres de dominio falsos que la organización se hizo pasar por sitios de medios de noticias, versiones de YouTube y LiveLeak, así como muchas URL relacionadas con la familia Trump y la Organización Trump. Diferentes variantes.

Facebook declaró que ha vinculado las muestras de malware de la organización con un contratista de TI específico de Teherán llamado Mahak Rayan Afraz, que anteriormente proporcionó malware al Cuerpo de la Guardia Revolucionaria de Irán (IRGC), una combinación de la organización carey y un contratista de TI específico de Teherán. conexión débil entre gobiernos. Ya en 2019, Symantec señaló que la organización también utilizó algunas herramientas de software descubiertas por el grupo de piratas informáticos iraní APT34, que ha estado utilizando señuelos de redes sociales en sitios web como Facebook y LinkedIn durante muchos años. Hultquist de Mandiant declaró que es más o menos lo mismo que la organización iraní conocida como APT35, que se cree que sirve al IRGC. La historia de APT35 incluye el uso de Monica Witt, una desertor estadounidense y contratista de defensa de inteligencia militar, para obtener información sobre sus antiguos colegas, que puede usarse para atacarlos a través de actividades de ingeniería social y phishing.

A medida que la administración Biden ha cambiado el enfoque de confrontación de la administración Trump, la amenaza de las operaciones de piratería basadas en Irán, especialmente la amenaza de ataques cibernéticos destructivos desde el país, parece haber disminuido. En particular, el asesinato del líder militar iraní Qassem Soleimani en 2020 provocó un aumento de la invasión de Irán. Mucha gente temía que esto fuera un presagio de un ciberataque de represalia, pero nunca se materializó. En contraste, el presidente Biden expresó su deseo de revivir el acuerdo de la era de Obama, que suspendió las ambiciones nucleares de Irán y alivió las tensiones con la noticia del país de que agentes de inteligencia iraníes conspiraron para secuestrar a un periodista iraní-estadounidense. .

Pero la campaña de Facebook muestra que incluso si mejoran las relaciones políticas más amplias, las actividades de espionaje de Irán continuarán apuntando a Estados Unidos y sus aliados. “El Cuerpo de la Guardia Revolucionaria Islámica es claramente un espionaje en los Estados Unidos”, dijo Hultquist de Mandiant. “Todavía no terminan bien, hay que vigilarlos con atención”.

Esta historia apareció por primera vez en wired.com.