Grupo de análisis de amenazas de Google confirmado miércoles que observaron a un actor de amenazas respaldado por el gobierno iraní atacando cuentas de Google asociadas con campañas presidenciales estadounidenses, además de intensificar los ataques contra objetivos israelíes.
APT42, asociado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán, “ataca constantemente a usuarios de alto perfil en Israel y Estados Unidos”, escribe el Grupo de Análisis de Amenazas (TAG). El grupo iraní utiliza malware alojado, páginas de phishing, redireccionamientos maliciosos y otras tácticas para obtener acceso a Google, Dropbox, OneDrive y otras cuentas basadas en la nube. El TAG de Google escribe que restableció cuentas, envió advertencias a los usuarios y puso en la lista negra dominios asociados con los intentos de phishing de APT42.
Entre las herramientas de APT42 se encontraban páginas de Google Sites que parecían ser una petición de activistas judíos legítimos, en la que se pedía a Israel que mediara en su conflicto en curso con Hamás. La página estaba creada a partir de archivos de imagen, no HTML, y una redirección de ngrok enviaba a los usuarios a páginas de phishing cuando se disponían a firmar la petición.
En Estados Unidos, el TAG de Google señala que, al igual que en las elecciones de 2020, APT42 está atacando activamente los correos electrónicos personales de “aproximadamente una docena de personas afiliadas al presidente Biden y al expresidente Trump”. TAG confirma que APT42 “logró acceder con éxito a la cuenta personal de Gmail de un consultor político de alto perfil”, que puede ser el veterano agente republicano Roger Stone, según informó El guardián, CNNy El Washington Postentre otros. Microsoft Se señaló por separado la semana pasada que un “ex asesor principal” de la campaña de Trump vio comprometida su cuenta de Microsoft, lo que Stone también confirmó.
“Hoy, TAG continúa observando intentos fallidos de APT42 de comprometer las cuentas personales de personas afiliadas al presidente Biden, la vicepresidenta Harris y el expresidente Trump, incluidos funcionarios gubernamentales actuales y anteriores e individuos asociados con las campañas”, escribe TAG de Google.
Los archivos PDF y los kits de phishing se dirigen a ambos lados
La publicación de Google detalla las formas en que APT42 ataca a los agentes de ambos partidos. La estrategia general es sacar al objetivo de su correo electrónico y llevarlo a canales como Signal, Telegram o WhatsApp, o posiblemente a una dirección de correo electrónico personal que no tenga configurada la autenticación de dos factores ni el monitoreo de amenazas. Al establecer la confianza mediante el envío de archivos PDF legítimos o atrayéndolos a reuniones de video, APT42 puede luego enviar enlaces que utilizan kits de phishing con “un flujo continuo” para recopilar credenciales de Google, Hotmail y Yahoo.
Después de afianzarse, APT42 suele trabajar para preservar su acceso generando contraseñas específicas de la aplicación dentro de la cuenta, que normalmente pasan por alto las herramientas multifactor. Google señala que su Programa de protección avanzadadestinado a personas con alto riesgo de ataque, desactiva tales medidas.
Publicaciones como Politico, The Washington Post y The New York Times han… Denunció que le ofrecieron documentos de la campaña de Trumpposiblemente como resultado de las acciones de phishing de Irán, en un eco de los ataques rusos a la campaña de Hillary Clinton en 2016. Ninguno de ellos ha decidido publicar historias relacionadas con los documentos.
John Hultquist, de la empresa de ciberseguridad Mandiant, propiedad de Google, dijo a Andy Greenberg de Wired que lo que inicialmente parece espionaje o interferencia política por parte de Irán puede fácilmente convertirse en sabotaje y que ambas partes son objetivos iguales. También dijo que tal vez sea necesario ampliar el pensamiento actual sobre los vectores de amenaza.
“Ya no es sólo un problema de Rusia. Es más amplio que eso”, dijo Hultquist. “Hay varios equipos en juego y tenemos que estar atentos a todos ellos”.