Seguridad

APT33: el grupo de hackers iraní que tiene en alerta a aerolíneas y eléctricas

ransomware, secuestro de un ordenador

Explicamos el funcionamiento del grupo iraní APT33, cuyos recientes ataques han puesto en jaque a varios intereses estratégicos en Arabia Saudí, Corea del Sur y EEUU.

Es conocido por sus habilidades potencialmente destructivas, lleva operando desde 2013 a las órdenes, supuestamente, del gobierno iraní, y ha atacado ya a distintas aerolíneas y empresas petroleras de Estados Unidos, Arabia Saudí y Corea del Sur. Hablamos de APT33, el nuevo grupo de ciberdelincuentes que trae de cabeza a la comunidad de la seguridad informática.

Y es que la actividad de estos individuos se ha recrudecido notoriamente en los últimos meses. Desde mediados de 2016 hasta principios de 2017, APT33 comprometió una organización estadounidense del sector de la aviación y atacó un grupo empresarial de Arabia Saudí con participaciones en empresas de aviación. Durante el mismo período, el grupo también atacó una compañía surcoreana relacionada con la industria petroquímica y la refinería de petróleo. Finalmente, en mayo de este mismo curso, se sospecha que APT33 atacó una organización saudita y un grupo empresarial surcoreano utilizando un archivo malicioso que intentó embaucar a las víctimas con ofertas de trabajo de una compañía petroquímica de Arabia Saudí.

Desde la firma de seguridad FireEye, descubridores del grupo delictivo, creen que los ataques a la organización de Arabia Saudí podrían constituir un intento de obtener información de rivales regionales, mientras que los ataques a las empresas surcoreanas podrían deberse a las alianzas que tienen con la industria petroquímica iraní, así como a las relaciones de Corea del Sur con compañías petroquímicas de Arabia Saudí. APT33 podría haber atacado estas organizaciones como resultado del anhelo de Irán de ampliar su propia producción petroquímica y mejorar su competitividad en la región.

Las sospechas de que Irán está detrás de APT33 no están para nada vacías de razón. La primera pista es que solo ataquen a organizaciones relacionadas con los sectores de la aviación y la energía, lo cual implica que el autor de la amenaza está financiado muy probablemente por algún gobierno. En segundo lugar, los horarios de las actividades coinciden con el horario de trabajo iraní. Por último, el uso de múltiples herramientas hacker y nombres de servidores iraníes apoyan la evaluación de los expertos de que probablemente APT33 ha actuado en nombre del gobierno iraní.

¿Cómo opera el APT33?

Los analistas de seguridad han desvelado detalles clave sobre la operativa de APT33 en sus distintas campañas de actividad. El procedimiento más habitual es el que sigue: el grupo envía correos electrónicos de spear phishing (estafa de correo electrónico dirigida a objetivos concretos) a empleados con trabajos relacionados con la industria de la aviación. Estos emails usan como cebo asuntos relacionados con procesos de selección de personal y contienen enlaces a archivos de aplicaciones HTML maliciosas.

Para cubrir su engaño, el APT33 registra varios dominios que se enmascaran como compañías de aviación sauditas y organizaciones occidentales con acuerdos para dar formación, mantenimiento y apoyo a la flota comercial y militar de Arabia Saudí.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.