Una investigación realizada desde enero hasta octubre de este año por la firma U42, perteneciente a PaloAlto Networks, encontró que un colectivo de hackers iraní conocido como Agonizing Serpens, Agrius, BlackShadow o Pink Sandstorm, entre otros alias, ha estado atacando con insistencia varias organizaciones de Israel.
Estos ataques iban encaminados al robo de información de diversa índole, desde documentos personales hasta propiedad intelectual. Y más sofisticado aún, los cibercriminales utilizaron wipers (un tipo de malware que borra archivos) para cubrir sus huellas.
La investigación, disponible en línea en este enlace, también denunció que los ciberataques iban ganando en sofisticación, demostrando un aumento de esfuerzos y recursos para eludir la detección y respuesta. No por nada, Agonizing Serpen es considerado un grupo APT.
Las APT y los Estados
También conocidos como Advanced Persistent Threat o Amenaza Persistente Avanzada, este término es definido por el Instituto de Tecnología y Estándares de Estados Unidos (NIST) como:
“Un adversario con niveles sofisticados de experiencia y recursos que le permite, a través del uso de múltiples vectores de ataque, generar oportunidades para lograr sus objetivos, que suelen ser establecer y ampliar su presencia en la infraestructura de tecnología de la información de las organizaciones.”
Este malware va dirigido contra grandes organizaciones e incluso gobiernos y trata de permanecer oculto la mayor cantidad de tiempo, lo que hace muy difícil su detección. Son pensados para operar a largo plazo y, precisamente por la cantidad de recursos necesarios, se suelen vincular con gobiernos.
En este sentido, la firma de seguridad Mandiant ha encontrado más de 150 grupos APT existentes en la actualidad que relaciona directamente con países como China, Irán, Rusia, y Vietnam, entre otros, incluyendo a colectivos como Agonizing Serpens.
De Agonizing Serpens a otros países
Así y según diferentes reportes, Agonizing Serpens es un grupo APT vinculado a Irán y particularmente activo desde 2020, conocido por los robos de información y ransomware dirigidos especialmente contra entidades israelíes.
Y peor aún, según PaloAlto Networks, “aunque en los primeros informes los ataques mencionan una agresión ransomware y posteriores pedidos de rescate, luego se determinó que se trataba de un engaño”. Tras la investigación quedó demostrado que no se buscaba dinero, sino que el objetivo era vulnerar datos e interrumpir la continuidad de la actividad empresarial.
Pero tal vez lo más grave es que las consecuencias de este conflicto empiezan a expandirse a otras geografías, como ocurrió recientemente en una instalación de agua al noroeste de Pennsylvania, en Estados Unidos. Allí, un colectivo que se hizo llamar los Cyber Av3ngers hackeó la plataforma pública, justificando el ataque porque varios componentes usados por la planta de agua estaban fabricados en Israel.
Imagen de rawpixel.com en Freepik
