El FBI advierte sobre piratas informáticos iraníes que explotan dispositivos BIG-IP

El FBI de Estados Unidos emitió una alerta la semana pasada alertando a las empresas sobre ataques de grupos de ciberespionaje iraníes. Aunque el comunicado oficial no nombra al grupo, un experto en ciberseguridad informó que es Gatito zorro, un atacante cibernético de punta de lanza que explota errores en dispositivos de última generación para instalar puertas traseras. Y ahora, están explorando F5 BIG-IP dispositivos.

El FBI advierte a las empresas estadounidenses sobre una nueva campaña de ataque

La Oficina Federal de Investigaciones ya advirtió a las empresas estadounidenses en China sobre un posible malware de puerta trasera y también sobre el uso del obsoleto sistema operativo Windows 7. Y ahora, ha surgido una nueva alerta para las empresas privadas en los Estados Unidos sobre los piratas informáticos iraníes que explotan un conocido dispositivo F5, el BIG-IP.

El BIG-IP del F5 es un dispositivo de múltiples redes utilizado por varias empresas. Este gadget ahora tiene una vulnerabilidad, rastreada como CVE-2020-5902, que está siendo explorado por el grupo Fox Kitten (o parisino).

Es un grupo de ciberespionaje apoyado por el gobierno iraní, que lidera ciberataques contra su gobierno. Buscan activamente exploits recientemente publicados con técnicas de prueba de concepto para atacar a los oponentes.

Según lo informado por Dragos y Cielo limpio, el grupo ya ha explorado

  • Servidores VPN «Global Protect» de Palo Alto Networks (CVE-2019-1579)
  • Servidores VPN de Fortinet que ejecutan FortiOS (CVE-2018-13379)
  • VPN corporativas Pulse Secure «Connect» (CVE-2019-11510)
  • Servidores Citrix «ADC» y puertas de enlace de red Citrix (CVE-2019-19781)

El grupo aprovecha la vulnerabilidad para instalar un shell web o una puerta trasera en la máquina y, dado que está conectado a la red de la empresa, eventualmente puede dar acceso a toda la red. Además, pasa estas puertas traseras instaladas a otras APT como Shamoon, Chafer, Oilrig, etc., para su posterior explotación, como robo de datos o ransomware.

Aunque el FBI no mencionó específicamente a Fox Kitten, un analista de ciberseguridad que anteriormente trabajó para el gobierno y ahora para una empresa privada dijo que ZDNet basado en los consejos del FBI de ataques anteriores. Dado que los dispositivos BIG-IP se utilizan ampliamente en la naturaleza, es recomendable actualizarlos al firmware más reciente o mantener el control sobre cualquier comportamiento sospechoso en las comunicaciones de red.