Los servidores VPN fueron pirateados por piratas informáticos iraníes para abrir puertas traseras en las redes corporativas.

Es posible que los piratas informáticos iraníes no tengan esta experiencia como sus homólogos chinos, estadounidenses o rusos, pero son rápidos en explotar cualquier vulnerabilidad conocida. Un informe de CyberSecurity llamado ClearSky revela que los piratas informáticos iraníes respaldados por el estado piratearon muchas redes corporativas a través de servidores VPN fallidos y plantaron puertas traseras para su explotación futura.

Sistemas de seguridad buggy

Los servidores VPN fueron pirateados por piratas informáticos iraníes para abrir puertas traseras en las redes corporativas.
Los servidores VPN fueron pirateados por piratas informáticos iraníes para establecer puertas traseras en las redes corporativas (Imagen de Pixabay)

Debido a que son redes críticas, muchas empresas protegen su infraestructura con VPN. Y si tienen micrófonos, puedes dejar que tus oponentes se aprovechen de él, explorando de la forma que quieran. UNO informe by ClearSky afirmó que los grupos de piratas informáticos iraníes respaldados por el estado explotaron servidores VPN defectuosos como Palo Alto Networks, Pulse Secure, Citrix y Fortinet en 2019. Estos servidores VPN tenían importantes errores de seguridad que permitían a los piratas informáticos explotarlos.

Países de destino

Según ClearSky, los piratas informáticos están apuntando a los sectores de telecomunicaciones, petróleo y gas, TI, aviación, seguridad y gobierno basándose en estos errores de servidor. Su intención fue descrita inicialmente como irrumpir en las redes, explotar errores y desplegar puertas traseras en segmentos de red. Esto podría permitirles descargar cargas útiles más tarde y tener control sobre la red para explotarla aún más.

¿Plantar puertas traseras?

Según las estimaciones, los expertos temen el potencial malware de limpieza de datos que pueden implementar a través de estos puertos. Los piratas informáticos iraníes desarrollaron técnicas sofisticadas para violar las redes el día 1. A veces, incluso están activos para ingresar a estos servidores / redes defectuosos horas después de que los errores se publicaron oficialmente. Los servidores de seguridad fallidos de las redes Citrix, Pulse Secure, Fortinet y Palo Alto son explotados activamente por piratas informáticos iraníes en 2019.

Uso de herramientas de piratería para comprometer redes

Los ataques anteriores conocidos como el error de Windows Sticky Keys permitieron que pocos piratas informáticos obtuvieran derechos de administrador al explotarlos. También están aprovechando herramientas de piratería de código abierto como Juicy Potato o Invoke the Hash para explotar vulnerabilidades. Además, están eligiendo herramientas de GitHub e incluso están desarrollando sus propias herramientas como STSRCheck, VBScripts personalizados, Port.exe, POWSSHNET etc.

Grupos como APT 33, APT 34 y APT 39 fueron considerados activos. E incluso algunos están colaborando entre sí para atacar también como grupo. Aunque son lo suficientemente peligrosos como para permitir el acceso, las principales amenazas pueden surgir cuando descargan el malware deseado para explotarlos aún más.

Fuente: Cielo limpio