Hackers iraníes atacaron a medio mundo, pero dejaron su propio servidor de datos sin contraseña
A veces basta la simple pereza para un fracaso monumental.
Especialistas del equipo Ctrl-Alt-Intel descubrieron un servidor abierto vinculado con el grupo de piratería iraní MuddyWater y obtuvieron acceso a sus herramientas, registros de operaciones y datos sustraídos. El análisis de la infraestructura permitió rastrear el ciclo completo de una campaña de ciberespionaje: desde el reconocimiento y la intrusión en sistemas hasta la gestión de dispositivos infectados y la exfiltración de información.
Los analistas estudiaron un servidor virtual en los Países Bajos donde se almacenaban herramientas de control de sistemas infectados, scripts, registros de ataques y fragmentos de datos de las víctimas. Por el conjunto de evidencias, los especialistas concluyeron que la infraestructura pertenece al grupo MuddyWater, también conocido por los nombres Static Kitten, Mango Sandstorm y Seedworm. La vinculación del grupo con el Ministerio de Inteligencia y Seguridad de Irán se ha mencionado anteriormente en informes de otras empresas.
La investigación mostró que los operadores escaneaban activamente Internet en busca de sistemas vulnerables. Para el reconocimiento utilizaron Shodan, Nuclei y herramientas de enumeración de subdominios. Entre los objetivos figuraron organizaciones en Israel, Jordania, Egipto, Emiratos Árabes Unidos, Portugal y Estados Unidos, incluyendo centros médicos, empresas de servicios TI y entidades gubernamentales.
Para obtener acceso, los atacantes emplearon varios métodos. Además del escaneo masivo de servicios y la prueba de contraseñas en sistemas de correo Outlook Web Access y SMTP, los operadores explotaron una serie de vulnerabilidades conocidas en software corporativo. Entre ellas se incluyen fallos en Fortinet FortiOS, SolarWinds N-central, Citrix NetScaler, BeyondTrust e Ivanti Endpoint Manager Mobile. De forma independiente, los especialistas registraron inyecciones SQL en dos recursos web, incluida la plataforma comercial iraní BaSalam.
Tras la intrusión en la red, los atacantes desplegaron sus propios sistemas de control de dispositivos infectados. En el servidor se localizaron varias de estas plataformas. Una de ellas, KeyC2, está desarrollada en Python y permitía ejecutar comandos de forma remota, subir y descargar archivos, así como redirigir las máquinas infectadas a otros servidores de control. La herramienta más avanzada, PersianC2, funcionaba a través de HTTP e incluía un panel de gestión con cola de comandos, un mecanismo para cargar archivos y la configuración del intervalo de comunicación con los sistemas infectados.
Un marco separado, ArenaC2, se camuflaba como el sitio de noticias ArenaReport. Al acceder desde un navegador, el visitante veía una página web normal, mientras que los componentes maliciosos intercambiaban datos mediante peticiones HTTP ocultas y cifrado AES-256.
Otro elemento detectado fue la botnet Tsundere. Su descargador en PowerShell instalaba el intérprete Node.js y ejecutaba un script malicioso que obtenía las direcciones de los servidores de control a través de un contrato inteligente en la red Ethereum. Este enfoque permite ocultar la infraestructura y cambiar rápidamente las direcciones de los servidores de comando.
Los atacantes exfiltraron los datos robados por distintas vías. Para sacar la información utilizaron los servicios en la nube Wasabi S3 y put.io, un servidor Amazon EC2 y su propio servidor web en Python. Entre los archivos hallados había documentos relacionados con la aerolínea EgyptAir: copias de pasaportes, datos de visados, documentos financieros, fotografías y vídeos de aplicaciones de mensajería. Además, los operadores sustrajeron archivos y componentes de software para los sistemas biométricos de control de acceso de la empresa ZKTeco.
Según los autores del estudio, la infraestructura descubierta evidencia la magnitud de la operación de MuddyWater. El grupo empleó simultáneamente más de una decena de vulnerabilidades, herramientas propias para gestionar sistemas infectados y varios canales de exfiltración. Al mismo tiempo, la investigación fue posible debido a errores de los propios operadores: directorios abiertos en los servidores, código fuente dejado sin protección y la reutilización de infraestructura.