Acusan a cibercriminales ligados a Irán de lanzar ataques contra médicos estadounidenses

«Se trata de un nuevo ejemplo de ciberespionaje a nivel de estado», explica a ABC Fernando Anaya, gerente en España de la firma de ciberseguridad Proofpoint, la misma que ha detectado la campaña, conocida como 'Bad Blood' (mala sangre, en castellano). «Este grupo (TA453) se encuentra entre los que más vigilamos. Históricamente está relacionado con el Gobierno de Irán y suele estar dedicado al espionaje de disidentes del país, profesores, diplomáticos o estudiantes del país», completa el experto; que destaca el «cambio completo» en los objetivos de este grupo que han detectado y que la campaña está teniendo un impacto «importante» .

Como en tantos otros casos, el grupo detrás de estos ataques emplea el ' phishing ' y se hace pasar por un tercero para lograr sus fines. En concreto por un destacado físico israelí que, desde su cuenta de Gmail, enviaba correos electrónicos maliciosos utilizando cebos de ingeniería social sobre las capacidades nucleares de Israel. El mensaje contenía un hipervínculo. Al hacer clic encima, llevaba a una página de destino que falsificaba el servicio OneDrive de Microsoft con la imagen de un PDF. Cuando el usuario intentaba ver y descargar el documento, se mostraba un inicio de sesión de Microsoft fraudulento con el que se obtenían las credenciales de la víctima .

Aunque Proofpoint no tiene actualmente más visibilidad acerca de qué hace TA453 con las credenciales obtenidas a través de esta campaña en concreto, hay informes públicos que indican que diferentes grupos vinculados con Irán, incluido este, utilizaban cuentas comprometidas para realizar más ataques de 'phishing . Tampoco se puede determinar de forma concluyente la motivación de los actores que realizan estas campañas. Dado que en la colaboración médica se recurre a menudo de manera informal al correo electrónico, esta campaña podría demostrar que TA453 tendría un requisito por parte de inteligencia de recopilar información relacionada con la investigación genética, oncológica o neurológica.

«Es una posibilidad. Aunque por el momento no sabemos lo que están buscando», subraya Anaya. Por otra parte, destaca que «podría haber cierto interés en contar con datos de pacientes con el objetivo de utilizar cuentas en otras campañas de phishing».

No es, ni mucho menos, la primera vez que se acusa a ciberdelincuentes ligados a Irán de intentar atacar a objetivos estadounidenses. En 2019 el Departamento de Justicia de Estados Unidos acusó a cuatro individuos iraníes de utilizar redes sociales y correos electrónicos de suplantación de credenciales a fin de llevar a cabo intrusiones informáticas maliciosas para la IRGC. Diversos informes del sector privado relacionaron a Charming Kitten, como también se conoce al grupo, con esta actividad tanto en 2017 como en 2019.

Asimismo, a principios de 2019, Microsoft informó de que TA453 estaba abusando de marcas conocidas mediante el correo electrónico para robar datos confidenciales de organismos gubernamentales, objetivos políticos y periodistas en nombre del Gobierno iraní. La campaña de ataques 'Bad Blood' podría enmarcarse dentro de la tendencia creciente entre el ciberespionaje de tener como objetivo a investigadores médicos. Asimismo, el hecho de que TA453 se dirija a organizaciones e individuos israelíes está en línea con la tensión geopolítica en aumento entre Israel e Irán durante 2020 .

Aunque no hay ninguna constancia de que, en concreto, los cibercriminales estén buscando información médica concreta para ponerla a disposición del país, Anaya destaca el recrudecimiento del ciberespionaje entre naciones estado en tiempos de pandemia . Especialmente en lo que se refiere objetivos sanitarios. «Este tipo de ataques, que están patrocinados por naciones, tienen como objetivo crear malestar a nivel geopolítico o beneficiarse de investigaciones desarrolladas por otros países. Durante los últimos meses estos casos han profilerado mucho. Hay que tener en cuenta que los ciberdelincuentes, tanto a título particular como cuando trabajan para un estado, se benefician de las situaciones de agitación», destaca el gerente de Proofpoint.

A este respecto, cabe recordar que durante los últimos meses diferentes firmas de ciberseguridad han acusado a países como Rusia o Corea del Norte de lanzar ataques contra organismos sanitarios. En estos casos, supuestamente, para robar información sobre las distintas vacunas para frenar la Covid-19 que se están desarrollando .