Check Point alerta de una operación de vigilancia iraní denominada Domestic Kitten

En el caso de ANF, un sitio web legítimo de noticias kurdas, los cibercriminales diseñaron una aplicación que suplantaba la app de la agencia original con el fin de engañar a sus objetivos.

0

Ahora León / Ciberseguridad

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder mundial de soluciones de ciberseguridad, ha publicado recientemente una investigación que revela un ciberataque extenso y selectivo que ha tenido lugar desde 2016 y, hasta ahora, ha permanecido oculto debido al ingenio de sus autores. A través del uso de aplicaciones móviles, los atacantes usan contenido falso para atraer a sus víctimas a descargar dichasaplicaciones, cargadas de spyware, para luego acceder a información sensible sobre ellas. Curiosamente, estos objetivos incluyen kurdos, turcos nativos y simpatizantes de ISIS.

¿Qué información se recopila?

Los datos recopilados sobre estos grupos proporcionan información altamente valiosa que pueden ser utilizadas contra las propias víctimas. De hecho, el malware accede a información como las listas de contactos almacenados en el dispositivo móvil infectado, registros de llamadas telefónicas, mensajes SMS, historial del navegador y marcadores, ubicación geográfica, fotos, grabaciones de voz y más.

¿Quién está detrás del ataque?

Si bien la identidad exacta del actor detrás del ataque permanece sin confirmar, las investigaciones actuales de los afectados, la naturaleza de las aplicaciones y la infraestructura de ataque involucrada llevan a pensar que esta operación es de origen iraní. De hecho, algunos expertos en inteligencia señalan a las entidades gubernamentales iraníes, como el Cuerpo de la Guardia Revolucionaria Islámica (CGRI), el Ministerio de Inteligencia, el Ministerio del Interior y otros, ya que con frecuencia realizan una vigilancia exhaustiva de estos grupos.

De hecho, estos programas de vigilancia se usan contra individuos y grupos que podrían representar una amenaza para la estabilidad del régimen iraní. Incluyendo disidentes internos y fuerzas de oposición, así como defensores de ISIS y la minoría kurda establecida principalmente en el oeste de Irán.

Aunque la investigación todavía sigue en progreso, ya se ha revelado el alcance total de estos ataques dirigidos, su infraestructura y sus víctimas, y la posible relación política detrás de ello. Se ha denominado a esta operación «Domestic Kitten», siguiendo la línea de otros ataques APT iraníes.

Recopilación de datos a través de aplicaciones móviles

Este tipo de ataque utiliza aplicaciones de gran interés para las víctimas. Por ejemplo, los investigadores descubrieron un fondo de pantalla con la marca ISIS, «actualizaciones» de la agencia de noticias ANF Kurdistan y una versión falsa de la aplicación de mensajería, Vidogram.

El ataque parece apuntar en gran medida a defensores y seguidores de ISIS, puesto que una de las aplicaciones infectada contenía fondos de pantalla de la organización terrorista. En el caso de ANF, un sitio web legítimo de noticias kurdas, los cibercriminales diseñaron una aplicación que suplantaba la app de la agencia original con el fin de engañar a sus objetivos. Por tanto, los nombres y el contenido de estas aplicaciones hacen pensar que los grupos políticos y usuarios específicos, principalmente los partidarios de ISIS y el grupo étnico kurdo, son el blanco de la operación.

Origen de las víctimas

Después de analizar el alcance completo de la operación, así como una amplia información sobre los dispositivos atacados y los archivos de registro recopilados, afirman que hasta el momento 240 usuarios han sido víctimas de esta campaña de vigilancia. Además, debido a la cuidadosa estrategia de sus creadores, se puede saber que más del 97% de las víctimas son iraníes. Además de estos objetivos descubiertos, también se han encontrado dispositivos infectados en Afganistán, Irak y Gran Bretaña.

Si bien ya se tiene bastante información sobre el número de víctimas y sus características, la cantidad de personas afectadas por esta operación es mucho mayor. Esto se debe a que los atacantes también recogieron la lista de contactos completa almacenada en el dispositivo móvil de cada víctima, incluyendo los nombres completos y al menos uno de sus números de teléfono. Como consecuencia de las llamadas telefónicas y contenidos de SMS robados por los ciberdelincuentes, la información privada de miles de usuarios que no pertenecen a estos grupos también se ha visto comprometida.