Human Rights Watch (HRW) descubrió una campaña de espionaje cibernético internacional en curso y con recursos suficientes dirigida a activistas de derechos humanos, periodistas, diplomáticos y políticos que trabajan en el Medio Oriente, dijo la ONG el lunes.
El análisis técnico conjunto de la organización de defensa, realizado junto con el Laboratorio de seguridad de Amnistía Internacional, atribuyó la campaña con mucha confianza a un grupo de hackers que, según afirman numerosas empresas especializadas, como Google, Mandiant, Recorded Future y Proofpoint, está patrocinado por el gobierno iraní.
Después de identificar y contactar a más de una docena de víctimas que no sabían que sus cuentas se habían visto comprometidas, HRW pidió a Google que refuerce las protecciones de seguridad que brinda a los usuarios de Gmail, cuyas credenciales de inicio de sesión fueron robadas como parte de la campaña de ingeniería social y phishing. .
La ONG se quejó de que la falta de notificaciones de seguridad permanentes que los atacantes no puedan eliminar está dejando a las víctimas en la oscuridad, a pesar de que las funciones de seguridad de Google permiten a los usuarios informados identificar quién ha estado iniciando sesión en sus cuentas; un ejemplo en esta campaña involucrada alguien que usa una dirección IP en Teherán.
¿Cómo se destapó la campaña?
En octubre, un miembro del personal de Human Rights Watch que se ocupa de Medio Oriente y África del Norte recibió un contacto sospechoso a través de WhatsApp de una persona que afirmaba trabajar para un grupo de expertos libanés, invitándolos a asistir a una conferencia.
Esta persona finalmente envió un enlace de phishing al objetivo a través de la aplicación que lo dirigía a una página de inicio de sesión de Microsoft falsa, diseñada para imitar la cuenta real de Office 365 del objetivo, utilizando elrizado.bizServicio de acortamiento de enlaces.
La página fue diseñada para capturar tanto la contraseña de correo electrónico del objetivo como cualquier código de autenticación secundario, aunque el kit de phishing no habría podido eludir una clave de autenticación basada en hardware utilizando los protocolos FIDO .
Una investigación técnica conjunta de Human Rights Watch y el Laboratorio de Seguridad de Amnistía Internacional pudo examinar el servicio de acortamiento de enlaces para identificar páginas similares configuradas para imitar las cuentas de correo electrónico de los objetivos adicionales de la campaña.
Human Rights Watch explicó que el enlace de phishing “incluía una ruta aleatoria de cinco
caracteres, tanto minúsculas como números, lo que representa alrededor de 6 millones de combinaciones, lo que permite enumerar todas las rutas existentes en la infraestructura del atacante para encontrar otros enlaces existentes”.
Al hacerlo, la ONG descubrió 44 URL válidas, muchas de las cuales redirigían a páginas de phishing diseñadas para parecerse a las páginas de inicio de sesión de Microsoft, Google o Yahoo, que mostraban las direcciones de correo electrónico de los objetivos.
Entre las víctimas se encuentra el principal corresponsal de un periódico estadounidense
Luego, los investigadores se comunicaron con los 18 “individuos de alto perfil” que fueron identificados, incluidos seis periodistas. Quince de ellos respondieron y confirmaron que habían recibido los mismos mensajes de WhatsApp entre el 15 de septiembre y el 25 de noviembre.
Al menos tres de estas personas tenían sus cuentas de correo electrónico, unidades de almacenamiento en la nube, calendarios y contactos comprometidos por la campaña, incluido “un corresponsal de un importante periódico estadounidense, un defensor de los derechos de las mujeres con sede en la región del Golfo y Nicholas Noe, un consultor de defensa for Refugees International con sede en el Líbano”, dijo HRW.
Los atacantes “también realizaron un Google Takeout, utilizando un servicio que exporta datos del núcleo y servicios adicionales de una cuenta de Google” para extraer una gran cantidad de datos de las cuentas de las víctimas.
“Las personas objetivo del ataque de phishing dijeron a Human Rights Watch que no se dieron cuenta de que sus cuentas de Gmail se habían visto comprometidas o que se había iniciado un Google Takeout, en parte porque las advertencias de seguridad debajo de la actividad de la cuenta de Google no presionan ni muestran ningún mensaje permanente. notificación en la bandeja de entrada de un usuario o enviar un mensaje a la aplicación de Gmail en su teléfono”, declaró HRW.
“La actividad de seguridad de Google reveló que los atacantes accedieron a las cuentas de los objetivos casi inmediatamente después del ataque y mantuvieron el acceso a las cuentas hasta que el equipo de investigación de Human Rights Watch y Amnistía Internacional les informó y los ayudó a eliminar el dispositivo conectado del atacante”.
HRW pidió a Google que “refuerce rápidamente las advertencias de seguridad de su cuenta de Gmail para proteger mejor de los ataques a los periodistas, los defensores de los derechos humanos y los usuarios con mayor riesgo”.
“Ayudar a las personas a mantenerse seguras en línea es nuestra principal prioridad, por lo que diseñamos nuestros productos con protecciones integradas y contamos con equipos como nuestro Grupo de análisis de amenazas (TAG) y Mandiant Threat Intelligence para rastrear e interrumpir las amenazas cibernéticas”, dijo un portavoz de Google. . “Implementamos protecciones, tanto para usuarios cotidianos como de alto riesgo, para que sus cuentas de Google estén protegidas contra amenazas contra los servicios de Google o en otras plataformas, como se vio en este caso. Algunas de estas protecciones incluyen nuestro Programa de Protección Avanzada (APP) y las inscripciones automáticas de Verificación de 2 pasos (2SV). Google también sigue comprometido con la colaboración de amenazas y con compartir nuestra investigación en curso para crear conciencia sobre los malos actores en toda la industria, ya que ayuda a responder más rápidamente a los ataques y proteger a los usuarios en línea”.
El portavoz agregó que TAG y Mandiant “confían en que estas campañas están vinculadas a APT42”, un grupo de ciberespionaje patrocinado por el estado iraní.
Recorded Future, que investigó previamente al grupo vinculado a los ataques, fue una de las firmas de ciberseguridad consultadas por Human Rights Watch sobre el incidente. The Record es una unidad editorialmente independiente de Recorded Future.
“Los piratas informáticos respaldados por el estado de Irán están utilizando agresivamente sofisticadas tácticas de ingeniería social y recopilación de credenciales para acceder a información confidencial y contactos en poder de investigadores y grupos de la sociedad civil centrados en Oriente Medio. Esto aumenta significativamente los riesgos a los que se enfrentan los periodistas y los defensores de los derechos humanos en Irán y en otros lugares de la región”, dijo Ghattas de HRW.
Agregó: “En una región de Medio Oriente plagada de amenazas de vigilancia para los activistas, es esencial que los investigadores de seguridad digital no solo publiquen y promuevan los hallazgos, sino que también prioricen la protección de los activistas, periodistas y líderes de la sociedad civil de la región”.
Fuente: therecord.media
