Si usted es un miembro del ejército de EE. UU. que ha recibido mensajes amistosos de Facebook de reclutadores del sector privado durante meses, lo que sugiere un futuro lucrativo en la industria aeroespacial o de contratistas de defensa, Facebook puede tener malas noticias.
El jueves, el gigante de las redes sociales reveló que ha rastreado y al menos interrumpido parcialmente una campaña de piratería iraní de larga duración que usó cuentas de Facebook para hacerse pasar por reclutadores, atrayendo a objetivos estadounidenses con esquemas de ingeniería social convincentes antes de enviarles archivos infectados con malware o engañarlos para que envíen credenciales confidenciales a sitios de phishing. Facebook dice que los piratas informáticos también fingieron trabajar en la industria hotelera o médica, en el periodismo, en ONG o en aerolíneas, y en ocasiones interactuaron con sus objetivos durante meses con perfiles en varias plataformas de redes sociales diferentes. Y a diferencia de algunos casos anteriores de catfishing patrocinado por el estado iraní en las redes sociales que se han centrado en los vecinos de Irán, esta última campaña parece haberse dirigido en gran medida a los estadounidenses y, en menor medida, a las víctimas del Reino Unido y Europa.
Facebook dice que eliminó “menos de 200” perfiles falsos de sus plataformas como resultado de la investigación y notificó a aproximadamente la misma cantidad de usuarios de Facebook que los piratas informáticos los habían atacado.
“Nuestra investigación encontró que Facebook era parte de una operación de espionaje mucho más amplia que se dirigía a personas con phishing, ingeniería social, sitios web falsificados y dominios maliciosos en múltiples plataformas de redes sociales, correo electrónico y sitios de colaboración”, dijo David Agranovich, director de amenazas de Facebook. interrupción, dijo el jueves en una llamada con la prensa.
Facebook ha identificado a los piratas informáticos detrás de la campaña de ingeniería social como el grupo conocido como Tortoiseshell, que se cree que trabaja en nombre del gobierno iraní. El grupo, que tiene algunos lazos sueltos y similitudes con otros grupos iraníes más conocidos con los nombres APT34 o Helix Kitten y APT35 o Charming Kitten, salió a la luz por primera vez en 2023. En ese momento, la firma de seguridad Symantec detectó a los piratas informáticos violando Arabia Saudita. Proveedores de TI árabes en un aparente ataque a la cadena de suministro diseñado para infectar a los clientes de la empresa con una pieza de malware conocida como Syskit. Facebook ha detectado el mismo malware utilizado en esta última campaña de piratería, pero con un conjunto mucho más amplio de técnicas de infección y con objetivos en EE. UU. y otros países occidentales en lugar de Oriente Medio.
Tortoiseshell también parece haber optado desde el principio por la ingeniería social en lugar de un ataque a la cadena de suministro, comenzando su catfishing en las redes sociales ya en 2023, según la firma de seguridad Mandiant. Eso incluye mucho más que solo Facebook, dice el vicepresidente de inteligencia de amenazas de Mandiant, John Hultquist. “Desde algunas de las operaciones más tempranas, compensan enfoques técnicos realmente simplistas con esquemas de redes sociales realmente complejos, que es un área en la que Irán es realmente experto”, dice Hultquist.
En 2023, la división de seguridad Talos de Cisco descubrió que Tortoiseshell ejecutaba un sitio falso para veteranos llamado Hire Military Heroes, diseñado para engañar a las víctimas para que instalaran una aplicación de escritorio en su PC que contenía malware. Craig Williams, director del grupo de inteligencia de Talos, dice que el sitio falso y la campaña más grande que Facebook identificó muestran cómo el personal militar que intenta encontrar trabajos en el sector privado representa un objetivo propicio para los espías. “El problema que tenemos es que la transición de los veteranos al mundo comercial es una industria enorme”, dice Williams. “Los malos pueden encontrar personas que cometerán errores, que harán clic en cosas que no deberían, que se sienten atraídas por ciertas proposiciones”.
Facebook advierte que el grupo también falsificó un sitio del Departamento de Trabajo de EE. UU.; la empresa proporcionó una lista de los dominios falsos del grupo que se hacían pasar por sitios de medios de comunicación, versiones de YouTube y LiveLeak, y muchas variaciones diferentes de URL relacionadas con la familia Trump y la organización Trump.
Facebook dice que vinculó las muestras de malware del grupo a un contratista de TI específico con sede en Teherán llamado Mahak Rayan Afraz, que anteriormente proporcionó malware al Cuerpo de la Guardia Revolucionaria de Irán, o IRGC, el primer vínculo tenue entre el grupo Tortoiseshell y un gobierno. Symantec señaló en 2023 que el grupo también había utilizado algunas herramientas de software que también había visto en uso el grupo de piratería APT34 de Irán, que ha utilizado señuelos de redes sociales en sitios como Facebook y LinkedIn durante años. Hultquist de Mandiant dice que también comparte algunas características con el grupo iraní conocido como APT35, que se cree que trabaja al servicio del IRGC. La historia de APT35 incluye el uso de una desertora estadounidense, la contratista de defensa de inteligencia militar Monica Witt, para obtener información sobre sus antiguos colegas que podría usarse para atacarlos con campañas de ingeniería social y phishing.
La amenaza de operaciones de piratería con base en Irán, y en particular, la amenaza de ataques cibernéticos disruptivos desde el país, puede haber parecido disminuir a medida que la administración Biden ha revertido el rumbo del enfoque de confrontación de la administración Trump. El asesinato en 2023 del líder militar iraní Qassem Soleimani en particular provocó un aumento en las intrusiones iraníes que muchos temían que fueran un precursor de ciberataques de represalia que nunca se materializaron. El presidente Biden, por el contrario, ha señalado que espera revivir el acuerdo de la era Obama que suspendió las ambiciones nucleares de Irán y alivió las tensiones con el país, un acercamiento que se ha visto afectado por la noticia de que agentes de inteligencia iraníes conspiraron para secuestrar a un periodista iraní-estadounidense. .
Pero la campaña de Facebook muestra que el espionaje iraní seguirá teniendo como objetivo a EE. UU. y sus aliados, incluso cuando mejoren las relaciones políticas en general. “El IRGC claramente está realizando su espionaje en los Estados Unidos”, dice Hultquist de Mandiant. “Todavía no están tramando nada bueno, y deben ser vigilados cuidadosamente”.
Esta historia apareció por primera vez en wired.com.