Análisis del actor de amenazas APT34: origen, trayectoria y posibilidades de futuro - Part 1
¡Hola de nuevo, lectores!
En el post de hoy hablaremos acerca de una investigación sobre el actor de amenazas “APT34”, un grupo iraní especializado en la realización de ataques dirigidos contra organizaciones generalmente geolocalizadas en países de Oriente Medio, que ha desarrollado distintas herramientas de malware, y cuyo vector de ataque ha consistido en el desarrollo de un exploit que aprovecha una determinada vulnerabilidad.
Esta investigación se dividirá en tres partes, por lo que, a continuación, os presentamos la primera.
Contexto geopolítico y geoestratégico
La república islámica de Irán se encuentra geolocalizada en el golfo pérsico, un enclave históricamente estratégico cuyo origen se remonta al Imperio persa (s.VI-s.IV A.C). Este país cuenta con una serie de características que tradicionalmente han suscitado el interés de las grandes potencias del mundo, pues no solo se encuentra localizado en una ubicación geográfica privilegiada, sino que, además, en 1908 Gran Bretaña descubrió la existencia de recursos petrolíferos en el país, suscitando el interés de Rusia y Gran Bretaña, entre otros.
Por su parte, la rivalidad entre Estados Unidos e Irán se remonta al año 1953, momento en el que el primer ministro iraní, Mohammad Mossadegh, fue expulsado del poder en una intervención orquestada por Gran Bretaña y Estados Unidos conocida como Operación Ajax, dirigida por la CIA. La operación fue concebida con dos propósitos: el bando británico pretendía evitar la nacionalización de los recursos petrolíferos del país, una de las medidas democráticas impulsadas por Mossadegh; mientras que el interés del bando estadounidense era frenar el comunismo y la posibilidad de una unión entre Irán y la Unión Soviética.
Tras el golpe consiguieron imponer un régimen monárquico absoluto, reflejado bajo el título de sha, que era favorable a los intereses estadounidenses. Fue regido por Mohammad Reza Pahleví y anteriormente limitado por las medidas del primer ministro, lo que alimentó el sentimiento antiamericano que derivaría en la Revolución Islámica de 1979, según afirman distintos historiadores. No obstante, el cambio de régimen y la firma del Pacto de Bagdad en 1995 contra el comunismo soviético permitieron que durante veintiséis años se llevasen a cabo labores de modernización de la industria.
Sin embargo, las desigualdades, lejos de disminuir, fueron aumentando progresivamente, con una sociedad dividida entre los partidarios del régimen y los antiamericanos que derivó en distintas manifestaciones contra el ejército y el régimen, considerado autoritario y corrupto, así como en huelgas orquestadas por los trabajadores de las empresas petrolíferas del país. Esta situación propició el fin del régimen monárquico en Irán el 16 de enero de 1979, momento en el que Mohammad Reza Pahleví fue forzado a abandonar el país.
Rujola Jomeini, quien ostentando el título de ayatolá (alta autoridad religiosa chií en Irán) fue exiliado por el gobierno monárquico en 1964 como consecuencia de sus críticas al régimen, se convirtió en uno de los máximos impulsores y canalizadores del sentimiento antiamericano que emanaba en la sociedad iraní y que derivó en la Revolución de 1979. A través de su discurso consiguió que se acuñase el término “Gran Satán” para hacer referencia a Estados Unidos, que alcanzaría una enorme popularidad. Jomeini regresó a Irán el 1 de febrero de 1979 y obtuvo el apoyo mayoritario de la sociedad, de forma que tan solo diez días más tarde, tras días de intensas manifestaciones, el ejército se declaró neutral y se proclamó la victoria de la revolución. Alrededor de dos meses más tarde, el 1 de abril de 1979, se instaura y consolida a través de un referéndum la República Islámica en Irán.
A partir del mes de noviembre de 1979 la hostilidad entre Estados Unidos e Irán se recrudece y las relaciones entre ambos estados se torna incluso antagónica. Este acontecimiento se produce como consecuencia del asalto a la embajada estadounidense en Teherán organizada el 4 de noviembre por varias centenas de estudiantes. Los asaltantes tomaron 66 rehenes, todos ellos ciudadanos estadounidenses y diplomáticos de la embajada que se encontraban dentro del recinto en el momento de la acometida, y permanecieron recluidos 444 días. 6 de los rehenes consiguieron escapar simulando formar parte de un equipo de cineastas y otros 52 fueron liberados por los secuestradores durante el mes de enero de 1981, finalizando así un acontecimiento que comenzó a conocerse como “la crisis de los rehenes”.
Durante el transcurso de la crisis de los rehenes y con posterioridad a su resolución, Estados Unidos rompió toda relación con Irán y la enemistad entre ambas naciones se acrecentó. En ese momento Estados Unidos inició un periodo continuado de sanciones contra Irán que trataban de paralizar su economía y desarrollo. Algunas de estas medidas consistieron en impedir que la nación recibiese préstamos internacionales y prohibir la importación de sus productos.
A los hechos anteriores hay que añadirle el apoyo estadounidense a la facción iraquí en el conflicto bélico entre Irán e Irak, iniciado el 22 de septiembre de 1980 con la invasión del sur de Irán por las tropas del dictador Saddam Hussein. Esta guerra se prolongaría durante ocho largos años, durante los cuales la opinión iraní sobre Estados Unidos sería profundamente socavada, al considerar la mayor parte de la sociedad iraní que los estadounidenses permitieron una masacre y el empleo de armas nucleares contra ellos. Adicionalmente, durante el transcurso de la guerra irano-iraquí, un buque de guerra estadounidense lanzó un misil contra un avión comercial, a consecuencia del cual fallecieron las 290 personas que se encontraban a bordo. La explicación otorgada por Estados Unidos ante el incidente fue que lo habían confundido con un avión militar.
El conflicto bélico entre Irán e Irak concluyó en 1988 gracias a la labor de la Organización de las Naciones Unidas, que elaboró un alto el fuego que acabó siendo aceptado por ambos estados y propició el cese de las hostilidades. Se calcula que fallecieron entre un millón y un millón y medio de personas durante el transcurso de esta guerra, siendo Irán el país que más pérdidas tuvo que asumir.
En el año 1989 fallece Rujola Jomeini, líder supremo en Irán hasta su muerte, y se designa a Alí Jamenei como su sucesor, quien, a sus ochenta años de vida, continúa en el cargo actualmente. Al año siguiente Irán e Irak convinieron restaurar las relaciones diplomáticas y liberar a sus respectivos prisioneros de guerra, gracias a lo cual se inició un periodo de relativa estabilidad entre las dos naciones a la par que continuaba el distanciamiento frente a la potencia estadounidense. En relación con esta última, en el año 1995 se producen nuevas sanciones promulgadas por Estados Unidos en el ámbito económico iraní, con restricciones en la industria petrolífera y el comercio, ante el temor de un presunto apoyo al terrorismo islamista por parte del gobierno iraní y de la utilización de armas nucleares.
La situación de tensión continúa acentuándose y culmina el 11 de septiembre de 2001 con los atentados de las Torres Gemelas, perpetrados por Al Qaeda. Si bien las represalias tuvieron como objetivo principal el territorio de Afganistán, lugar de refugio del líder del grupo terrorista, Osama Bin Laden, en enero del año 2002 George W. Bush, presidente de Estados Unidos en aquel momento, acuña durante un discurso el término “eje del mal”, utilizado para aglomerar a Irak, Irán y Corea del Norte como una gran amenaza nuclear y de terrorismo global contra el resto de los estados del mundo. Con este discurso el gobierno estadounidense pretendía afirmar que el terrorismo estaba respaldado por el gobierno iraquí y se incluyó a Irán en la definición como pretexto para volver a inmiscuirse en los asuntos de la nación, de los que se encontraba apartado desde el fin de la guerra con Irak.
Los años posteriores se caracterizaron por el temor ante un posible conflicto nuclear debido a la construcción de reactores nucleares y al desarrollo de programas de enriquecimiento de uranio en Irán, frente a la firme oposición de Estados Unidos. No obstante, desde 2003 hasta mediados del año 2005 Irán decidió paralizar el programa de enriquecimiento de uranio y el Organismo Internacional de la Energía Atómica (OIEA) dictaminó que no existían indicios de que se hubiesen desarrollado en secreto programas de armamento nuclear. A pesar de ello, tras el anuncio de la reanudación del programa en agosto del año 2005, la OIEA consideró que Irán había violado el Tratado sobre la No Proliferación de las Armas Nucleares (TNP), lo que hace proclive al Consejo de Seguridad de la Organización de las Naciones Unidas a votar la imposición de sanciones, a las que se suma Estados Unidos en el año 2007.
El clima de tensión entre Estados Unidos e Irán disminuye parcialmente en 2008, tras la victoria de Barack Obama en las elecciones y la proposición de retomar las relaciones diplomáticas. En el año 2009 incluso reconoce el derecho de la nación para impulsar el desarrollo nuclear con objetivos no violentos. Un año más tarde Mahmud Ahmadineyad, presidente de Irán hasta 2013, decreta el comienzo de la producción de enriquecimiento de uranio al 20% y anuncia que la nación tiene la capacidad de enriquecerlo a más del 80%, porcentaje necesario estimado para el desarrollo de armamento atómico.
A pesar de ello, la producción de uranio enriquecido en Irán duraría poco, puesto que en enero de 2010 varios inspectores procedentes de la Agencia Internacional de la Energía Atómica visitaron la planta nuclear en Natanz y notaron que las centrifugadoras utilizadas para enriquecer el uranio no funcionaban con normalidad, si bien el incidente fue tratado como un fallo puntual. Sin embargo, cinco meses más tarde, durante el mes de junio, volvió a detectarse un comportamiento anómalo en las centrifugadoras. En este momento los investigadores descubrieron que la maquinaria utilizada para enriquecer el uranio en la central había sido infectada con un software malicioso denominado Stuxnet.
Stuxnet, una familia de malware con características de gusano, fue introducido en la planta nuclear de Natanz a través de un dispositivo USB en el que se había almacenado previamente. Gracias a su capacidad de propagación, este malware pudo infectar mil máquinas que se estaban utilizando para la producción de materiales nucleares a través de la red de la central y las impresoras compartidas. Había sido programado específicamente para observar cómo operaban los sistemas de la central y registrar los datos, así como para apuntar y destruir las centrifugadoras. Para conseguir que las centrifugadoras se deteriorasen, este malware alteraba repentinamente la velocidad de sus rotores, acortando su vida útil. Además, reproducía los datos que indicaban un funcionamiento normal en la maquinaria para evitar su detección.
Aunque no existen datos oficiales sobre el origen de Stuxnet, se tienen sospechas considerables acerca de que fuera desarrollado y distribuido por la inteligencia israelí y la estadounidense en un intento por retrasar el programa nuclear iraní, estrategia que tuvo éxito durante los tres años posteriores. Stuxnet significó la detección de la primera ciberarma de la historia y supuso el traslado del concepto tradicional de guerra al entorno virtual. Incluso, puso de relieve la capacidad del malware para incidir sobre la infraestructura del mundo físico. Stuxnet ha sido considerado, además, la primera amenaza persistente avanzada (Advanced Persistent Threat o APT según sus siglas en inglés) de la historia.
En el año 2013 la rivalidad entre Estados Unidos e Irán vuelve a reducirse al alcanzarse un acuerdo para paralizar el programa nuclear, el cual comienza a implantarse durante el año posterior. Tras la firma del pacto en 2015, que también contiene medidas que eliminan las sanciones internacionales a Irán, acontece un periodo de relativa estabilidad entre las dos naciones. No obstante, el conflicto persevera en el entorno virtual desde el año 2010, habiéndose trasladado a este escenario de operaciones una rivalidad centenaria que ha derivado en la génesis de distintos actores de amenazas promocionados por el estado iraní que tratan de alcanzar un lugar hegemónico en el ciberespacio. De este modo, Irán traslada su enemistad a un entorno en el que sus campañas son difícilmente atribuibles a una entidad, actor o gobierno en concreto, lo que dificulta su aislamiento ante el escenario internacional a través de las sanciones a las que históricamente ha tenido que enfrentarse, pues si por algo se caracterizan las operaciones realizadas en la zona gris de conflicto es por la pretensión de desestabilización desde el anonimato.
Cabe señalar, además, que el acuerdo fue transgredido por la administración de Donald Trump durante el mes de mayo del año 2018, al implementar nuevas sanciones contra Irán. A partir de entonces se ha ocasionado una escalada del conflicto entre las dos naciones que, habiéndose saldado la vida del comandante de las fuerzas quds en 2020, Qasem Soleimani, parece lejos de concluir. Y es que no parece vislumbrarse un final cercano a las tensiones entre ambos estados, puesto que, incluso con posterioridad al cambio de presidente, en el panorama estadounidense se han continuado imponiendo sanciones a Irán al mismo tiempo que tratan de reanudarse las actividades diplomáticas entre las dos naciones, dos circunstancias que suponen una contradicción en sí mismas y ponen de manifiesto una rivalidad de dimensiones incalculables.
Génesis, trayectoria y vinculación
El actor de amenazas APT34, también conocido como OilRig, COBALT GYPSY, Twisted Kitten, Crambus, ITG13, Chrysene y Helix Kitten, es un grupo iraní que presuntamente cuenta con el respaldo o patrocinio del gobierno de la nación, estando legitimado por las instituciones gubernamentales de Irán debido a que les procura algunos de sus intereses, como la adquisición de información de alto nivel.
La vinculación entre APT34 y el gobierno iraní se ha determinado a partir de diferentes análisis de la infraestructura del grupo, que contiene referencias o geolocalizaciones próximas al país, y a consecuencia del examen de los objetivos seleccionados por el actor a la hora de encauzar sus actividades, que en todos los casos se ha alineado con los intereses de Irán, focalizándose en el descubrimiento de información de estados contrarios como Israel. En relación con esto, cabe señalar que, en una filtración publicada durante el primer semestre de 2019, cuya procedencia se desconoce, se expuso información que avala esta teoría e incluso vincula a los actores de APT34 con personalidades concretas dependientes del Ministerio de Inteligencia y Seguridad iraní (MOIS).
APT34 está especializado en la realización de ataques dirigidos contra organizaciones generalmente geolocalizadas en países de Oriente Medio, si bien en ocasiones también ha apuntado a entidades provenientes de Europa. Este grupo de actores se ha enfocado principalmente en la realización de labores de ciberespionaje sobre infraestructuras críticas, entidades gubernamentales y el sector de las telecomunicaciones de los países a los que dirige su actividad.
Sus primeras actividades se remontan a finales del año 2015, si bien algunos investigadores señalan que comenzaron a realizar acciones en el ciberespacio a partir del año 2014. Las disimilitudes que se observan entre distintos investigadores a la hora de establecer la fecha de origen de un grupo de actores se producen a consecuencia del largo periodo de tiempo que emplean en adquirir las capacidades técnicas y operativas necesarias para establecerse y procurar el lanzamiento de ataques dirigidos que, para resultar exitosos o de interés para el actor, no deben ser descubiertos de manera temprana, especialmente cuando la razón que responde a ellos es el ciberespionaje, puesto que se trata de campañas en las que el objetivo prioritario del grupo consiste en permanecer en el sistema comprometido durante el mayor periodo de tiempo posible para poder efectuar labores de monitoreo prolongadas. Además, en el momento en el que un grupo de estas características comienza a dar sus primeros pasos se pueden producir errores de atribución de determinadas campañas, que pueden ser asignadas a grupos ya conocidos con un grado medio o bajo de probabilidad, y no es hasta años más tarde cuando se descubre que respondían al esquema arquetípico del actor que se descubrió posteriormente. A consecuencia de lo anterior, el establecimiento de una fecha de inicio concreta en este caso es, cuanto menos, una labor ardua y compleja.
Las campañas lanzadas por APT34 centran su esfuerzo mayoritariamente en obtener acceso inicial a las redes de destino, que generalmente están relacionadas con la cadena de suministro, de manera que tras conseguirlo puedan recopilar información de los sistemas comprometidos durante un largo periodo de tiempo, sin que se haya tenido constancia hasta el momento de que la necesidad de información responda a pretensiones para efectuar ciberataques más profundos o con mayor afectación sobre las entidades objetivo.
APT34 ha utilizado desde sus inicios tácticas de ingeniería social como vector de ataque para introducirse en los sistemas de las organizaciones seleccionadas, de manera que trata de aprovechar las relaciones de confianza que existen tanto entre empleados de una misma organización como entre organizaciones de similares características para ejecutar con éxito sus actividades. Su trayectoria evidencia la predilección del actor por el envío de correos electrónicos de spearphishing que contienen ficheros maliciosos adjuntos, si bien también se han identificado campañas en las que modificaba esta técnica y en lugar de diseñar un archivo para distribuir la carga útil se insertaba en el mensaje un enlace que redirigía al contenido malicioso. Además, en muchos casos APT34 realiza acciones previas encaminadas a comprometer direcciones de correo tanto de la entidad dentro de la cual pretende realizar la intrusión como de otras organizaciones con las que se vincula su objetivo, con la finalidad de elaborar el mensaje malicioso a medida y que éste parezca más fiable, al provenir de un usuario aparentemente legítimo. En otros casos, el vector de ataque de APT34 ha consistido en el desarrollo de un exploit que aproveche una determinada vulnerabilidad en dispositivos no parcheados. Sin embargo, en ninguno de los casos se perdió el componente de ingeniería social, de manera que era el usuario quien debía interactuar de alguna manera, bien abriendo un archivo especialmente diseñado recibido en su correo o bien introduciéndose en un enlace con contenido malicioso.
APT34 ha desarrollado a lo largo de su trayectoria distintas herramientas de malware que, de una forma u otra, trata de introducir en los sistemas que resultan de interés para el grupo. Con el tiempo las herramientas han ido modificándose, actualizándose, eliminando funciones que no respondían a sus objetivos, etcétera. No obstante, su examen permite comprobar que la gran mayoría han sido diseñadas como herramientas de acceso remoto – Remote Access Tool o RAT por sus siglas en inglés – que permiten al actor realizar funciones relacionadas con la ejecución de comandos, la carga y descarga de archivos, la recopilación de credenciales e información y la generación de persistencia dentro de los equipos afectados. En muchos de los casos APT34 también despliega sobre los sistemas comprometidos herramientas de robo de credenciales que permiten al actor realizar movimientos laterales a través de los elementos de red.
En último lugar, es preciso señalar que el grupo permanece activo en la actualidad y evoluciona de manera constante sus tácticas, técnicas y procedimientos para evadir los mecanismos de detección y continuar desempeñando sus actividades con éxito, eficacia y eficiencia. En tal sentido, se ha identificado recientemente un cambio de paradigma en el actor, pues APT34 está expandiendo el desarrollo de sus campañas a otros lugares y ámbitos, habiéndose identificado campañas dirigidas contra sectores sobre los que anteriormente no se inmiscuía, como las aerolíneas, o que han tenido afectación a nivel global o en países sobre los que anteriormente no operaba, como Estados Unidos, circunstancia que probablemente responda a las necesidades geopolíticas y geoestratégicas planteadas por la nación iraní.