Empresas de Israel fueron atacadas por un grupo de hackers llamado Lebanese Cedar

Empresas de Israel, EE. UU., Reino Unido, Egipto, Jordania, Líbano y la Autoridad Palestina recibieron ataques por un grupo de hackers llamado Lebanese Cedar, durante la última década.
Empresas de Israel, EE. UU., Reino Unido, Egipto, Jordania, Líbano y la Autoridad Palestina recibieron ataques por un grupo de hackers llamado Lebanese Cedar, durante la última década.

Empresas de Israel, EE. UU., Reino Unido, Egipto, Jordania, Líbano y la Autoridad Palestina recibieron ataques por un grupo de hackers llamado Lebanese Cedar durante la última década. Dicho grupo, también es conocido como Volatile Cedar. Clear,Sky Cyber Security cree que estaría vinculado a Hezbollah.

El grupo ha estado operando desde 2012, pero ha mantenido un perfil bajo desde 2015. El grupo de piratas informáticos libaneses Cedar parece haber pasado desapercibido con éxito por la comunidad de seguridad durante los últimos cinco años, según el informe.

Por su parte, ClearSky expresó su apoyo a la evaluación de la compañía de tecnologías de software Check Point de que Lebanese Cedar está vinculado al gobierno libanés o un grupo político libanés. Agregó que hay indicios de que el grupo de hackers está vinculado a la Unidad Cibernética de Hezbollah.

En tanto, Lebanese Cedar es conocido por sus «operaciones altamente evasivas, selectivamente dirigidas y cuidadosamente administradas». Esto coincide con los grupos de Amenazas Persistentes Avanzadas que son financiados por estados-nación o grupos políticos.

Los ataques se descubrieron después de que se encontraran actividades de red sospechosas y herramientas de piratería en una variedad de empresas a principios de 2020.

Se encontró una nueva versión de «Explosive» V4 RAT (Remote Access Tool) o «Caterpillar» V2 WebShell en las redes afectadas. ClearSky identificó el explorador de archivos JSP de código abierto que se modificó para los piratas informáticos. El cedro libanés es el único actor de amenazas conocido que utiliza este código, según el informe.

Los archivos se instalaron en los servidores Oracle de las víctimas, exponiéndolos y permitiendo a los piratas informáticos instalar nuevos archivos en el servidor. Se encontraron unos 254 servidores infectados en todo el mundo. La mayoría de las víctimas pertenecían a empresas de telecomunicaciones y TI, comunicaciones, hosting y aplicaciones.

Las compañías objetivo incluyen Vodafone Egypt, Secured Servers LLC en los EE. UU., Hadara en la Autoridad Palestina. También, Jordanian Universities Network LLC en Jordania, Mobily en Arabia Saudita y Etisalat en los EAU, entre otras.

Es probable que muchas otras empresas hayan sido pirateadas y se les haya robado información por parte de Lebanese Cedar durante períodos de meses y años.

En 2015, Check Point anunció que había descubierto una campaña de ataque de Lebanese Cedar dirigida a empresas contratistas de defensa. Además de empresas de telecomunicaciones y medios de comunicación. Y, también, instituciones educativas en unos 10 países, incluidos EE. UU., Canadá, Reino Unido, Turquía, Líbano e Israel.

De esta manera, los analistas de ClearSky tienen algunas suposiciones sobre cómo el cedro libanés logró pasar desapercibido durante los últimos cinco años. Una posible explicación es que debido a que el grupo de piratas informáticos usó una interfaz similar a un shell basada en la web para permitir el acceso remoto mientras rara vez usaba otras herramientas. Esto llevó a los investigadores a un callejón sin salida en términos de atribuir los ataques a un grupo específico.

Otra posible explicación es que el cedro libanés cambió su enfoque significativamente. Si bien originalmente atacaron computadoras como un punto inicial de acceso, luego avanzaron a la red de la víctima. Y, finalmente, a servidores web vulnerables y públicos. El servidor más comúnmente atacado fue una versión vulnerable de un servidor web de Oracle, según ClearSky.

Eslovenia declara a Hezbollah como organización terrorista

Es probable que el grupo también haya tenido largos períodos de inactividad, lo que les permitió evitar la atención.

La mayoría de las herramientas utilizadas por el grupo en su campaña más reciente las desarrollaron ellos mismos. Pero, algunas herramientas de código abierto, incluidas las desarrolladas por grupos hacktivistas iraníes, también las utilizó Lebanese Cedar.

ClearSky descubrió que el grupo utilizó un proceso de focalización altamente selectivo, lo que indica que realizaron un reconocimiento exhaustivo.

Según el informe, la campaña de ataque probablemente comenzó a fines de 2012. Siendo ataques destinados a personas, empresas e instituciones estatales cuidadosamente elegidas en todo el mundo.

«Como israelíes, somos muy complacientes con los grupos de ataque estatales. Tenemos la sensación de que si se nos considera una potencia cibernética en el desarrollo y las nuevas empresas, incluida la gloriosa actividad militar, entonces lo sabemos todo y no podemos ser tocados», dijo la consultora de ciberseguridad Einat Meyron en respuesta al informe.

«También nos hemos acostumbrado a pensar que solo Irán, Rusia, China y Corea del Norte lideran el campo y aquí está la prueba del error fundamental. Hay hackers buenos y sofisticados en todo el mundo, incluso en países que son fundamentalmente más débiles que nosotros en términos de recursos y presupuestos y no son menos peligrosos», agregó.

El informe se produce después de una serie de ataques cibernéticos contra empresas e instituciones israelíes. Incluida la Universidad Ben-Gurion del Negev, Israel Aerospace Industries, la compañía de seguros Shirbit y la compañía de software Amital.

Por último, la Dirección Nacional de Cibernética informó que atendió más de 11.000 consultas en su 119 hotline en 2020. Es un 30% más de lo que atendió en 2019. La dirección realizó alrededor de 5.000 solicitudes a entidades para manejar vulnerabilidades exponiéndolas a ataques y estuvo en contacto con cerca de 1.400. entidades relacionadas con ataques intentados o exitosos.

Vía The Jerusalem Post

3 COMENTARIOS

DEJAR UN COMENTARIO

Please enter your comment!
Please enter your name here