Hablar de los mejores hackers del mundo en estos momentos es pensar automáticamente en países como Rusia, Corea del Norte o Irán. El apoyo de sus gobiernos a este tipo de actividades les ha disparado y son muy peligrosos. En los últimos años han estado relacionado con casos de espionaje masivo o difusión de noticias falsas, pero siempre quieren ir un paso más allá. Hoy hemos conocido que los piratas informáticos iraníes han estado hackeando servidores VPN para “abrir” puertas traseras en empresas de todo el mundo. Esto se ha convertido en una de sus principales prioridades.

Llevamos un par de años se sonados casos de agujeros de seguridad descubiertos tanto en los programas y aplicaciones más populares como en el hardware más utilizado (véase los procesadores de Intel). En el 2019 se publicaron muchos de estos fallos de seguridad en plataformas VPN empresariales del calibre de Pulse Secure, Palo Alto Networks, Fortinet y Citrix. Sin embargo, esto es algo que no ha hecho más que comenzar.

Puertas traseras para entrar cuando quieran

Un nuevo informe publicado por el grupo de investigadores de ClearSky ha destapado una ofensiva a nivel global de hackers iranís que han bautizado como “Fox Kitten Campaign”. Esta campaña se ha desarrollado en los últimos tres años contra docenas de compañías y organizaciones a lo largo y ancho del mundo. A través de los ataques, los hackers conseguían acceso a las redes internas de compañías de sectores como telecomunicaciones, petróleo, aviación, gobierno o seguridad.

Estos aprovecharon varios fallos de seguridad en los servidores VPN que utilizaban estas empresas para infiltrarse y “colocar” puertas traseras en estas compañías. Algunos de los ataques incluso sucedieron a las pocas horas de darse a conocer la existencia de una vulnerabilidad, poniendo de manifiesto lo preparados que están estos ejércitos hackers para actuar aprovechando la mejor ocasión.

De hecho, el informe señala que los grupos iranís han desarrollado una técnica para atacar vulnerabilidades 1-day al poco de ser publicadas, llegando a necesitar únicamente unas horas en algunas circunstancias. Esto hace que los administradores de redes no puedan responder a los ataques al no haber aplicado los parches del desarrollador.

El objetivo final de los ataques es colocar esas puertas traseras para aprovecharlas más adelante. De esta forma, se aseguran un acceso a organizaciones y empresas de gran importancia en todo el mundo. Para ello, aprovechan incluso vulnerabilidades con herramientas como Sticky Keys para conseguir permisos de administrador en Windows.