Ir al contenido

Elfin Team

De Wikipedia, la enciclopedia libre

La Amenaza persistente avanzada 33 (APT33) es un grupo de hackers identificado por FireEye como apoyado por el gobierno de Irán.[1][2]​ El grupo también se ha llamado Refined Kitten (por Crowdstrike), Magnallium (por Dragos), y Holmium (por Microsoft).[3][4][5]

Historia

[editar]

FireEye cree que el grupo se formó a más tardar en 2013.

Objetivos

[editar]

Se ha informado de que el APT33 se ha dirigido a objetivos de la industria aeroespacial, de defensa y petroquímica en Estados Unidos, Corea del Sur y Arabia Saudí.[2]

Modus operandi

[editar]

Se dice que APT33 utiliza un dropper designado DropShot, que puede desplegar un wiper llamado ShapeShift, o instalar una puerta trasera llamada TurnedUp.[1]​ Se informa que el grupo utiliza la herramienta ALFASHELL para enviar correos electrónicos de spear-phishing cargados con archivos de aplicaciones HTML maliciosas a sus objetivos.[2]

El APT33 registró dominios que se hacían pasar por muchas entidades comerciales, como Boeing, Alsalam Aircraft Company, Northrop Grumman y Vinnell.[2]

Identificación

[editar]

FireEye y Kaspersky Lab observaron similitudes entre el ShapeShift y Shamoon, otro virus vinculado a Irán.[1]​ El APT33 también usaba el Farsi en ShapeShift y DropShot, y estaba más activo durante el horario comercial de Irán, permaneciendo inactivo el fin de semana iraní.[2]

Un hacker conocido con el seudónimo de xman_1365_x estaba vinculado tanto al código de la herramienta TurnedUp como al Instituto Nasr iraní, que ha sido conectado al ciberejército iraní. xman_1365_x tiene cuentas en los foros de hackers iraníes, incluyendo Shabgard y Ashiyane.[2][6][7]

Véase también

[editar]

Referencias

[editar]
  1. a b c Greenberg, Andy (20 de septiembre de 2017). «New Group of Iranian Hackers Linked to Destructive Malware». Wired. 
  2. a b c d e f O'Leary, Jacqueline (20 de septiembre de 2017). «Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware». FireEye. 
  3. https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage
  4. https://dragos.com/resource/magnallium/
  5. https://www.apnews.com/c5e1d8f79e86460fbfbd4d36ae348156
  6. Auchard, Eric (20 de septiembre de 2017). «Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts». «FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.» 
  7. Cox, Joseph. «Suspected Iranian Hackers Targeted U.S. Aerospace Sector». The Daily Beast. Archivado desde el original el 21 de septiembre de 2017. «Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.»