Las autoridades estadounidenses sospechan que actores de amenazas de estado-nación vinculados a Irán estarían detrás de un incidente que llevó a una brecha de seguridad en la red de una agencia federal americana.
El ataque, que habría tenido lugar entre junio y julio de este año, todavía no se puede atribuir a un grupo concreto de ciberdelincuentes.
Lo que sí se sabe es que los cibermalos se sirvieron de la conocida vulnerabilidad Log4Shell en un servidor VMware que no había sido parcheado.
Desde comienzos de este año grupos patrocinados por el estado iraní han estado explotando varias veces dicha vulnerabilidad, así que su modus operando apunta a que la amenaza provino de esta fuente.
Log4Shell, denominada técnicamente como CVE-202-44228, salió a la luz a finales del año pasado. Está relacionada con la biblioteca de Java Apache Log4j y fue identificada por la firma de soluciones de compliance y seguridad basadas en la nube Qualys como la vulnerabilidad de día cero más crítica de 2021.
Lo que la hace especialmente peligrosa es la popularidad de su librería de registro. Apache Log4j es ampliamente utilizada tanto por apps empresariales como por servicios en la nube, estando presente en millones de servidores. La amenaza es tan grande que hace unos meses gigantes tecnológicos llegaron a reunirse con el gobierno de EE.UU para abordar el tema.
Todo pudo comenzar a principios de año
CISA, la Agencia de Seguridad de Infraestructura de EE.UU. señala que el acceso inicial de la organización afectada sería anterior y se produjo en febrero. Según se hace eco Heimdal Security, los cibermalos usaron la vulnerabilidad para incluir una nueva regla de exclusión de Windows Defender para que todo el disco C:\ fuera incluido en la lista de permitidos.
Los piratas pudieron eludir el antivirus para implementar un script de PowerShell. Este logró recuperar un archivo ZIP que contenía el software de minería de criptomonedas XMRig ubicado en un servidor remoto. El actor de amenazas consiguió moverse lateralmente en los sistemas y llegó a cambiar la contraseña de administrador en varios hosts.