Con la colaboración de Javier Martinez Verneri*.

Introducción

Los actores de amenazas continúan experimentando con el uso de técnicas dirigidas a nublar la perspectiva de los oponentes, como afirmaba el estratega militar y filósofo chino Sun Tzu en su obra cumbre: «El arte de la guerra se basa en el engaño» (El Arte de la Guerra).

Una de las cuestiones más complejas y difíciles de llevar a cabo por los investigadores de seguridad es, sin lugar a dudas, establecer la identidad de los grupos que se hallan detrás de los ataques cibernéticos. Ello debido a que la atribución completa significa conocer las capacidades, técnicas, infraestructura, alcance e intención de la actividad (Microsoft); algo prácticamente imposible de lograr.

En tal sentido, los creadores de las amenazas más avanzadas dominan y utilizan las denominadas operaciones de banderas falsas (False Flags) para engañar a las víctimas y a los analistas e impedir su identificación y una posible atribución.

A esto se le suma la naturaleza intrínseca del ciberespacio (quinto dominio) que facilita, bajo ciertas circunstancias, el anonimato para desplegar acciones perniciosas. El ciberespacio no sólo controla su dominio, sino que traspasa y actúa en la esfera de las acciones humanas y, por consiguiente, se materializa en acciones concretas y esto afecta sensiblemente el desarrollo de las sociedades (Kandiko, 2015).

En este escenario, según un reciente reporte de Forescout (2024), se han observado actores patrocinados por el Estado que utilizan frentes hacktivistas para atacar infraestructuras críticas; entre ellos, Predatory Sparrow y Karma Power han sido vinculados a ataques significativos bajo el disfraz de hacktivismo. También señaló que los factores que impulsan este cambio pueden ser la mayor visibilidad de las campañas de piratería y la necesidad de crear una fachada para ocultar las actividades de guerra cibernética.

Sumado a lo anterior, a fines de 2023, Check Point Research (2023), advirtió que el panorama de la guerra cibernética estaba evolucionando, particularmente en el contexto de la guerra entre Israel y Hamás. Asimismo, remarcó el aumento en las operaciones cibernéticas contra objetivos tanto israelíes como no israelíes, particularmente en los Estados Unidos, y que los grupos hacktivistas iraníes están a la vanguardia de este cambio, combinando éxitos cibernéticos reales con afirmaciones repetidas y, a veces, exageradas.

También, CrowdStrike (2024) señaló que la mayoría de las operaciones cibernéticas impulsadas por conflictos incluyen actividad hacktivista y operaciones de supuestos faketivistas, y que en el contexto del conflicto reseñado anteriormente, la línea divisoria entre estos dos tipos de actores de amenazas se ha desdibujado, ya que los grupos hacktivistas genuinos a menudo amplifican las afirmaciones de, o brindan apoyo a, personas inauténticas probablemente vinculadas a estados.

¿Qué es el faketivismo?

El término fue introducido por CrowdStrike en el informe global de amenazas de 2016, donde precisó que se refiere a la actividad de entidades que se caracterizan a sí mismas como grupos hacktivistas, pero que probablemente representan un frente para un gobierno o una entidad profesional.

Características principales:

  • En un esfuerzo por parecer genuinos, los faketivistas — también conocidos como personas inauténticas — con regularidad adoptan la imaginería, la retórica, las tácticas, técnicas y procedimientos (TTPs) y, a veces, los nombres de hacktivistas establecidos.  
  • A menudo surgen en respuesta directa a eventos geopolíticos.
  • Con frecuencia tienen poco o ningún historial de actividad establecido y casi siempre operan en directa alineación con los intereses del gobierno estatal.
  • Brindan a los patrocinadores estatales una capa de negación plausible, pero también pueden servir a los objetivos de las operaciones de información.

Un grupo que se destaca en este escenario es Cyber Av3ngers, el cual ha sido clasificado como presunto grupo de amenaza persistente avanzada (APT) y se sospecha que se encuentra vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) del gobierno iraní (MITRE ATT&CK). A pesar de que el nombre del grupo refleja su enfoque de justicieros digitales, han sido considerados por CrowdStrike (2024) como faketivistas (o activistas falsos). Su postura ha sido vehemente como anti-israelí y, para comunicar dicha narrativa, utilizan redes sociales como “X” y “Telegram”.

Su existencia es conocida desde el año 2020, momento en el que han reivindicado una serie de ciberataques sobre infraestructura crítica de Israel. Sin embargo, han adquirido mayor notoriedad luego del ataque perpetrado por extremistas de Hamás en el 7 de octubre del año 2023. Durante el año señalado, el grupo ha tomado crédito por ataques realizados a infraestructura israelí y compañías de tecnología, aunque se encuentra discutida dicha atribución. Recién en noviembre del mismo año, una autoridad municipal del agua de Pennsylvania reveló que fue atacada por el grupo criminal.

El ataque lo comienzan accediendo a los PLC (Controladores Lógicos Programables), que son fundamentales para controlar y monitorear una amplia variedad de procesos de producción, incluyendo la regulación de la funcionalidad de equipos de instrumentación y automatización. Si un atacante logra acceder a un PLC, puede infiltrarse en el sistema de control industrial, y, según el nivel de segmentación de la defensa cibernética, podría obtener un control prácticamente ilimitado sobre la instalación de producción o la empresa. Estos dispositivos actúan como una puerta de entrada a los sistemas de tecnología operacional (OT) críticos.

De acuerdo al reporte (Alert Code AA23-335A, última revisión: 18/12/2024) de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA), entre otros, han señalado que este grupo utiliza técnicas básicas de escaneo de internet para ubicar dispositivos fabricados por la empresa Unitronics de Israel, para luego acceder por medio de las credenciales establecidas por defecto por el fabricante, las cuales nunca fueron cambiadas por las empresas. A su vez, dichos accesos son posibles también por poseer conexiones de internet inseguras y puertos expuestos.

Es conveniente destacar que, desde finales de 2023, se ha observado un aumento de los informes de ataques (repetidos) centrados en dispositivos de tecnología operativa (OT) mal protegidos y expuestos a Internet, los cuales fueron objeto de múltiples ataques en los últimos meses por parte de diferentes actores respaldados por países, incluidos los perpetrados por Cyber Av3ngers en noviembre de 2023, así como los hacktivistas prorrusos a principios de 2024 (Microsoft, 2024). 

Cyber Av3ngers – TTP

MITRE ATT&CK
Tácticas
MITRE ATT&CK
Técnicas
Descripción
TA0040: ImpactoT1485: Destrucción de datosLas operaciones de Cyber Av3ngers implican comprometer y potencialmente dañar sistemas críticos.
TA0043: ReconocimientoT1595: Escaneo de activosEs probable que el grupo lleve a cabo escaneos activos para identificar dispositivos conectados a internet accesibles.
TA0042: Desarrollo de recursosT1583: Adquisición de infraestructuraPosiblemente adquieran infraestructura específica para sus ciberataques.
TA0006: Acceso a credencialesT1110: Fuerza BrutaEl grupo usa ataques de fuerza bruta para obtener credenciales de logeo.
TA0006: Acceso a credencialesT1552: Credenciales insegurasExplotan credenciales por defecto en dispositivos para obtener acceso no autorizado.

Datos obtenidos de: SOCRadar.

Recomendaciones

Las siguientes medidas de mitigación han sido propuestas por CISA y el Instituto Nacional de Estándares y Tecnología (NIST), que se alinean con las Metas de Rendimiento en Ciberseguridad para Múltiples Sectores (CPGs):

  • Si se necesita acceso remoto, implementar un firewall y/o una red privada virtual (VPN) frente al PLC para controlar el acceso a la red.
  • Crear copias de seguridad sólidas de la lógica y las configuraciones de los PLC para permitir una recuperación rápida.
  • Mantener los dispositivos Unitronics y otros PLC actualizados con las últimas versiones del fabricante.
  • Cambiar todas las contraseñas predeterminadas en los PLCs y HMIs (interfaces hombre-máquina) por contraseñas más seguras.
  • Requerir autenticación multifactor para todo acceso remoto, incluyendo desde las redes de TI y externas.
  • Usar una lista de direcciones IP permitidas para el acceso.
  • Si es posible, utilizar un puerto TCP diferente al puerto predeterminado.

Conclusión

En el presente artículo nos centramos en aspectos relacionados con las técnicas utilizadas por los adversarios para nublar la perspectiva de los oponentes y defensores, y que tienen el potencial de funcionar como elemento de desestabilización y estrategia de negación plausible (por parte de los Estados). A su vez, profundizamos en el faketivismo como tendencia en aumento y analizamos el modus operandi del grupo cibercriminal denominado Cyber Av3ngers.

Según Gartner (2022), para el año 2025 los actores de amenazas habrán utilizado con éxito entornos de tecnología operacional como armas para causar víctimas humanas, lo cual debe ser analizado a la luz del aumento general de ciberataques que comprometen los sistemas de OT y de la incapacidad de los métodos de detección para mantenerse al ritmo de las amenazas actuales (Fortinet, 2024).

En todo este panorama, habiendo expuesto una parte minúscula de la naturaleza dinámica y cambiante de los conflictos en el ciberespacio, destacamos la importancia de establecer estrategias de seguridad integrales para neutralizar los ataques centrados en dispositivos de tecnología operativa (OT) mal protegidos y expuestos a Internet, toda vez que están en juego sistemas críticos para el desarrollo de la vida.

*Abogado, Desarrollador de Software y Docente. Actualmente se encuentra cursando la especialización en «Ciberinteligencia, Ingeniería Social & OSINT» de Hackacademy (Ekoparty).

Última actualización: 25/12/2024

Referencias.

  1. Check Point Research. (2023, December 4). Shift in cyber warfare tactics: Iranian hacktivist proxies extend activities beyond Israel. Check Point Software. https://blog.checkpoint.com/research/check-point-research-report-shift-in-cyber-warfare-tactics-iranian-hacktivist-proxies-extend-activities-beyond-israel/
  2. CrowdStrike. (2024). 2024 Global Threat Report. CrowdStrike.
  3. Cybersecurity and Infrastructure Security Agency. (2023, December 1). IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities. CISA. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a
  4. Forescout. (2024, June 15). 2024 H1 threat report: Emerging cyber risks for OT environments. https://www.forescout.com/press-releases/2024h1-threat-report/
  5. Fortinet. (2024, March 20). Fortinet report: Threat actors increasingly targeting OT organizations. https://www.fortinet.com/lat/corporate/about-us/newsroom/press-releases/2024/fortinet-report-threat-actors-increasingly-targeting-ot-organizations
  6. Gartner. (2022, June 21). Gartner unveils the top eight cybersecurity predictions for 2022-2023. https://www.gartner.com/en/newsroom/press-releases/2022-06-21-gartner-unveils-the-top-eight-cybersecurity-predictio
  7. Google. (2024, February). Tool of first resort: Israel-Hamas War in Cyber. Google. https://services.google.com/fh/files/misc/tool-of-first-resort-israel-hamas-war-cyber.pdf
  8. Kandiko, U. L. (2015, November 1). Ciberseguridad. Voces en el Fénix. https://vocesenelfenix.economicas.uba.ar/ciberseguridad
  9. Kaspersky Team. (2016, October 6). Agentes de amenazas dominan tácticas de banderas falsas para engañar a víctimas e investigadores de seguridad. Kaspersky. https://latam.kaspersky.com/blog/agentes-de-amenazas-dominan-tacticas-de-banderas-falsas-para-enganar-a-victimas-e-investigadores-de-seguridad/7803/
  10. Microsoft. (2024, January 16). Cómo asigna Microsoft nombres a los actores de amenazas. https://learn.microsoft.com/es-es/microsoft-365/security/intelligence/microsoft-threat-actor-naming?view=o365-worldwide
  11. Microsoft Threat Intelligence. (2024, May 30). Exposed and vulnerable: Recent attacks highlight critical need to protect internet-exposed OT devices. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/
  12. MITRE. (n.d.). G1027: CyberAv3ngers. https://attack.mitre.org/groups/G1027/
  13. National Institute of Standards and Technology. (2023). CVE-2023-6448: Vulnerability summary. NVD. https://nvd.nist.gov/vuln/detail/CVE-2023-6448
  14. Roberts, D. (2024, March 14). Inside the Cyber AV3ngers: Global PLC hack. Manufacturing.net. https://www.manufacturing.net/cybersecurity/article/22883872/inside-the-cyber-av3ngers-global-plc-hack
  15. SOCRadar. (2024, May 5). Cyber reflections of Iran’s attack on Israel. https://socradar.io/cyber-reflections-of-irans-attack-on-israel/
  16. SOCRadar. (2024, May 10). Dark web profile: Cyber AV3ngers. https://socradar.io/dark-web-profile-cyber-av3ngers/
  17. ThreatConnect. (2016, December 16). Faketivist vs. hacktivist: How they differ. ThreatConnect. https://threatconnect.com/blog/faketivist-vs-hacktivist-how-they-differ-2/