Agencia AJN.- El equipo Nocturnus de Cybereason ha estado rastreando al grupo de hackers iraní conocido como Moses Staff en los últimos meses, después de que fuera detectado por primera vez en octubre de 2021. La motivación del grupo es perjudicar a las empresas israelíes mediante la filtración de datos sensibles robados.

Además de Israel, que parece ser el principal objetivo del grupo, se ha observado que Moses Staff se dirige a organizaciones de otros países, como Italia, India, Alemania, Chile, Turquía, Emiratos Árabes Unidos y Estados Unidos.

El grupo tiene como objetivo una variedad de industrias, entre ellas el gobierno, las finanzas, los viajes, la energía, la fabricación y la industria de servicios públicos.

Tras una investigación publicada recientemente en la que se detallan las tácticas, técnicas y procedimientos (TTP) del grupo, el equipo de Cybereason Nocturnus descubrió un troyano de acceso remoto (RAT) no identificado anteriormente en el arsenal de Moses Staff, denominado StrifeWater.

«El RAT StrifeWater parece ser utilizado en la etapa inicial del ataque y este RAT sigiloso tiene la capacidad de eliminarse a sí mismo del sistema para cubrir las huellas del grupo iraní», explicó Cybereason. «El RAT posee otras capacidades, como la ejecución de comandos y la captura de pantalla, así como la capacidad de descargar extensiones adicionales.
Normalmente, una vez que los hackers se infiltran en una organización y roban datos sensibles, despliegan un ransomware para cifrar las máquinas infectadas.

A diferencia de los grupos de ciberdelincuentes que cifran los archivos como palanca para el pago de un rescate, el cifrado de los archivos en los ataques de Moses Staff tiene dos propósitos: infligir daños al interrumpir las operaciones críticas de la empresa y cubrir el rastro de los atacantes.

«El objetivo final de Moses Staff parece tener una motivación más política que financiera», subraya Cybereason. «El análisis de la conducta y las operaciones del grupo sugiere que Moses Staff aprovecha el ciberespionaje y el sabotaje para promover los objetivos geopolíticos de Irán, infligiendo daños y sembrando el miedo».

«Los objetivos de Moses Staff parecen estar alineados con la doctrina de guerra cibernética de Irán, que busca sabotear el gobierno, el ejército y las organizaciones civiles relacionadas con sus oponentes geopolíticos. A diferencia de los grupos criminales de cibercrimen que utilizan el ransomware para coaccionar a sus víctimas a pagar una cuota de rescate, se evalúa que el grupo Moses Staff filtrará información sensible sin exigir una cuota de rescate, y se evaluó previamente que sus objetivos son de naturaleza política», dijo el informe.

Irán e Israel se han involucrado en la guerra cibernética en los últimos años, con Irán atacando una amplia gama de objetivos, e Israel centrándose en el programa nuclear de Irán.

Al parecer, Israel también ha llevado a cabo con éxito varios ciberataques contra infraestructuras críticas iraníes.