El año 2019 será recordado como aquel en el que se divulgó la existencia de brechas importantes de seguridad en una gran cantidad de servidores corporativos VPN de los fabricantes Pulse Secure, Palo Alto Networks, Fortinet y Citrix.

El informe publicado recientemente por una compañía de ciberseguridad reveló que diversos grupos de hacking patrocinados por el gobierno de Irán centraron sus esfuerzos en explotar los errores de VPN tan pronto se hicieron públicas las vulnerabilidades, para infiltrarse e instalar puertas traseras en empresas de todo el mundo. Diversos ataques se han dirigido a empresas de diferentes sectores estratégicos, y se han observado ataques a las pocas horas de haberse divulgado.  El propósito de los ataques es acceder a las redes corporativas, moverse en forma lateral en busca de objetivos de alto perfil, y plantar puertas traseras para explotarlas en una fecha posterior.

Investigadores de la firma de seguridad Clearskysec comentaron que se trata de diversos grupos actuando como si fuera uno solo, que han sido capaces de utilizar diferentes herramientas para ejecutar sus ataques. Asimismo, la firma de seguridad aseguró que los grupos de APT iraníes han desarrollado amplias capacidades ofensivas técnicas para poder explotar vulnerabilidades en periodos de tiempo relativamente cortos.

ClearSky mencionó que en el 2019 los grupos iraníes aprovecharon rápidamente las vulnerabilidades reveladas en VPN Secure Connect, Fortinet FortiOS VPN y Palo Alto Networks Global Protect.

Los ataques contra estos sistemas comenzaron el verano pasado, cuando se hicieron públicos los detalles sobre los errores, y han continuado en lo que va del año 2020.

Referencias:
https://www.clearskysec.com/fox-kitten/
https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/