Una empresa iraní acusada de dar servicio en la nube a hackers y cibercriminales

Actualmente basta un poco de conocimientos informáticos, algo de dinero y una conexión internet para poder llevar a cabo ataques a estructuras clave de empresas o de países. Esto se ha visto tanto en las elecciones de Estados Unidos como en la guerra de Ucrania. Petro para que estos ataques sean efectivos (es decir, que sus autores permanezcan ocultos) se necesita una estructura importante que los mantenga en el anonimato. Y eso es lo que podría estar haciendo una empresa iraní acusada de dar servicio en la nube a hackers y cibercriminales.

De acuerdo con un informe publicado por la firma de ciberseguridad Halcyon, el proveedor de servicios de internet Cloudzy aceptaría criptomonedas a cambio del uso anónimo de servicios tecnológicos utilizados para realizar ciberataques. Supuestamente, la compañía brinda una variedad de servicios a grupos que utilizan ransomware como BlackBasta y Royal, al mismo tiempo que sirve como columna vertebral de los ataques de los piratas informáticos gubernamentales de Corea del Norte, Rusia, China, India, Pakistán y Vietnam.

“Lo que más nos llamó la atención – explica Ryan Smith, director tecnológico de Halcyon en una entrevista - es el hecho de que tenemos direcciones de proveedores de servicios de internet (ISP por sus siglas en inglés) aparentemente legítimas que brindan infraestructura de ataque a los responsables, operadores de ransomware y otras entidades posiblemente sancionadas sin tener la obligación de tomar ninguna medida para detener la actividad ilícita. De hecho, se están beneficiando de ello... Estos operadores, a sabiendas o sin saberlo, son esencialmente otro pilar en el ecosistema de ataque global y un actor importante en la economía del ransomware".

A primera vista, Cloudzy opera como un negocio legítimo, con perfiles de Twitter y LinkedIn. El CEO de la compañía, Hannan Nozari, está activo en varios sitios de redes sociales, pero no ha respondido a la solicitud de diferentes medios para comentar el informe. La compañía afirma estar ubicada en los EE. UU. , pero, según los investigadores, en realidad tiene su sede en Teherán.

Halcyon encontró una red de grupos APT patrocinados por diferentes gobiernos y grupos criminales que utilizaban la infraestructura de Cloudzy. La sigla APT corresponde a una amenaza persistente avanzada (Advanced Persistent Threat en inglés), es un conjunto de procesos informáticos creados con la intención y la capacidad de atacar de forma avanzada y sostenida. Los grupos detectados por Halcyon incluyen grupos gubernamentales chinos como APT10 y Dragon Castleling; Sidewinder y Bitter de India; APT34 y APT33 de Irán; Kimsuky y Konni de Corea del Norte; la Tribu Transparente de Pakistán; Nobelium y Turla de Rusia; y APT32 de Vietnam.

“En el momento de escribir este artículo – señala el informe-, Halcyon estimó que potencialmente entre el 40 % y el 60 % del total de servidores alojados actualmente por Cloudzy parecen estar soportando directamente actividades potencialmente maliciosas”.