Recientemente ha habido una ola de ciberataques dirigidos a organizaciones albanesas, los cuales han utilizado un software malicioso llamado No-Justice, que tiene como objetivo crear una «operación psicológica» contra Albania. Según la compañía de seguridad cibernética ClearSky, este malware basado en Windows «crashea el sistema operativo de tal manera que no se puede reiniciar».
Se ha identificado al grupo responsable de estas intrusiones como «Homeland Justice», una organización iraní que ha estado activa desde julio de 2022, y que ha orquestado ataques destructivos específicos en Albania.
El 24 de diciembre del 2023, este grupo volvió a la carga después de un tiempo de inactividad, afirmando que «vuelve para destruir a los seguidores de terroristas», describiendo su última campaña como #DestroyDurresMilitaryCamp. La ciudad albanesa de Durrës alberga actualmente al grupo disidente People’s Mojahedin Organization of Iran (MEK).
Entre los objetivos alcanzados por los ataques se encuentran ONE Albania, Eagle Mobile Albania, Air Albania y el parlamento albanés.
Se han utilizado dos herramientas principales durante la campaña: un wiper ejecutable y un script de PowerShell diseñado para propagar el primero a otras máquinas de la red objetivo después de habilitar Windows Remote Management (WinRM).
El wiper No-Justice (NACL.exe) es un binario de 220.34 KB que requiere privilegios de administrador para borrar los datos de la computadora. Esto se logra eliminando la firma de arranque del Master Boot Record (MBR), que se refiere al primer sector de cualquier disco duro que identifica dónde se encuentra el sistema operativo en el disco para que pueda cargarse en la RAM de la computadora.
Además, durante el ataque se han utilizado herramientas legítimas como Plink (también conocido como PuTTY Link), RevSocks y el kit de recursos de Windows 2000 para facilitar la información sobre el objetivo, el movimiento lateral y el acceso remoto persistente.
Este desarrollo ocurre en el contexto de un aumento en los ataques de los actores amenazantes pro-iraníes, como Cyber Av3ngers, Cyber Toufan, Haghjoyan y YareGomnam Team, que han aumentado su interés por Israel y Estados Unidos en medio de las tensiones geopolíticas en Oriente Medio.
«Grupos como Cyber Av3ngers y Cyber Toufan parecen estar adoptando una narrativa de represalia en sus ataques cibernéticos», señaló Check Point el mes pasado.
«Aprovechándose de la tecnología israelí, estos proxies hacktivistas intentan lograr una estrategia de represalia dual, alegando apuntar tanto a Israel como a Estados Unidos en un asalto cibernético único y orquestado».
Cyber Toufan, en particular, ha sido vinculado a una serie de operaciones de hackeo y filtración que han afectado a más de 100 organizaciones, y que han borrado hosts infectados y publicado datos robados en su canal de Telegram.
«Ya han causado tanto daño que muchas de estas organizaciones, casi un tercio de ellas, no han podido recuperarse», señaló el investigador de seguridad, Kevin Beaumont. «Algunas de ellas todavía están completamente inoperables después de más de un mes, y las víctimas eliminadas son una mezcla de empresas privadas y entidades gubernamentales israelíes».
El mes pasado, la Dirección Nacional de Ciberseguridad de Israel (INCD) informó que está rastreando actualmente alrededor de 15 grupos de hackers asociados con Irán, Hamas y Hezbollah que están operando maliciosamente en el ciberespacio israelí desde el inicio de la guerra entre Israel y Hamas en octubre de 2023.
La agencia también señaló que las técnicas y tácticas utilizadas tienen similitudes con las utilizadas en la guerra entre Ucrania y Rusia, aprovechando la guerra psicológica y el malware wiper para destruir información delicada.
