Los Cyber Av3ngers, supuestamente vinculados al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), se han dado a conocer por atacar infraestructuras críticas, especialmente en Estados Unidos e Israel. Este grupo se centra típicamente en sistemas SCADA fabricados en Israel, aunque también se utilizan en otros países. Aunque algunas de sus afirmaciones sobre ataques pueden ser cuestionables, otras operaciones han sido confirmadas. Destacan los riesgos de los sistemas industriales conectados a Internet al enfocarse en tecnología de fabricación específica de Israel.
Aunque algunos investigadores de seguridad cuestionaron las afirmaciones, llamaron la atención con imágenes similares mostradas en un producto de Unitronics. Anteriormente, compartieron sus ataques en plataformas X (anteriormente Twitter) y Telegram. Sin embargo, la alteración de dispositivos en EE. UU. atrajo la atención de los medios de comunicación principales, algo que el grupo había deseado durante mucho tiempo.
Logotipo de Cyber Av3ngers
Previamente discutidos como un colectivo de hackers/hacktivistas, los Cyber Av3ngers son actores de Amenaza Persistente Avanzada (APT) afiliados al IRGC del Gobierno iraní, según CISA. Su principal objetivo ha sido explotar vulnerabilidades en dispositivos conectados a Internet, especialmente los fabricados por empresas israelíes como Unitronics.
El grupo surgió antes del conflicto, pero cobró protagonismo junto con el conflicto entre Israel y Hamás, y sus primeros ataques notables fueron contra sistemas ferroviarios e instalaciones de tratamiento de agua en Israel.
Como declaró CISA: "El grupo se atribuyó la responsabilidad de los ciberataques en Israel a partir de 2020. CyberAv3ngers afirmó falsamente haber comprometido varias organizaciones de infraestructura crítica en Israel."
Aunque el grupo reivindicó ataques desde 2020, su actual canal de Telegram se creó en septiembre de 2023 y captaron la atención del público recién en julio de 2023 y una atención más amplia durante el reciente conflicto.
Algunas de estas afirmaciones, en particular las relativas a comprometer la infraestructura crítica israelí, han sido demostradas como falsas. Además, el grupo está supuestamente vinculado a otro grupo conocido como Soldados de Salomón, también afiliado al IRGC iraní.
Las actividades recientes de Cyber Av3ngers reflejan una estrategia más amplia de apuntar a infraestructura crítica más allá de las fronteras regionales, expandiendo sus operaciones cibernéticas para incluir objetivos importantes dentro de Israel y Estados Unidos. Este contexto prepara el escenario para comprender la intención estratégica y las capacidades de Cyber Av3ngers en el panorama global de la guerra cibernética.
Podrá interesarte: Los Casos Más Emblemáticos de Hacktivismo
Las operaciones de Cyber Av3ngers se centran en explotar vulnerabilidades en dispositivos de tecnología operativa conectados a Internet. Su táctica principal consiste en apuntar a dispositivos fabricados por la empresa israelí Unitronics, utilizando credenciales y puertos predeterminados para obtener acceso.
Han demostrado la capacidad de infiltrarse en sistemas de infraestructura crítica, como las instalaciones de agua en Estados Unidos. Este método de operación destaca el enfoque del grupo en los sistemas de control industrial, enfatizando los riesgos asociados con los dispositivos conectados a Internet en sectores vitales.
El aviso AA23-335A de CISA detalla las actividades de CyberAv3ngers dirigidas a los PLC de Unitronics en instalaciones de agua y aguas residuales de EE. UU. Estos actores utilizan credenciales predeterminadas o fuerza bruta para comprometer dispositivos, dejar mensajes de desfiguración y filtrar datos confidenciales.
Podrá interesarte leer: Seguridad de Infraestructuras Críticas con Wazuh
El primer ataque en el que pudieron hacer oír su voz fue contra los sistemas ferroviarios israelíes. Se atribuyeron la responsabilidad de los ataques cibernéticos a la infraestructura ferroviaria de Israel, que comenzaron el 14 de julio. Según se informa, estos ataques tuvieron como objetivo 150 servidores e interrumpieron las operaciones en 28 estaciones de ferrocarril.
Dijeron que los ataques fueron en represalia por el asesinato del comandante del IRGC Qasem Soleimani y continuaron durante diez días. También denunciaron un corte de electricidad en Israel a principios de julio.
Cyber Av3ngers ha estado implicado en varios ataques cibernéticos importantes, en particular muchas instalaciones de tratamiento de agua israelíes y objetivos relacionados con sistemas de agua en los EE. UU. Un ataque en una estación de bombeo de agua implicó penetrar un controlador lógico programable (PLC) fabricado por Unitronics, lo que ilustra una vez más el enfoque del grupo en la infraestructura crítica.
Otros objetivos reportados incluyen una cervecería en Pittsburgh, un acuario y varias instalaciones de agua en Israel.
Estos ataques resaltan la capacidad del grupo para interrumpir servicios esenciales y el riesgo más amplio que plantean los dispositivos industriales conectados a Internet. Sin embargo, también demuestra que tienen la capacidad de apuntar solo a una industria muy especializada. La gran mayoría de sus objetivos estaban dirigidos a tipos similares de dispositivos y establecimientos.
Te podrá interesar leer: Ataque iraní a PLC en Autoridad Agua EE.UU.
Los ataques de Cyber Av3ngers, particularmente a infraestructura crítica de EE. UU., subrayan un importante riesgo de ciberseguridad. Apuntar a dispositivos conectados a Internet en servicios esenciales como el suministro de agua expone vulnerabilidades en los sistemas de control industrial.
Estas operaciones no solo perturban las operaciones y posiblemente la comodidad del público, sino que también plantean preocupaciones de seguridad nacional, destacando la necesidad de medidas de protección mejoradas para la infraestructura crítica contra las amenazas cibernéticas. Las actividades de Cyber Av3ngers demuestran así la creciente sofisticación y alcance de los actores de las amenazas cibernéticas, enfatizando la importancia de estrategias sólidas de ciberseguridad.