En una “primera vez” geopolítica, el gobierno albanés ha reaccionado a un ataque cibernético en sus sistemas que se atribuyó a un actor de amenazas persistentes avanzadas (APT) respaldado por Irán rompiendo los lazos diplomáticos con Irán, obligando a cerrar su embajada en Tirana y expulsando a su personal diplomático y embajador.
El ataque de julio de 2022 incorporó una combinación de una puerta trasera previamente desconocida llamada Chimneysweep, una nueva variante del malware Zeroclear existente y una nueva familia de ransomware denominada Roadsweep, según el equipo de respuesta a incidentes de Mandiant.
Apuntó tanto a los miembros de Mujahadeen-e-Khalq/Organización Muyahidines del Pueblo de Irán (MEK), un grupo de oposición iraní, cuyos miembros han encontrado refugio en Albania, como a la Cumbre Mundial Anual por el Irán Libre, que debía tener lugar hacia finales de julio en el país. Se sabe que el régimen fundamentalista de Irán, que llegó al poder en una revolución en 1979, ataca con frecuencia tanto a los miembros comunes de la diáspora iraní como a los disidentes en el exilio.
Un grupo autodenominado HomeLand Justice se atribuyó la responsabilidad del ataque, que obligó a las autoridades albanesas a suspender el acceso a los servicios públicos en línea y otros sitios web del gobierno.
En un discurso de video pronunciado hoy, el primer ministro albanés, Edi Rana, dijo que ahora había evidencia indiscutible de que el ataque cibernético fue un acto de agresión patrocinado por el estado, realizado por cuatro grupos orquestados por Irán, que generalmente tiene como objetivo organizaciones en países de Medio Oriente.
“Hemos informado en consecuencia a nuestros aliados estratégicos, los Estados miembros de la OTAN y otros países amigos, con quienes hemos compartido las pruebas irrefutables resultantes de la investigación que corroboran el origen de la agresión contra nuestro país”, dijo Rana.
“El Consejo de Ministros ha decidido la ruptura de relaciones diplomáticas con la República Islámica de Irán con efecto inmediato. Se ha enviado un aviso oficial de la decisión a la Embajada de la República Islámica de Irán, solicitando que todo el personal diplomático, técnico, administrativo y de seguridad abandone el territorio de la República de Albania en un plazo de 24 horas”.
Rana admitió que la respuesta fue extrema y no deseada, pero dijo que se le había impuesto al gobierno albanés y que era totalmente proporcional a la “gravedad y el riesgo” del ataque.
“El fracaso de este ataque masivo a nuestro país gracias a la resiliencia de los sistemas que hemos construido y la asistencia de grupos especializados que lucharon de nuestro lado no es el fin de la amenaza cibernética, sino la prueba clara de que, gracias a su desarrollo digital , Albania es parte del gran mapa de la batalla por la seguridad cibernética”, dijo.
“Sin embargo, la buena noticia es que sabemos qué hacer y cómo hacerlo para evitar que alguien nos haga daño, al igual que sabemos que haremos las cosas correctas de la manera correcta, también porque tenemos los socios correctos en Nuestro lado.”
Adrienne Watson, portavoz del Consejo de Seguridad Nacional (NSC) de la Casa Blanca, dijo que Estados Unidos condenó enérgicamente el ataque cibernético de Irán contra un aliado de la OTAN.
“Durante semanas, el gobierno de EE. UU. ha estado trabajando sobre el terreno junto con socios del sector privado para apoyar los esfuerzos de Albania para mitigar, recuperarse e investigar el ataque cibernético del 15 de julio que destruyó los datos del gobierno e interrumpió los servicios gubernamentales al público”, dijo.
“Hemos llegado a la conclusión de que el gobierno de Irán llevó a cabo este ataque cibernético imprudente e irresponsable y que es responsable de las operaciones posteriores de pirateo y filtración.
“La conducta de Irán ignora las normas de comportamiento estatal responsable en tiempo de paz en el ciberespacio, que incluye una norma sobre abstenerse de dañar la infraestructura crítica que brinda servicios al público.
“Albania considera que las redes gubernamentales afectadas son una infraestructura crítica. La actividad cibernética maliciosa por parte de un estado que intencionalmente daña la infraestructura crítica o perjudica su uso y operación para brindar servicios al público puede tener efectos en cascada a nivel nacional, regional y global; plantear un riesgo elevado de daño a la población; y puede conducir a una escalada y conflicto”, dijo.
Watson agregó que Estados Unidos tomaría más medidas para responsabilizar a Irán por acciones que “amenazan la seguridad de un aliado de Estados Unidos y sientan un precedente preocupante para el ciberespacio”.
El vicepresidente de Mandiant Intelligence, John Hultquist, caracterizó la medida de Albania como posiblemente la respuesta pública más fuerte a un ataque cibernético que jamás haya visto.
“Si bien hemos visto una serie de otras consecuencias diplomáticas en el pasado, no han sido tan graves o amplias como esta acción”, dijo Hultquist.
“El ataque a Albania es un recordatorio de que, si bien la actividad cibernética iraní más agresiva generalmente se concentra en la región de Medio Oriente, de ninguna manera se limita a ella. Irán llevará a cabo ataques cibernéticos disruptivos y destructivos, así como operaciones de información complejas a nivel mundial”.
“Este incidente, y el incidente más reciente en Montenegro, también es un recordatorio de que los principales sistemas gubernamentales críticos en los países de la OTAN son vulnerables y están bajo ataque. Aunque los incidentes probablemente no estén relacionados, las interrupciones periódicas de la infraestructura gubernamental son una tendencia alarmante”.
Hultquist advirtió que es probable que las acciones cibernéticas agresivas de Irán aumenten en el corto plazo, particularmente en torno a las próximas elecciones intermedias de 2022 en los EE. UU.
