Los gigantes del petróleo y el gas de Oriente Medio han descubierto un nuevo grupo de hackers que intenta penetrar en sus sistemas informáticos. Las empresas estadounidenses de ciberseguridad Dragos y Secureworks de Dell han publicado varios informes sobre este grupo, denominado Hexane. Aunque ninguna de las compañías lanza una acusación definitiva sobre quién es responsable del ataque, ambas destacan sus similitudes con los grupos de hackers iraníes y con los objetivos políticos y estratégicos de Irán.

Hexane es el último de una larga lista de grupos de hackers detectados en el Golfo Pérsico y sus alrededores. En Oriente Medio, no hay un objetivo estratégico más importantes que la industria del petróleo y el gas, responsable de gran parte de la riqueza y del poder de la región.

"Por el momento, se trata de una operación de acceso. El objetivo a corto plazo es obtener acceso y mantenerlo. El objetivo a medio plazo es merodear y luego posiblemente espiar. Obviamente, este proceso permite que el grupo pueda regresar para hacer algo más grave", afirma el principal investigador de seguridad de la Unidad de Contraataques de Secureworks, Rafe Piling.

Una de las campañas de hackers más perjudicial que la región ha visto en la última década, tuvo lugar en 2012 cuando un grupo de hackers iraníes irrumpió en los sistemas informáticos de Saudi Aramco y eliminó archivos para paralizar decenas de miles de ordenadores clave de la compañía. El malware utilizado en ese ataque se conoce como Shamoon.

Esta empresa petrolera estatal de Arabia Saudita, que es una de las compañías más ricas del mundo, representa el corazón del poder de ese país. Las compañías energéticas de la región son muy importantes para todas las naciones que envuelven al Golfo Pérsico. Los hackers también usaron Shamoon para atacar a la compañía petrolera de Qatar RasGas.

Hexane, activo desde 2018, ha aumentado drásticamente su actividad en 2019 y ha desplegado un nuevo malware contra sus objetivos. Su primer paso consiste en enviar ataques de spearphishing entre el personal de Recursos Humanos y Tecnología (TI) en organizaciones específicas.

"Atacar las cuentas individuales de Recursos Humanos podría generar información y acceso a las cuentas que se podrían utilizar en operaciones adicionales de spearphishing dentro del entorno objetivo y contra las organizaciones asociadas", según el informe de Secureworks. La investigación añade:  "El personal de TI tiene acceso a cuentas y documentación de gran importancia que podrían ayudar a los atacantes a comprender el entorno sin tener que navegar a ciegas por la red para encontrar datos y sistemas de interés".

Existe cierto debate entre las empresas de ciberseguridad sobre los objetivos inmediatos del grupo. Los hackers pueden apuntar a los sistemas de TI, como ordenadores, o a los sistemas de tecnología operativa (TO) como los controladores lógicos programables, diseñados específicamente para fines industriales como el refinamiento y la fabricación de petróleo y gas.  Pero, al fin y al cabo, ambos sistemas están conectados y, como dijo Piling en una entrevistareciente, "es casi universalmente cierto que el camino hacia la TI pasa por la TO".

Los investigadores no han presentado ningún vínculo técnico directo entre Irán y el nuevo grupo de hackers, pero Secureworks señala "similitudes estilísticas" que sugieren una conexión fuerte. Piling detalla: "El malware está en una etapa temprana e inmadura, pero incluye características que normalmente encontramos en el malware iraní. No obstante, no es específico para nada y alguien podría emular muchas de estas características si quisieran entrar en un dominio".

Aunque el Golfo Pérsico es un foco de ciberdelincuencia, la actividad de países como Irán tienen un alcance global. A principios de este año, Dragos identificó un grupo denominado Magnallium que ataca a empresas gubernamentales, financieras y energéticas estadounidenses. La nación sigue siendo el objetivo de hackers estadounidenses, sobre todo, desde que su presidente, Donald Trump, ordenó ciberataques contra los sistemas de armas iraníes después de que un dron estadounidense fuera derribado por las fuerzas iraníes.