La Compañía Nacional de Tanques Iraníes (NITC) y las Líneas Navieras de la República Islámica de Irán (IRISL), dos compañías sancionadas, son los operadores de 64 embarcaciones, 39 buques cisterna y 25 buques de carga que se vieron comprometidos en un ataque dirigido a la infraestructura marítima de Irán por parte del colectivo de hackers Lab-Dookhtegan.
En lugar de intentar atacar directamente barcos individuales, que están dispersos por todo el mundo y plantean importantes desafíos logísticos, los atacantes se infiltraron en Fanava Group, un proveedor iraní de TI responsable de las comunicaciones por satélite en toda la flota.
La evidencia compartida por el grupo revela acceso a nivel raíz en terminales Linux que ejecutan software satelital iDirect obsoleto, específicamente la versión 2.6.35, un kernel conocido por numerosas vulnerabilidades sin parches, incluidas posibles fallas de ejecución remota de código que podrían facilitar la escalada de privilegios.
Los volcados de bases de datos de instancias de MySQL expusieron un mapeo completo de la infraestructura de comunicación de la flota, con consultas que extrajeron registros detallados como números de serie de módem, ID de red y configuraciones específicas de embarcaciones como Touska, Mahnam y Zardis.
Sabotaje a largo plazo
La persistencia de la operación es evidente en los registros de correo electrónico y las alertas de «Notificación de nodo caído» que se remontan a mayo y junio, lo que indica que Lab-Dookhtegan mantuvo un acceso encubierto durante al menos cinco meses después de su ataque de marzo a 116 embarcaciones.
Según el informe, este tiempo de permanencia prolongado permitió realizar reconocimientos, probar mecanismos de control y prepararse para un asalto de tierra arrasada en agosto.
Los artefactos técnicos muestran la ejecución de comandos destructivos, como ‘dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M’, que sobrescribieron múltiples particiones de almacenamiento, incluidos registros de navegación, archivos de mensajes, configuraciones del sistema y sectores de recuperación con ceros, haciendo que los terminales sean irrecuperables sin intervención física.
Este método, similar a una táctica de malware de limpieza, garantiza que no sea posible una restauración remota, lo que obliga a las tripulaciones a buscar reemplazos de hardware en el puerto y reinstalación completa de software, lo que podría dejar a los buques fuera de servicio durante semanas o meses.
Para agravar el daño, los atacantes exfiltraron configuraciones del sistema telefónico IP, incluidas contraseñas de texto plano como “1402@Argo” y “1406@Diamond”, junto con números de teléfono y direcciones IP, abriendo vías para escuchas ilegales, suplantaciones o mayores interrupciones en las comunicaciones de voz.
Implicaciones estratégicas para las operaciones sancionadas
El momento y la precisión de este ataque se alinean con las crecientes presiones geopolíticas, coincidiendo con las sanciones del Tesoro de Estados Unidos a 13 entidades involucradas en el comercio de petróleo iraní, haciéndose eco de la coordinación previa del grupo con las acciones estadounidenses contra las fuerzas hutíes en Yemen.
NITC e IRISL, fundamentales en las estrategias de evasión de sanciones de Irán, como la desactivación de sistemas de seguimiento para entregas encubiertas de petróleo a China, ahora enfrentan una parálisis operativa catastrófica.
Sin terminales satelitales funcionales, estos buques no pueden navegar de manera confiable, coordinar entregas o emitir señales de socorro, lo que amplifica los riesgos en áreas de alto tráfico como el Océano Índico.
La infracción explota las debilidades inherentes de los sistemas heredados, destacando los peligros del software sin parches en la infraestructura crítica, donde las puntuaciones CVSS para las vulnerabilidades de iDirect podrían superar el 9,0 debido a su explotabilidad y su impacto en la disponibilidad.
La evidencia de Lab-Dookhtegan, incluidas las imágenes de la posición del barco al inicio del ataque, subraya una estrategia deliberada para infligir el máximo daño económico, mucho más allá de la mera perturbación.
Este incidente sirve como un claro recordatorio de los riesgos de la cadena de suministro en la ciberseguridad marítima, donde comprometer a un solo proveedor como Fanava puede generar vulnerabilidades en toda la flota, lo que exige un mejor modelado de amenazas, parches regulares y arquitecturas de confianza cero para redes similares.
