Security Operations

Ciberamenazas de la guerra Rusia-Ucrania: Qué podemos aprender para estar preparados?

Este artículo repasa más de 15 años de ciber-ataques relacionados con Rusia. Se complementa con una revisión en curso de ciber-ataques asociados con la guerra Rusia-Ucrania de 2022.
Las tropas rusas ya están en Ucrania y los ataques distribuidos de denegación de servicio (DDoS) que interrumpen esporádicamente los sitios web del gobierno ucraniano y los proveedores de servicios financieros, indican que el mundo debe estar preparado para un conflicto cibernético.
Si bien todas las organizaciones siempre deben estar preparadas para un ataque, es importante revisar el historial de actividades sospechosas en el ámbito cibernético durante la tensión entre estos países en los últimos años, para evaluar qué tipos de actividades esperar y qué acciones preventivas tomar.

Ataques de denegación de servicio desestabilizadores

El primer antecedente data del 26 de abril de 2007, cuando Estonia cambió de lugar una estatua que conmemoraba su liberación de los Nazis por parte de la Unión Soviética, a un lugar menos prominente. Esta acción enfureció a la población de habla rusa de Estonia y desestabilizó las relaciones con Moscú. Poco después hubo disturbios en las calles, protestas frente a la embajada de ese país en Moscú y una ola de ataques DDoS contra los sitios web de su gobierno y servicios financieros.

Además, diversos foros rusos comenzaron a publicar herramientas e instrucciones sobre cómo participar en los ataques DDoS casi inmediatamente después del traslado de la estatua. Estos ataques se dirigieron a sitios web pertenecientes a la presidencia, el Parlamento, la policía, los partidos políticos y los principales medios de comunicación.

El 4 de mayo de 2007, los ataques se intensificaron y, además, comenzaron a tener como objetivo a los bancos. Exactamente siete días después, los ataques cesaron a medianoche de forma abrupta.

Todos inmediatamente implicaron a Rusia, pero atribuir DDoS es casi imposible, por diseño. Ahora se cree ampliamente que estos ataques fueron obra de la Russian Business Network (RBN), un grupo del crimen organizado en Rusia relacionado con el envío de spam, botnets y esquemas de afiliados farmacéuticos. Sus servicios parecen haber sido “contratados” precisamente durante una semana para realizar estos ataques.

El 19 de julio de 2008, una nueva ola de ataques DDoS comenzó a tener como objetivo sitios web gubernamentales y de noticias en Georgia. Estos ataques misteriosamente se intensificaron el 8 de agosto de 2008, cuando las tropas rusas invadieron la provincia separatista de Osetia del Sur. Inicialmente, se dirigieron a sitios gubernamentales y de noticias de Georgia antes de pasar a incluir instituciones financieras, empresas, educación, medios occidentales y un sitio web de piratas informáticos.

Al igual que en los ataques anteriores a Estonia, apareció un sitio web con una lista de objetivos, así como un conjunto de herramientas con instrucciones para usarlas. También intentó atribuir los ataques a los ‘patriotas’ rusos, pero la mayor parte del tráfico de ataques se originó en una red de bots que se cree que está controlada por RBN.

Defacement digital y spam

Los ataques también incluyeron alteraciones de sitios web y campañas masivas de spam diseñadas para obstruir las bandejas de entrada de los habitantes de Georgia. Todo esto parecía estar diseñado para evidenciar carencias del gobierno de Georgia para comunicarse de manera efectiva con sus ciudadanos y el mundo, dejando así muestras de debilidad.

Menos de un año después, comenzó una nueva serie de DDoS en Kirguistán, en enero de 2009. Esto coincidió con el proceso iniciado por dicho país para decidir si renovar el contrato de arrendamiento de una base aérea estadounidense en su territorio. ¿Coincidencia? Parecía ser realizado por la RBN una vez más.

Esto nos lleva a la invasión de Crimea en 2014.

Desinformación y aislamiento

La guerra de información contra Ucrania data de 2009, con muchos ataques coincidiendo con eventos que podrían interpretarse como una amenaza para los intereses rusos, como una cumbre de la OTAN y negociaciones entre Ucrania y la Unión Europea para un Acuerdo de Asociación.

En marzo de 2014, el New York Times informó que el malware “Snake” se había infiltrado en la Oficina del Primer Ministro de Ucrania y en varias embajadas remotas al mismo tiempo que comenzaban las protestas contra el gobierno local. Cerca de fines de 2013 y en 2014, ESET también publicó una investigación que documenta ataques contra objetivos militares y medios de comunicación denominados “Operación Potao Express“.

Como antes, un grupo conocido como “Cyber ​​Berkut” ejecutó ataques DDoS y alteraciones web, sin causar daños significativos. Sin embargo, creó mucha confusión.

Al principio del conflicto, soldados sin insignias tomaron el control de las redes de telecomunicaciones de Crimea y el control del Internet en la región, lo que provocó un apagón informativo. Los atacantes abusaron de su acceso a la red de telefonía móvil para identificar a los manifestantes anti-rusos y enviarles mensajes SMS que decían: “Estimado suscriptor, está registrado como participante en un disturbio masivo”.

Después de aislar la capacidad de comunicación de Crimea, los atacantes también manipularon los teléfonos móviles de los miembros del parlamento ucraniano, impidiéndoles reaccionar de manera efectiva a la invasión. Como se señaló en Asuntos Cibernéticos Militares, las campañas de desinformación se pusieron en marcha:

“En una ocasión, Rusia pagó a una sola persona para que tuviera múltiples identidades web diferentes. Un actor en San Petersburgo transmitió que estaba actuando como tres blogueros diferentes en diez blogs, mientras comentaba simultáneamente en otros sitios. Se empleó a otra persona para simplemente comentar noticias y redes sociales 126 veces cada doce horas”.

Paralizar fuentes de energía

El 23 de diciembre de 2015, aproximadamente la mitad de los residentes de Ivano-Frankivsk, Ucrania, cortaron abruptamente el suministro eléctrico. Se cree que esto fue obra de piratas informáticos rusos patrocinados por el estado. Los ataques comenzaron más de 6 meses antes de que se cortara el suministro eléctrico cuando los empleados de tres centros de distribución de energía abrieron un documento malicioso de Microsoft Office con una macro diseñada para instalar un malware llamado BlackEnergy.

Los atacantes pudieron adquirir credenciales de acceso remoto a la red de Supervisión, Control y Adquisición de Datos (SCADA) y tomar el control de los controles de la subestación para comenzar a abrir los interruptores automáticos. Luego, los atacantes procedieron a bloquear esos controles remotos para evitar que los interruptores se cerraran de forma remota para restaurar la energía. Además, los atacantes desplegaron un “limpiador” para bloquear las computadoras utilizadas para controlar la red y, simultáneamente, realizaron un ataque de denegación de servicio telefónico (TDoS) obstruyendo los números de servicio al cliente, frustrando a los clientes que intentaban informar las interrupciones.

Casi un año después, el 17 de diciembre de 2016, las luces se apagaron una vez más en Kiev. ¿Coincidencia? Probablemente no.

Esta vez, el malware responsable se llamaba Industroyer/CrashOverride y era inmensamente más sofisticado. Fue diseñado con componentes modulares que podían escanear la red para encontrar controladores SCADA. El ataque no parecía estar relacionado con BlackEnergy ni con la conocida herramienta de limpieza de datos KillDisk, pero no había duda de quién estaba detrás.

Exposición de correo electrónico

En junio de 2016, durante una reñida campaña electoral presidencial entre Hillary Clinton y Donald Trump, un nuevo personaje llamado Guccifer 2.0 apareció en escena afirmando que había hackeado al Comité Nacional Demócrata y procedió a entregar sus correos electrónicos a Wikileaks. Si bien no se atribuye oficialmente a Rusia, esto apareció junto con otras campañas de desinformación durante las elecciones de 2016 y se cree que fue obra del Kremlin.

Ataques a la cadena de suministro: NotPetya

Los persistentes ataques de Rusia contra Ucrania no habían terminado y aumentaron el 27 de junio de 2017, cuando liberaron una nueva pieza de malware ahora denominada NotPetya.

NotPetya se disfrazó como una nueva variedad de ransomware y se implementó a través de una cadena de suministro hackeada de un proveedor de software de contabilidad ucraniano. Las víctimas no se limitaron a las empresas ucranianas: el malware se propagó por todo el mundo en cuestión de horas y afectó principalmente a organizaciones que tenían operaciones en Ucrania, donde se usaba ese software de contabilidad.

Se estima que NotPetya ha causado al menos USD $10 mil millones en daños en todo el mundo.

Pistas Falsas

Cuando se inauguraron los Juegos Olímpicos de Invierno en PyeongChang el 9 de febrero de 2018, otro ataque estaba a punto de desencadenarse en el mundo. Ese ataque deshabilitó todos los controladores de dominio en toda la red olímpica, lo que impidió que todo, desde Wi-Fi hasta las entradas, funcionara correctamente. Milagrosamente, el equipo de TI pudo aislar la red, reconstruir y eliminar el malware de los sistemas y tener todo en funcionamiento para la mañana siguiente.

Entonces llegó el momento de realizar el análisis de malware para intentar determinar quién querría atacar y deshabilitar toda la red olímpica. La atribución de malware es difícil, pero quedaron algunas pistas que podrían ayudar, o podrían ser algunas ‘pistas falsas’ para señalar a un tercero no involucrado.

La “evidencia” parecía apuntar a Corea del Norte y China. Al final, un brillante trabajo de detective de Igor Soumenkov de Kaspersky Lab encontró una ‘pistola humeante’ que apuntaba directamente a Moscú.

Unos años más tarde, justo antes de las festividades navideñas a fines de 2020, se corrió la voz de un ataque a la cadena de suministro dirigido al software SolarWinds Orion utilizado para administrar la infraestructura de red para organizaciones grandes y medianas en todo el mundo, incluidas muchas agencias del gobierno federal de Estados Unidos. Los mecanismos de actualización de software habían sido secuestrados y utilizados para implementar una puerta trasera en el sistema.

La naturaleza de alto perfil de las víctimas, combinada con el acceso proporcionado a través de la puerta trasera desplegada sigilosamente, puede hacer de este uno de los ataques de ciberespionaje más grandes y dañinos de la historia moderna.

La Oficina Federal de Investigaciones (FBI) de EU, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieron un comunicado conjunto diciendo que su investigación indicó que:

“Un actor de amenazas persistentes avanzadas, probablemente de origen ruso, es responsable de la mayoría o la totalidad de los compromisos cibernéticos en curso recientemente descubiertos de redes gubernamentales y no gubernamentales. En este momento, creemos que esto fue, y continúa siendo, un esfuerzo de recopilación de inteligencia”.

El ciber-conflicto ruso en 2022

En 2022, a medida que aumentaban las tensiones políticas antes de la guerra, numerosos sitios web del gobierno ucraniano fueron comprometidos y sus sistemas infectados con un malware disfrazado de ransomware.

Componentes de estos ataques hacen eco del pasado, el malware no era en realidad ransomware, era un ‘wiper sofisticado’, como se vio en los ataques de NotPetya. Además, se dejaron muchas ‘pistas falsas’, implicando a disidentes ucranianos o partisanos polacos.

A medida que el conflicto avanzó en febrero se volvió un hecho que el playbook ruso estaba en acción: Distraer, confundir, negar e intentar dividir.

El martes 15 de febrero de 2022, se desató una serie de ataques de DDoS contra sitios web militares y de gobierno en Ucrania, así como contra tres de los bancos más grandes de ese país. En un movimiento sin precedentes, la Casa Blanca ya ha desclasificado parte de la investigación y atribuyó los ataques al GRU ruso.

La guerra comenzó el 24 de febrero de 2022. Sophos mantiene un resumen continuo de los ciber-ataques a medida que se desarrollan.

El playbook Ruso de guerra cibernética

¿Ahora que? Las operaciones cibernéticas seguramente continuarán. Ucrania ha estado bajo una constante oleada de ataques de distintos niveles desde que Viktor Yanukovych fue depuesto en 2014.

El documento oficial de Rusia “La Doctrina Militar de la Federación Rusa” de 2010 establece:

“Contamos con la implementación de medidas de guerra informática para lograr objetivos políticos sin la utilización de la fuerza militar y, posteriormente, dar forma a una respuesta favorable de la comunidad mundial a la utilización de la fuerza militar”.

Esto sugiere una continuación de los comportamientos anteriores y hace que los ataques DDoS sean un signo potencial de una respuesta inminente.

La guerra informática es el método con el que el Kremlin puede tratar de controlar la respuesta del resto del mundo a las acciones en Ucrania o cualquier otro objetivo de ataque.

Las ‘pistas falsas’, la atribución errónea, las comunicaciones interrumpidas y la manipulación de las redes sociales son componentes clave del manual de guerra cibernética de Rusia. No necesitan crear una cobertura permanente para las actividades en el terreno y en otros lugares, simplemente deben causar suficiente retraso, confusión y contradicción para permitir que otras operaciones simultáneas logren sus objetivos.

Preparar y Proteger

Curiosamente, los Estados Unidos y el Reino Unido están tratando de adelantarse a algunas de las campañas de desinformación y esto podría limitar su eficacia. Sin embargo, no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer preparados y vigilantes.

Por ejemplo, las organizaciones de los países vecinos de Ucrania deben estar preparadas para verse involucradas en cualquier anomalía en línea, incluso si no operan directamente dentro de Ucrania. Ataques anteriores e información errónea se han filtrado a Estonia, Polonia y otros estados limítrofes, aunque solo sea como daño colateral.

Desde una perspectiva global, deberíamos esperar que una variedad de delincuentes de ransomware, phishing y operadores de botnets rusos, arremetan con más fervor de lo normal contra los objetivos que se perciben como sus rivales.

Es poco probable que Rusia ataque directamente a los miembros de la OTAN y provocar la invocación del Artículo V. Sin embargo, sus recientes gestos para controlar a los criminales que operan desde la Federación Rusa y sus socios de la Comunidad de Estados Independientes (CEI) probablemente llegarán a su fin y veremos múltiples amenazas.

Si bien la defensa en profundidad  debería ser lo normal en ciber-seguridad, es especialmente importante si podemos esperar un aumento en la frecuencia y la gravedad de los ataques. La desinformación y la propaganda pronto alcanzarán un punto álgido, pero debemos mantener la nariz en el suelo, cerrar las ventanas y monitorear cualquier cosa inusual en nuestras redes a medida que los ciclos del conflicto van y vienen. Porque, como todos sabemos, podrían pasar meses hasta que surjan pruebas de intrusiones digitales originadas en este conflicto ruso-ucraniano.

Leave a Reply

Your email address will not be published. Required fields are marked *