Ciberamenazas del conflicto Rusia-Ucrania: ¿Qué podemos aprender para estar preparado?
Las tropas rusas ya están en Ucrania y los ataques distribuidos de denegación de servicio (DDoS) que interrumpen esporádicamente los sitios web del gobierno ucraniano y los proveedores de servicios financieros, indican que el mundo debe estar preparado para un conflicto cibernético.Si bien todas las organizaciones siempre deben estar preparadas para un ataque, es importante revisar el historial de actividades sospechosas en el ámbito cibernético durante la tensión entre esos países en los últimos años, para evaluar qué tipos de actividades esperar y cómo se pueden preparar las organizaciones .Ataques de denegacion de servicio desestabilizadoresEl primer antecedente data del 26 de abril de 2007, cuando Estonia cambió de lugar una estatua que conmemoraba su liberación de la Unión Soviética, a un lugar menos prominente. Esta acción enfureció a la población de habla rusa de Estonia y desestabilizó las relaciones con Moscú. Poco después hubo disturbios en las calles, protestas frente a la embajada de ese país en Moscú y una ola de ataques DDoS contra los sitios web de su gobierno y servicios financieros .
Además, diversos foros rusos tuvieron a publicar las herramientas e instrucciones sobre cómo participar en los ataques DDoS casi inmediatamente después del traslado de la estatua. Estos ataques se dirigen a sitios web pertenecientes al presidente, el Parlamento, la policía, los partidos políticos y los principales medios de comunicación.
El 4 de mayo de 2007, los ataques se intensificaron y, además, comenzaron a tener como objetivo a los bancos. Exactamente siete días después, los ataques cesaron a medianoche de forma abrupta.
Todos implicaron inmediatamente a Rusia, pero atribuir DDoS es casi imposible, por diseño. Ahora se cree mucho que estos ataques fueron obra de la Russian Business Network (RBN), un grupo del crimen organizado en Rusia relacionado con el envío de spam, botnets y esquemas de afiliados farmacéuticos. Sus servicios parecen haber sido “contratados” precisamente durante una semana para realizar estos ataques.
El 19 de julio de 2008, una nueva ola de ataques DDoS comenzó a tener como sitios web gubernamentales y de noticias objetivo en Georgia. Estos ataques misteriosamente se intensificaron el 8 de agosto de 2008, cuando las tropas rusas invadieron la provincia separatista de Osetia del Sur. Inicialmente, se dirigieron a sitios gubernamentales y de noticias de Georgia antes de pasar a incluir instituciones financieras, empresas, educación, medios occidentales y un sitio web de piratas informáticos.
Al igual que en los ataques anteriores a Estonia, apareció un sitio web con una lista de objetivos, así como un conjunto de herramientas con instrucciones para usarlas. También intentó atribuir los ataques a los 'patriotas' rusos, pero la mayor parte del tráfico de ataques se originó en una red de bots que se cree que está controlada por RBN.
Defacement digital y spamLos ataques también incluyen modificaciones de sitios web y campañas masivas de spam diseñadas para obstruir las bandejas de entrada de los habitantes de Georgia. Todo esto parecía estar diseñado para evidenciar carencias del gobierno de Georgia para comunicarse de manera efectiva con sus ciudadanos y el mundo, dejando así muestras de debilidad.
Menos de un año después, comenzó una nueva serie de DDoS en Kirguistán, en enero de 2009. Esto coincidió con el proceso iniciado por dicho país para decidir si renovar el contrato de arrendamiento de una base aérea estadounidense en su territorio. ¿Coincidencia? Parecía ser realizado por la RBN una vez más.
Esto nos lleva a la invasión de Crimea en 2014.
Desinformación y aislamientoLa guerra de información contra Ucrania data de 2009, con muchos ataques coincidiendo con eventos que podrían interpretarse como una amenaza para los intereses rusos, como una cumbre de la OTAN y negociaciones entre Ucrania y la Unión Europea para un Acuerdo de Asociación.
En marzo de 2014, el New York Times informó que el malware “Snake” se había infiltrado en la Oficina del Primer Ministro de Ucrania y en varias embajadas remotas al mismo tiempo que comenzaban las protestas contra el gobierno local. Cerca de fines de 2013 y en 2014, ESET también publicó una investigación que documenta ataques contra objetivos militares y medios de comunicación denominados “ Operación Potao Express ”.
Como antes, un grupo conocido como “Cyber Berkut” ejecutó ataques DDoS y alteraciones web, sin causar daños significativos. Sin embargo, creó mucha confusión.
Al principio del conflicto, soldados sin insignias tomaron el control de las redes de telecomunicaciones de Crimea y el control de Internet en la región, lo que resultó un apagón informativo. Los atacantes abusaron de su acceso a la red de telefonía móvil para identificar a los manifestantes anti-rusos y enviarles mensajes SMS que decían: “Estimado suscriptor, está registrado como participante en un disturbio masivo”.
Después de aislar la capacidad de comunicación de Crimea, los atacantes también manipularon los teléfonos móviles de los miembros del parlamento ucraniano, impidiéndoles reaccionar de manera efectiva a la invasión. Como se dijo en Asuntos Cibernéticos Militares , las campañas de desinformación se pusieron en marcha:
“En una ocasión, Rusia pagó a una sola persona para que tuviera múltiples identidades web diferentes. Un actor en San Petersburgo transmitió que estaba actuando como tres blogueros diferentes en diez blogs, mientras comentaba simultáneamente en otros sitios. Se empleó a otra persona para comentar simplemente noticias y redes sociales 126 veces cada doce horas”.
Paralizar fuentes de energiaEl 23 de diciembre de 2015, aproximadamente la mitad de los residentes de Ivano-Frankivsk, Ucrania, cortaron abruptamente el suministro eléctrico. Se cree que esto fue obra de piratas informáticos rusos patrocinados por el estado. Los ataques comenzaron más de 6 meses antes de que se cortara el suministro eléctrico cuando los empleados de tres centros de distribución de energía abrieron un documento malicioso de Microsoft Office con una macro diseñada para instalar un malware llamado BlackEnergy.
Los atacantes podrán adquirir credenciales de acceso remoto a la red de Supervisión, Control y Adquisición de Datos (SCADA) y tomar el control de los controles de la subestación para comenzar a abrir los interruptores automáticos. Luego, los atacantes procedieron a bloquear esos controles remotos para evitar que los interruptores se cerraran de forma remota para restaurar la energía. Además, los atacantes desplegaron un “limpiador” para bloquear las computadoras utilizadas para controlar la red y, simultáneamente, realizaron un ataque de denegación de servicio telefónico (TDoS) obstruyendo los números de servicio al cliente, frustrando a los clientes que intentaban informar las interrupciones .
Casi un año después, el 17 de diciembre de 2016, las luces se apagaron una vez más en Kiev. ¿Coincidencia? probablemente no
Esta vez, el malware responsable se llamó Industroyer/CrashOverride y era inmensamente más sofisticado . Fue diseñado con componentes modulares que pudieron escanear la red para encontrar controladores SCADA. El ataque no parecía estar relacionado con BlackEnergy ni con la conocida herramienta de limpieza de datos KillDisk, pero no había duda de quién estaba detrás.
Exposicion de correo electronicoEn junio de 2016, durante una reñida campaña electoral presidencial entre Hillary Clinton y Donald Trump, un nuevo personaje llamado Guccifer 2.0 apareció en escena afirmando que había hackeado al Comité Nacional Demócrata y procedió a entregar sus correos electrónicos a Wikileaks. Si bien no se atribuye oficialmente a Rusia, esto apareció junto con otras campañas de desinformación durante las elecciones de 2016 y se cree que fue obra del Kremlin.
Ataques a la cadena de suministro: NotPetyaLos persistentes ataques de Rusia contra Ucrania no habían terminado y aumentaron el 27 de junio de 2017, cuando liberaron una nueva pieza de malware ahora denominada NotPetya.
NotPetya se disfrazó como una nueva variedad de ransomware y se implementó a través de una cadena de suministro hackeada de un proveedor de software de contabilidad ucraniano. Las víctimas no se limitaron a las empresas ucranianas : el malware se propagó por todo el mundo en cuestión de horas y afectó principalmente a organizaciones que tienen operaciones en Ucrania, donde se usaba ese software de contabilidad.
Se estima que NotPetya ha causado al menos USD $10 mil millones en daños en todo el mundo.
Pistas FalsasCuando se inauguraron los Juegos Olímpicos de Invierno en PyeongChang el 9 de febrero de 2018, otro ataque estaba a punto de desencadenarse en el mundo. Ese ataque deshabilitó a todos los controladores de dominio en toda la red olímpica, lo que impidió que todo, desde Wi-Fi hasta las entradas, funcionara correctamente. Milagrosamente, el equipo de TI pudo aislar la red, reconstruir y eliminar el malware de los sistemas y tener todo en funcionamiento para la mañana siguiente.
Entonces llegó el momento de realizar el análisis de malware para intentar determinar quién querría atacar y deshabilitar toda la red olímpica. La atribución de malware es difícil, pero quedaron algunas pistas que podrían ayudar, o podrían ser algunas 'pistas falsas' para señalar a un tercero no involucrado.
La “evidencia” parecía apuntar a Corea del Norte y China. Al final, un brillante trabajo de detective de Igor Soumenkov de Kaspersky Lab encontró una ' pistola humeante ' que apuntaba directamente a Moscú.
Unos años más tarde, justo antes de las festividades navideñas a fines de 2020, se corrió la voz de un ataque a la cadena de suministro dirigido al software SolarWinds Orion utilizado para administrar la infraestructura de red para organizaciones grandes y medianas en todo el mundo, incluidas muchas agencias del gobierno federal de Estados Unidos . Los mecanismos de actualización de software han sido secuestrados y utilizados para implementar una puerta trasera en el sistema.
La naturaleza de alto perfil de las víctimas, combinada con el acceso provisto a través de la puerta trasera desplegada sigilosamente, puede de este uno de los ataques de ciberespionaje más grandes y dañinos de la historia moderna.
La Oficina Federal de Investigaciones (FBI) de EU, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieron un comunicado conjunto diciendo que su investigación no es posible que:
“Un actor de amenazas persistentes avanzadas, probablemente de origen ruso, es responsable de la mayoría o la totalidad de los compromisos cibernéticos en curso recientemente descubiertos de redes gubernamentales y no gubernamentales. En este momento, creemos que esto fue, y continúa siendo, un esfuerzo de recopilación de inteligencia”.
El ciberconflicto ruso en 2022El 13 y 14 de enero de 2022, se desfiguraron numerosos sitios web del gobierno ucraniano y los sistemas se infectaron con malware disfrazado de ataque de ransomware. Múltiples componentes de estos ataques hacen eco del pasado.
El malware no era en realidad ransomware, era simplemente un ' wiper sofisticado ', como se vio en los ataques de NotPetya. Además, se abandonaron muchas 'pistas falsas', lo que implica que podría ser obra de disidentes ucranianos o partisanos polacos.
Distraer, confundir, negar e intentar dividir parece ser el libro de jugadas estándar actuales.El martes 15 de febrero de 2022, se desató una serie de DDoS contra sitios web del gobierno y militares de Ucrania, así como contra tres de los más grandes bancos de ese país. En un movimiento sin precedentes, la Casa Blanca ya ha desclasificado parte de la investigación y atribuyó los ataques al GRU ruso.
[Actualización (2022-02-23)] : El 23 de febrero de 2022, alrededor de las 16:00 hora local en Ucrania, se desató otra ola de ataques DDoS contra el Ministerio de Relaciones Exteriores, el Ministerio de Defensa, el Ministerio del Interior, el Gabinete de Ministros y el Servicio de Seguridad de Ucrania. Los apagones duraron unas dos horas y hasta ahora no se ha atribuido un responsable. ESET y Symantec informaron que se implementó un nuevo limpiaparabrisas de sector de arranque aproximadamente a las 17:00 hora local, que fue precisamente en medio de este ataque de DDoS. Parece haber afectado a un pequeño número de organizaciones relacionadas con las finanzas y los contratistas del gobierno ucraniano. SymantecInformaron que hubo un desbordamiento en las PC en Letonia y Lituania, probablemente oficinas remotas de empresas ucranianas.
[Actualización (2022-02-24)]: A las 02:00 horas de la madrugada del 24 de febrero de 2022, los sitios web del Gabinete de Ministros de Ucrania y los de los Ministerios de Relaciones Exteriores, Infraestructura, Educación y otros no estaban accesibles. Según CNN a las 06:00 horas parecían estar funcionando con normalidad
[Actualización (2022-02-25)]: Para el 25 de febrero de 2022, el conflicto pasó de ser puramente ataques cibernéticos a una guerra terrestre, y estamos viendo actividad de actores no estatales que causar una interrupción e impacto adicional podrían fuera de la zona de conflicto.
Primero, una cuenta de Twitter que representa a Anonymous, el grupo de hacktivistas, declaró una “guerra cibernética” contra el gobierno ruso.
Unas horas más tarde, el prolífico grupo de ransomware, Conti , publicó un mensaje en su sitio web oscuro declarando su “total apoyo al gobierno ruso”.
Ambas declaraciones aumentan el riesgo para todos, no están involucrados en este conflicto. Los ataques de los vigilantes en cualquier dirección aumentan la niebla de la guerra y generan confusión e incertidumbre para todos. La probabilidad de que otros grupos criminales se basen en el teatro ruso intensifiquen los ataques contra los aliados de Ucrania parece alta.
A las 20:00 UTC del 25 de febrero, Conti eliminó su declaración anterior, que parece haber sido demasiado antagónica con el gobierno de los EE. UU. La nueva declaración ha bajado un poco el tono, sugiriendo que solo van a “contraatacar” en respuesta a la agresión cibernética estadounidense.
Otro grupo con el nombre de CoomingProject supuestamente publicó una similar que decía: “Hola a todos, este es un mensaje: ayudaremos al gobierno ruso en caso de ataques cibernéticos contra Rusia”. Su sitio está actualmente fuera de línea y no pudimos confirmar esta publicación.
[Actualización (2022-02-26 y 2022-02-27)]: Durante el fin de semana del 26 y 27 de febrero sucedieron varias cosas.
En la tarde del sábado 26 de febrero, Mykhallo Federov, el viceprimer ministro de Ucrania y su ministro de transformación digital, envió un tweet implorando a las personas con habilidades cibernéticas que se unan a un ejército IT virtual para ayudar a Ucrania a atacar a los activos rusos en represalia por los ataques de piratería que Rusia ha perpetrado contra Ucrania. Una publicación de “IT Army” en una plataforma de mensajes salió una lista de 31 objetivos para atacar.
Mucha gente quiere apoyar a Ucrania, pero no es aconsejable hacer algo como esto para mostrar apoyo. A menos que alguien esté trabajando directamente en nombre de un estado-nación, es probable que esté cometiendo un delito grave.
Además, un investigador de seguridad cibernética en la frontera entre Ucrania y Rumania informó que los sistemas de control fronterizo de Ucrania habían sido atacados con un limpiaparabrisas para interrumpir la salida de los refugiados.
Un grupo de ransomware emitió una declaración oficial sobre el conflicto: Lockbit 2.0 publicó un mensaje en su sitio de la dark web diciendo que nunca atacará la infraestructura crítica de ningún país y que no tomará partido. Afirma ser solo un grupo diverso de “pentesters postpago”, que opera como un negocio, además de destacados: “todo lo que hacemos es brindar capacitación paga a los administradores de sistemas de todo el mundo sobre cómo configurar correctamente una red corporativa”.
La declaración se publicó en ocho idiomas junto con dos imágenes JPEG de la Tierra.
[Actualización (2022-02-28)] : El lunes 28 de febrero fue otro día movido en ciber-ataques, con una gran cantidad de confusión. Hubo más supuestas filtraciones y las facciones eligieron bandos. Partidarios hacktivistas de Ucrania piratearon las estaciones de carga de automóviles eléctricos en Rusia para mostrar mensajes ofensivos a Putin.
Un investigador ucraniano filtró las comunicaciones internas del grupo de ransomware Conti. Nos enteramos de que la principal billetera de Bitcoin del grupo ha tenido más de $ 2,000,000,000 USD depositados en los últimos dos años y que la lealtad es mucho menos frecuente en la clandestinidad que entre el resto de nosotros.
¿Las buenas noticias hasta ahora? Los rusos no han utilizado ataques cibernéticos para destruir o interrumpir los servicios básicos en Ucrania. El malware y la afectación han sido mínimos. Sin embargo, no debemos relajarnos. Es poco probable que esta situación se resuelva por sí sola de una manera que reduzca el riesgo de ataques.
[Update (2022-03-01)] : Las consecuencias de la brecha de Conti por parte de un investigador ucraniano continuaron el martes 1ro de marzo con otra fuga que comprende casi todas las comunicaciones internas, código fuente y aviones operativos. Es probable que lleve un tiempo para determinar su importancia, pero es la mejor mirada que hemos tenido sobre cómo funciona una operación de ransomware criminal a gran escala.
Un equipo de ransomware ruso conocido como TheRedBanditsRU tuiteó una declaración distanciándose de la guerra diciendo: “ No respetamos a Putin como #líder de #Rusia “. El equipo afirma que no está atacando objetivos civiles ucranianos, lo que sugiere que puede estar apuntando al gobierno.
Un grupo de hackers pro-ucraniano que se hace llamar NB65 supuestamente afectó a los servidores que controlan los satélites militares rusos. Esto sigue sin confirmarse, pero, de ser cierto, también podría estar interfiriendo con la capacidad de los espías de occidente para monitorear los aviones de Putin. Más evidencia de que los vigilantes a menudo pueden ser una desventaja.
Pravda recibió una lista hackeada de 120 000 registros de identidad con supuesta información detallada sobre la mayoría de las fuerzas militares rusas involucradas en la guerra. Esta información parece ser verdadera, pero no está claro qué tan antigua es y si representa a las personas que están activamente involucradas en el conflicto.
Además, Proofpoint publicó una investigación que muestra un aumento en phishing dirigida a funcionarios de la OTAN . Este es un recordatorio de que todos debemos esperar un aumento en este tipo de intentos de compromiso, especialmente durante el conflicto.
El libro de jugadas Ruso de guerra cibernética¿Ahora que? Las operaciones cibernéticas seguramente seguirán. Ucrania ha estado bajo una constante oleada de ataques de distintos niveles desde que Viktor Yanukovych fue declarado en 2014.
El documento oficial de Rusia “La Doctrina Militar de la Federación Rusa” de 2010 establece:
Esto sugiere una continuación de los comportamientos anteriores y hace que los ataques DDoS sean un signo potencial de una respuesta inminente.
La guerra informática es el método con el que el Kremlin puede tratar de controlar la respuesta del resto del mundo a las acciones en Ucrania o cualquier otro objetivo de ataque.
Las 'pistas falsas', la atribución errónea, las comunicaciones interrumpidas y la manipulación de las redes sociales son componentes clave del manual de guerra cibernética de Rusia. No necesitan crear una cobertura permanente para las actividades en el terreno y en otros lugares, simplemente deben causar suficiente retraso, confusión y contradicción para permitir que otras simultáneas logren sus objetivos.
Preparar y ProtegerCuriosamente, los Estados Unidos y el Reino Unido están tratando de adelantarse a algunas de las campañas de desinformación y esto podría limitar su eficacia. Sin embargo, no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer preparados y vigilantes.
Por ejemplo, las organizaciones de los países vecinos de Ucrania deben estar preparadas para verse involucradas en cualquier anomalía en línea, incluso si no operan directamente dentro de Ucrania. Ataques anteriores e información errónea se han filtrado a Estonia, Polonia y otros estados limites, aunque solo sea como daño colateral.
Desde una perspectiva global, deberíamos esperar que una variedad de delincuentes de ransomware, phishing y operadores de botnets rusos, arremetan con más fervor de lo normal contra los objetivos que se perciben como sus rivales.
Es poco probable que Rusia ataque directamente a los miembros de la OTAN y provoque la invocación del Artículo V . Sin embargo, sus recientes gestos para controlar a los criminales que operan desde la Federación Rusa y sus socios de la Comunidad de Estados Independientes (CEI) probablemente llegarán a su fin y veremos múltiples amenazas.
Si bien la defensa en profundidad debería ser lo normal en ciber-seguridad, es especialmente importante si podemos esperar un aumento en la frecuencia y la gravedad de los ataques. La desinformación y la propaganda pronto alcanzarán un punto álgido, pero debemos mantener la nariz en el suelo, cerrar las ventanas y monitorear cualquier cosa inusual en nuestras redes a medida que los ciclos del conflicto van y vienen. Porque, como todos sabemos, podrían pasar meses hasta que surjan pruebas de intrusiones digitales originadas en este conflicto ruso-ucraniano.
