Antes del ataque ruso a Ucrania, hubo una serie de amenazas cibernéticas: Ataques de denegación de servicio distribuido (DDoS) que interrumpieron esporádicamente los sitios web del gobierno ucraniano y los proveedores de servicios financieros. ¿Qué podemos aprender de la historia para estar preparados? Una línea de tiempo de 2007 a 2022. Un comentario de Chester Wisniewski, científico investigador principal de Sophos.
“Todas las empresas deben estar siempre preparadas para ataques desde todas las direcciones. Pero puede ser útil saber qué buscar cuando aumenta el riesgo de un ataque. He decidido revisar la historia de las actividades conocidas o sospechadas del estado ruso en el entorno cibernético y evaluar qué tipos de actividades esperar y cómo se pueden preparar las organizaciones". Chester Wisniewski, Sophos.
Ataques de denegación de servicio desestabilizadores
La actividad más antigua conocida se remonta al 26 de abril de 2007, cuando el gobierno de Estonia trasladó una estatua que conmemoraba la liberación de Estonia por parte de la Unión Soviética de los nazis a un lugar menos prominente. Esta acción enfureció a la población de habla rusa de Estonia y desestabilizó las relaciones con Moscú. Poco después, hubo disturbios en las calles, protestas frente a la embajada de Estonia en Moscú y una ola de ataques DDoS contra los sitios web del gobierno y los servicios financieros de Estonia.
Las herramientas e instrucciones completamente preparadas sobre cómo participar en los ataques DDoS aparecieron en los foros rusos casi inmediatamente después de que se colocó la estatua. Estos ataques se dirigieron a sitios web pertenecientes al Presidente, el Parlamento, la policía, los partidos políticos y los principales medios de comunicación.
Mientras que otros "patriotas rusos" fueron llamados a ayudar a castigar a Estonia, este no fue un movimiento de base* que surgió de la nada con herramientas y una lista de objetivos. La misma táctica fue utilizada más tarde por Anonymous para defender a Wikileaks usando una herramienta llamada Low Orbit Ion Canon (LOIC).
Acciones desde 2007
El 4 de mayo de 2007, los ataques se intensificaron y también se dirigieron a bancos. Exactamente siete días después, a la medianoche, los ataques terminaron tan abruptamente como habían comenzado. Todos culparon inmediatamente a Rusia, pero atribuirlo a ataques distribuidos de denegación de servicio es casi imposible. Ahora se cree ampliamente que estos ataques DDoS fueron obra de Russian Business Network (RBN), un notorio grupo del crimen organizado en Rusia relacionado con el envío de spam, botnets y programas de afiliados farmacéuticos. Aparentemente, sus servicios fueron "contratados" durante exactamente una semana para llevar a cabo estos ataques.
El 19 de julio de 2008 comenzó una nueva ola de ataques DDoS, orientación a sitios web gubernamentales y de noticias en Georgia. Estos ataques misteriosamente se intensificaron dramáticamente el 8 de agosto de 2008, cuando las tropas rusas invadieron la provincia separatista de Osetia del Sur. Los ataques se dirigieron inicialmente contra sitios gubernamentales y de noticias de Georgia, y más tarde también contra instituciones financieras, empresas, instituciones educativas, medios de comunicación occidentales y un sitio web de piratería informática de Georgia.
Al igual que en ataques anteriores a Estonia, apareció un sitio web con una lista de objetivos y un conjunto de herramientas con instrucciones sobre cómo usarlas. Aquí también se ha intentado atribuir los ataques a los “patriotas” que resistieron la agresión georgiana. Sin embargo, la mayor parte del tráfico de ataque real provino de una gran botnet conocida que se creía que estaba controlada por RBN.
Desfiguración digital y spam
Los ataques a Georgia también incluyeron la desfiguración de sitios web y campañas masivas de spam diseñadas para obstruir las bandejas de entrada georgianas. Aparentemente, todo esto sirvió para debilitar la confianza en la capacidad de Georgia para defenderse y gobernarse a sí misma, y para evitar que el gobierno se comunicara de manera efectiva con sus ciudadanos y el mundo exterior.
Menos de un año después, en enero de 2009, comenzó otra serie de ataques DDoS en Kirguistán. Esto sucedió al mismo tiempo que el gobierno de Kirguistán decidió extender el contrato de arrendamiento de una base de la fuerza aérea estadounidense en su país. ¿Un accidente? Parecía que RBN estaba tomando la acción nuevamente, pero esta vez no fue una estratagema de los "patriotas" que expresaron sus opiniones digitales.
Esto nos lleva al conflicto cinético más reciente, la invasión de Crimea en 2014.
desinformación y aislamiento
Se ha librado una guerra de información de bajo nivel contra Ucrania desde 2009, con muchos ataques coincidiendo con eventos que podrían interpretarse como una amenaza para los intereses rusos, como una cumbre de la OTAN y las negociaciones entre Ucrania y la UE sobre un acuerdo de asociación.
En marzo de 2014, The New York Times informó que el malware Snake se infiltró en la oficina del primer ministro de Ucrania y en varias embajadas remotas cuando comenzaron las protestas contra el gobierno en Ucrania. A fines de 2013 y principios de 2014, ESET también publicó investigaciones que documentan ataques contra objetivos militares y medios de comunicación, denominada Operación Potao Express.
Como antes, un grupo cibernético autóctono llamado "Cyber Berkut" llevó a cabo ataques DDoS y desfiguraciones web, pero sin causar daños importantes. Sin embargo, creó mucha confusión, y eso solo tiene implicaciones en tiempos de conflicto.
Al comienzo del conflicto, soldados sin insignias tomaron el control de las redes de telecomunicaciones de Crimea y el único centro de Internet de la región, provocando un congelamiento de la información. Los atacantes hicieron un mal uso de su acceso a la red celular para identificar a los manifestantes antirrusos y enviarles mensajes de texto que decían: "Estimado suscriptor, está registrado como participante en un motín masivo".
Después de aislar la capacidad de comunicación de Crimea, los atacantes también falsificaron los teléfonos móviles de los miembros del parlamento de Ucrania, lo que les impidió responder de manera efectiva a la invasión. Como se señaló en Military Cyber Affairs, las campañas de desinformación estaban en pleno apogeo:
“En un caso, Rusia pagó a una sola persona para tener varias identidades web diferentes. Un actor en San Petersburgo declaró que actuaban como tres blogueros diferentes con diez blogs y comentaban en otros sitios web al mismo tiempo. Se contrató a otra persona para comentar noticias y redes sociales 126 veces cada XNUMX horas".
Fuente de alimentación paralizante
El 23 de diciembre de 2015, alrededor de la mitad de los residentes de Ivano-Frankivsk (Ucrania) sufrieron un corte repentino de electricidad. Se cree ampliamente que esto fue obra de piratas informáticos patrocinados por el estado ruso. Los primeros ataques comenzaron más de seis meses antes del apagón, cuando los trabajadores de tres centros de distribución de energía abrieron un documento infectado de Microsoft Office que contenía una macro diseñada para instalar un malware llamado BlackEnergy.
Los atacantes lograron acceder de forma remota a los datos de la red SCADA (Supervisory Control and Data Acquisition) y tomaron el control de los controles de la subestación para abrir los interruptores automáticos. Luego comprometieron los controles remotos para evitar que los interruptores pudieran cerrarse para restaurar la energía. Además, los atacantes utilizaron un "limpiador" para destruir las computadoras utilizadas para controlar la red, al mismo tiempo que realizaban un ataque telefónico de denegación de servicio (TDoS), inundando los números de servicio al cliente y, por lo tanto, los clientes que intentaron informar las interrupciones obtuvieron frustrado.
Casi un año después, el 17 de diciembre de 2016, las luces se apagaron nuevamente en Kiev. ¿Un accidente? Probablemente no.
Esta vez, el malware responsable se llamaba Industroyer/CrashOverride y era mucho más sofisticado. El malware estaba equipado con componentes modulares que podían escanear la red para encontrar controladores SCADA y hablar su idioma. También tenía un componente de limpiaparabrisas para borrar el sistema. El ataque parecía no estar relacionado con BlackEnergy o la conocida herramienta de limpieza KillDisk, pero no había duda de quién estaba detrás.
Divulgación de correo electrónico
En junio de 2016, durante la reñida campaña presidencial entre Hillary Clinton y Donald Trump, surgió una nueva figura llamada Guccifer 2.0 que afirmó haber pirateado el Comité Nacional Demócrata y reenviado sus correos electrónicos a Wikileaks. Si bien no se atribuye oficialmente a Rusia, surgió junto con otras campañas de desinformación durante las elecciones de 2016 y se cree ampliamente que es la mano del Kremlin.
Ataques a la cadena de suministro: NotPetya
Los persistentes ataques de Rusia a Ucrania aún no habían terminado y el 27 de junio de 2017 exacerbaron la situación al lanzar un nuevo malware llamado NotPetya. Disfrazado como un nuevo ransomware, NotPetya se distribuyó a través de una cadena de suministro pirateada de un proveedor de software de contabilidad ucraniano. De hecho, no era ransomware en absoluto. Cifraba una computadora pero no se podía descifrar, borrando efectivamente el dispositivo y dejándolo inutilizable.
Las víctimas no se limitaron a las empresas ucranianas. El malware se propagó por todo el mundo en cuestión de horas y afectó principalmente a organizaciones que operan en Ucrania, donde se implementó el software de contabilidad trampa explosiva. Se estima que NotPetya ha causado al menos $ 10 mil millones en daños en todo el mundo.
Bajo una bandera falsa
Cuando se inauguraron los Juegos Olímpicos de Invierno de PyeongChang el 9 de febrero de 2018, era inminente otro ataque que tenía al mundo en vilo. El ataque de malware deshabilitó todos los controladores de dominio en la red olímpica, lo que impidió que todo, desde WiFi hasta las taquillas, funcionara correctamente. Milagrosamente, el equipo de TI pudo aislar la red, restaurar y eliminar el malware de los sistemas y, a la mañana siguiente, todo volvía a funcionar sin errores.
Luego llegó el momento de ejecutar un análisis de malware para averiguar quién intentaba atacar y apagar toda la red de Olympia. La atribución de malware es difícil, pero hubo algunas pistas que podrían ser útiles o eran pistas falsas que deberían apuntar a un tercero no involucrado. La "evidencia" parecía apuntar a Corea del Norte y China, pero era demasiado obvio como para culpar a Corea del Norte. Al final, Igor Soumenkov de Kaspersky Lab, con un brillante trabajo de detective, encontró una pista candente que apuntaba directamente a Moscú.
Unos años más tarde, justo antes del final de las vacaciones de 2020, se conoció un ataque a la cadena de suministro dirigido al software SolarWinds Orion utilizado para administrar la infraestructura de red de grandes y medianas empresas en todo el mundo, incluidas muchas agencias federales de EE. UU. Los mecanismos de actualización del software han sido secuestrados y utilizados para instalar una puerta trasera.
La prominencia de las víctimas combinada con el acceso proporcionado por la puerta trasera instalada sigilosamente hace que este ataque sea posiblemente uno de los ataques de ciberespionaje más grandes y dañinos de la historia moderna.
La Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieron una declaración conjunta en la que afirman que sus investigaciones indican que... :
“… un actor de amenazas persistente avanzado, probablemente de origen ruso, es responsable de la mayoría o la totalidad de los ataques cibernéticos en curso descubiertos recientemente en redes gubernamentales y no gubernamentales. En este punto, creemos que esta es una acción de inteligencia y seguirá siéndolo".
Ciberconflicto ruso en 2022
En 2022, las tensiones ciberpolíticas están aumentando nuevamente y están a punto de ser probadas críticamente. El 13 y 14 de enero de 2022, se desfiguraron numerosos sitios web del gobierno ucraniano y los sistemas se infectaron con malware disfrazado de ransomware.
Varios componentes de estos ataques recuerdan al pasado. El malware no era ransomware, pero solo un limpiador sofisticado, como se usa en los ataques de NotPetya. Además, se han dejado muchas pistas falsas, lo que sugiere que podría ser obra de disidentes ucranianos o partisanos polacos. Distraer, confundir, negar y tratar de dividir parece ser el repertorio estándar ahora.
El martes 15 de febrero de 2022, se lanzó una serie de ataques DDoS contra sitios gubernamentales y militares de Ucrania, así como contra tres de los bancos más grandes de Ucrania. En un movimiento sin precedentes, la Casa Blanca ya ha desclasificado cierta información de inteligencia, atribuyendo los ataques al GRU ruso.
El libro de jugadas de la guerra cibernética rusa
¿Ahora que? Independientemente de si la situación se intensifica aún más, las operaciones cibernéticas ciertamente continuarán. Desde la destitución de Viktor Yanukovych en 2014, Ucrania se ha enfrentado a una andanada constante de ataques que han tenido altibajos de diversos grados.
Según la "Doctrina militar de la Federación Rusa" oficial de Rusia de 2010: “la realización previa de operaciones de guerra de información para lograr objetivos políticos sin el uso de la fuerza militar y, posteriormente, en aras de una respuesta positiva de la comunidad mundial al uso de la fuerza militar”.
Esto sugiere una continuación de los comportamientos previos al conflicto y hace que los ataques DDoS sean un signo potencial de una respuesta cinética inminente. Con la guerra de información, el Kremlin puede intentar dirigir la reacción del resto del mundo a las acciones en Ucrania u otros objetivos.
El seguimiento erróneo, la atribución errónea, las comunicaciones interrumpidas y la manipulación de las redes sociales son componentes importantes del concepto de guerra de información de Rusia. No es necesario que proporcionen un camuflaje permanente para las actividades sobre el terreno o en otros lugares, sino que simplemente proporcionen suficiente demora, confusión y contradicción para permitir que otras operaciones concurrentes logren sus objetivos.
Preparar y proteger
Curiosamente, los Estados Unidos y el Reino Unido intentan prevenir algunas de las campañas de desinformación, lo que podría limitar su eficacia. Sin embargo, no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer preparados y vigilantes.
Por ejemplo, las organizaciones de los países vecinos de Ucrania deben estar preparadas para verse involucradas en estafas en línea, incluso si no operan directamente en Ucrania. Ataques anteriores e información errónea se han filtrado a Estonia, Polonia y otros estados limítrofes, aunque solo como daño colateral. Desde una perspectiva global, deberíamos esperar que una serie de autónomos "patrióticos" en Rusia, es decir, delincuentes de ransomware, autores de phishing y operadores de botnets, actúen con un celo aún mayor de lo habitual contra objetivos percibidos como contrarios a la patria.
Es poco probable que Rusia ataque directamente a los miembros de la OTAN y se arriesgue a la promulgación del Artículo V. Sin embargo, es probable que los recientes gestos de Rusia para contener a los delincuentes que operan fuera de la Federación Rusa y sus socios en la Comunidad de Estados Independientes (CEI) lleguen a su fin y, en cambio, las amenazas se multipliquen.
Si bien la defensa en profundidad debería ser lo más normal del mundo, es especialmente importante cuando nos enfrentamos a un aumento en la frecuencia y gravedad de los ataques. La desinformación y la propaganda pronto alcanzarán su punto máximo, pero debemos estar en guardia, cerrando las escotillas y monitoreando nuestras redes en busca de cualquier cosa inusual a medida que los ciclos de conflicto disminuyen, incluso si terminan pronto. Porque, como todos sabemos, pueden pasar meses antes de que surja evidencia de una intrusión digital relacionada con el conflicto ruso-ucraniano.
Chester Wisniewski, científico investigador principal de Sophos (Imagen: Sophos).
Sobre el autor Chester Wisniewski
Chester Wisniewski es científico investigador principal en Sophos, un proveedor líder de soluciones de seguridad de última generación. Cuenta con más de 20 años de experiencia profesional.
Chester analiza la gran cantidad de datos de ataques recopilados por SophosLabs para destilar y compartir información relevante para brindarle a la industria una mejor comprensión de las amenazas en evolución, el comportamiento de los atacantes y las medidas de seguridad efectivas. Ha ayudado a empresas a desarrollar estrategias de defensa a escala empresarial, se desempeñó como líder técnico en el desarrollo del primer dispositivo de seguridad de correo electrónico de Sophos y asesoró sobre la planificación de seguridad para algunas de las marcas globales más grandes.
Chester tiene su sede en Vancouver y es un orador habitual en eventos de la industria, como la Conferencia RSA, el Boletín de virus, los BSides de seguridad (Vancouver, Londres, Gales, Perth, Austin, Detroit, Los Ángeles, Boston y Calgary) y otros. Reconocido como uno de los mejores investigadores de seguridad de la industria, es consultado regularmente por la prensa, incluidas BBC News, ABC, NBC, Bloomberg, CNBC, CBC y NPR.
Cuando no está luchando contra el ciberdelito, Chester pasa su tiempo libre cocinando, andando en bicicleta y asesorando a los recién llegados a la seguridad a través de su trabajo voluntario en InfoSec BC. Chester está en Twitter (@chetwisniewski).
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.