Una mirada retrospectiva a seis meses de la guerra de Ucrania: ¿qué estrategia siguieron los ciberataques rusos y qué tan efectivos han sido hasta ahora? La ciberguerra se llevó a cabo según 4 estrategias: destrucción, desinformación, hacktivismo y e-espionaje. Un comentario de Chester Wisniewski, científico investigador principal de Sophos.
Cuando Rusia invadió Ucrania el 24 de febrero de 2022, a pesar de muchos intentos de evaluación, ninguno de nosotros sabía qué papel podrían desempeñar los ciberataques en una invasión a gran escala. Rusia había estado realizando ataques cibernéticos en Ucrania desde que ocupó Crimea en 2014, y parecía inevitable que estas herramientas siguieran desempeñando un papel. especialmente después de los ataques a la red eléctrica de Ucrania y la propagación mundial del gusano NotPetya.
Uno de los desafíos al evaluar la efectividad o el impacto de los ataques cibernéticos es ver cómo encajan en el "panorama general". Cuando estamos en medio de un conflicto, la "niebla de información" de la guerra a menudo oscurece y distorsiona nuestra visión de la efectividad de una acción en particular. Ahora, más de seis meses después de la guerra, miremos hacia atrás y tratemos de determinar el papel de las armas cibernéticas hasta ese momento.
Más de 1.100 ciberataques en Ucrania
Según el Servicio Estatal de Ucrania para Comunicaciones Especiales y Protección de la Información (SSSCIP), el Ucrania atacó 1.123 veces desde el comienzo de la guerra. El 36,9 % de los objetivos fueron el gobierno/defensa y los ataques consistieron en un 23,7 % de código malicioso y un 27,2 % de recopilación de inteligencia.
El componente cibernético de la guerra comenzó casi 24 horas antes de la invasión terrestre. En mi diario del conflicto, anoté que los ataques DDoS y los ataques de limpiaparabrisas comenzaron alrededor de las 23:16 p. m. hora local del 00 de febrero. Inmediatamente después se volvió muy confuso, ya que se usaba una gran cantidad de ataques y técnicas en paralelo. Para analizar mejor la intensidad, la efectividad y los objetivos, he dividido estos ataques en cuatro categorías: destrucción, desinformación, hacktivismo y espionaje.
Estrategia 1: Destrucción
Dado que la guerra no avanzaba según el plan de Rusia, algunas de estas técnicas se han utilizado de manera diferente en las diferentes etapas de la guerra. La primera y más obvia fue la fase de malware destructivo. A partir de enero de 2022, según SSSCIP, los atacantes rusos y pro-rusos comenzaron a lanzar malware que altera el sector de arranque y limpiaparabrisas con el objetivo de borrar el contenido de un sistema o dejarlo inoperable. Se dirigieron principalmente a proveedores de servicios ucranianos, infraestructura crítica y agencias gubernamentales.
Estos ataques continuaron durante las primeras seis semanas del conflicto y luego se debilitaron. La mayor parte de esta actividad se concentró entre el 22 y el 24 de febrero, es decir, inmediatamente antes y durante la invasión. Estas actividades tuvieron un impacto en varios sistemas en Ucrania, pero finalmente no parecen haber tenido un impacto positivo en el éxito de la invasión terrestre rusa.
Una razón puede ser que unos días antes de estos ataques, el gobierno ucraniano trasladó muchas de sus funciones oficiales en línea a una infraestructura en la nube administrada y controlada por terceros que no participaron en los combates. Esto evitó interferencias y permitió a Ucrania mantener muchos servicios y comunicarse con el mundo. Esto recuerda un movimiento similar cuando Georgia trasladó sitios web clave del gobierno a terceros países durante los ataques DDoS de Rusia al país en 2008.
El ataque de Viasat fue muy efectivo y afectó también a los aerogeneradores alemanes
Otro ataque devastador fue el ataque a los módems de comunicaciones por satélite Viasat desplegados en Europa Central y Oriental justo cuando comenzaba la invasión. Según Raphael Satter de Reuters, un alto funcionario de ciberseguridad ucraniano explicó que esto resultó en "una pérdida realmente enorme de comunicaciones justo al comienzo de la guerra". Este ataque también infligió daños colaterales a los miembros de la OTAN y interrumpió, entre otras cosas, el funcionamiento de más de 5.800 aerogeneradores en Alemania.
Este es probablemente el más efectivo de todos los ataques realizados hasta ahora durante la guerra. Dado que la mayoría de los expertos han especulado que Rusia estaba planeando una guerra de 72 horas, si esta estrategia funcionara, una interrupción en las comunicaciones militares podría haber tenido un impacto negativo significativo en Ucrania. Además, los comandantes ucranianos pudieron reagruparse y establecer conexiones alternativas para minimizar la interrupción. A largo plazo, Rusia ha demostrado tener muchas más dificultades con la cadena de mando que Ucrania. Quizás en parte debido al apoyo de empresas tecnológicas como Microsoft y ESET, así como de las agencias de inteligencia de EE. UU., el éxito de Ucrania en repeler ataques destructivos ha sido impresionante.
El malware Industroyer2 atacó a la empresa de energía ucraniana
Una de las amenazas de malware más sofisticadas dirigidas a la infraestructura crítica fue reconocida y neutralizada cuando se detectó en la red de una empresa de servicios públicos ucraniana. El malware conocido como Industroyer2 era una combinación de limpiadores tradicionales dirigidos a Windows, Linux y Solaris, y malware específico de ICS dirigido a la tecnología operativa (OT) utilizada para controlar y monitorear la red eléctrica.
Microsoft ha señalado en un informe reciente que muchos ciberataques rusos parecen haber sido coordinados con ataques convencionales en Dnipro, Kiev y el aeropuerto de Vinnytsia. Pero todavía no hay evidencia de que el componente cibernético haya contribuido a los aparentes avances en la ofensiva rusa. En mi opinión, las operaciones cibernéticas destructivas hasta ahora casi no han tenido impacto en el resultado de los eventos de guerra reales. Le han dado trabajo extra a mucha gente y han aparecido en muchos titulares, pero lo que no han hecho es marcar una diferencia real en la guerra.
Estrategia 2: desinformación
La estrategia de desinformación se centró en tres grupos: el pueblo ucraniano, la propia Rusia y el resto del mundo. Rusia no es ajena al uso de la desinformación como arma para lograr resultados políticos. La misión original parece haber previsto una victoria rápida y el uso de un gobierno títere. Con este plan, la desinformación sería crítica primero en dos esferas de influencia y luego en tres esferas de influencia a medida que avanza.
El objetivo más obvio es el pueblo ucraniano: deberían (deberían) estar convencidos de que Rusia es un libertador y eventualmente aceptar a un líder pro-Kremlin. Aunque los rusos parecen haber intentado numerosas formas de influencia a través de SMS y las redes sociales tradicionales, la Ucrania cada vez más patriótica hizo que este intento fuera poco probable que tuviera éxito desde el principio.
Desinformación dentro de Rusia
Rusia ha tenido mucho más éxito con la desinformación en casa, su segundo objetivo más importante. Ha prohibido en gran medida a los medios extranjeros e independientes, bloqueado el acceso a las redes sociales y criminalizado el uso de la palabra "guerra" en relación con la invasión de Ucrania. Es difícil medir realmente el impacto de estas acciones en la población general, aunque las encuestas sugieren que la propaganda está funcionando, o al menos la única opinión que se puede expresar públicamente es el apoyo a las "operaciones militares especiales".
El tercer objetivo de la desinformación a medida que avanza la guerra es el resto del mundo. Intentar influir en países no alineados como India, Egipto e Indonesia puede ayudar a disuadirlos de votar en contra de Rusia en las votaciones de las Naciones Unidas y potencialmente persuadirlos para que apoyen a Rusia.
Propaganda para los medios de todo el mundo
Las historias difundidas sobre los laboratorios de armas biológicas estadounidenses, la desnazificación y el presunto genocidio por parte del ejército ucraniano pretenden cuestionar la descripción que los medios occidentales hacen del conflicto. Gran parte de esta actividad parece provenir de personas preexistentes que generan desinformación en lugar de cuentas comprometidas o cualquier tipo de malware.
La desinformación claramente tiene un impacto, pero al igual que los ataques destructivos, no afecta directamente el resultado de la guerra de ninguna manera. Los civiles no dan la bienvenida a las tropas rusas como libertadores, y las fuerzas ucranianas no deponen las armas ni se rinden. Estados Unidos y Europa todavía apoyan a Ucrania y el pueblo ruso parece cauteloso pero no rebelde. En particular, en los últimos días, las fuerzas ucranianas han retomado áreas bajo control ruso e incluso han sido recibidos como libertadores por algunos civiles cerca de Kharkiv.
Estrategia 3: Hacktivismo
🔎 Chester Wisniewski, científico investigador principal de Sophos (Imagen: Sophos).
¿Tomarían las armas cibernéticas los conocidos y altamente experimentados piratas informáticos de Rusia y Ucrania y desencadenarían oleadas de ataques maliciosos, cada uno apoyando a su propio bando? Parecía que ese podría ser el caso al principio de la guerra. Algunos grupos de ciberdelincuencia conocidos como Conti y Lockbit declararon de inmediato que estaban de un lado o del otro, pero la mayoría dijo que no les importaba y que seguirían como de costumbre. Pero vimos una caída significativa en los ataques de ransomware durante unas seis semanas después de la invasión inicial. El volumen normal de ataques se reanudó a principios de mayo, lo que sugiere que los delincuentes, como el resto de nosotros, estaban experimentando interrupciones en la cadena de suministro.
Uno de los grupos más notorios, Conti, hizo declaraciones amenazantes contra Occidente en su sitio de filtración, lo que llevó a un investigador ucraniano a revelar su identidad y prácticas, lo que finalmente llevó a su disolución.
La guerra interna en Conti provocó su disolución.
Por otro lado, los hacktivistas de ambos lados se pusieron a toda marcha en los primeros días de la guerra. Las desfiguraciones web, los ataques DDoS y otros ataques triviales se dirigieron a cualquier cosa vulnerable y claramente identificable como rusa o ucraniana. Sin embargo, la fase no duró mucho y no parece tener ningún efecto duradero. La investigación muestra que estos grupos se aburrieron rápidamente y pasaron a la siguiente distracción. Aquí, también, las actividades no condujeron a efectos materiales en la guerra, sino a bromas, por las cuales los respectivos hacktivistas pueden haber celebrado. Por ejemplo, recientemente un grupo presuntamente pirateó Yandex Taxi y ordenó que todos los taxis fueran al centro de Moscú, lo que provocó un atasco de tráfico.
Categoría 4: espionaje electrónico
La última categoría es la más difícil de cuantificar, ya que evaluar el impacto de algo que es intrínsecamente oscuro es intrínsecamente complicado. La forma más prometedora de estimar cuán extenso se llevó a cabo el espionaje en esta guerra es observar los momentos en que se descubrieron los intentos. Luego puede comenzar a tratar de extrapolar con qué frecuencia los intentos podrían haber tenido éxito, dada la frecuencia con la que no lo fueron.
A diferencia de los ataques destructivos, los ataques de espionaje electrónico son útiles contra todos los objetivos enemigos, no solo contra Ucrania, debido a su naturaleza encubierta y la dificultad asociada para identificarlos. Al igual que con la desinformación, hay mucha más actividad en esta área dirigida a los partidarios de Ucrania que otros tipos de ataques que los aliados de EE. UU. y la OTAN podrían inyectar en la guerra terrestre.
Más ciberataques motivados por la guerra
Las denuncias de ataques contra empresas no ucranianas deben ser consideradas cuidadosamente. No es nada nuevo que Rusia esté atacando a Estados Unidos, la Unión Europea y otros estados miembros de la OTAN con malware, ataques de phishing y robo de datos, pero en algunos casos hay pruebas convincentes de que los ataques están motivados específicamente por la guerra en Ucrania.
En marzo de 2022, el Grupo de Análisis de Amenazas (TAG) de Google publicó un informe que destaca los ataques de phishing rusos y bielorrusos contra ONG y grupos de expertos con sede en EE. UU., el ejército de un país balcánico y un contratista de defensa ucraniano. Proofpoint también publicó una investigación que muestra que los funcionarios de la UE que trabajan en apoyo de los refugiados fueron el objetivo de campañas de phishing lanzadas desde una cuenta de correo electrónico ucraniana supuestamente comprometida previamente por la inteligencia rusa.
Los ataques rusos contra objetivos ucranianos no han disminuido en los últimos seis meses, siempre aprovechando las últimas vulnerabilidades tan pronto como se divulgan públicamente. Por ejemplo, en julio de 2022, un grupo de ciberdelincuencia con sede en Rusia se encontraba entre los actores clave, es decirAprovecharon ampliamente una nueva vulnerabilidad en Microsoft Office llamada "Follina".. Parece que uno de los objetivos de los documentos maliciosos en esta campaña fueron las organizaciones de medios, una herramienta importante durante una guerra.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.