Cómo ha utilizado Rusia los ciberataques para apoyar sus operaciones militares en Ucrania
Microsoft ha revelado la verdadera escala de los ataques cibernéticos respaldados por Rusia contra Ucrania desde la invasión. Según Microsoft, Rusia ha lanzado cientos de intentos de ciberataques dirigidos a la infraestructura del país y a los ciudadanos ucranianos.
Estos ataques también incluyen el uso de malware destructivo diseñado para desactivar sistemas críticos e interrumpir el acceso de los civiles a servicios vitales críticos e información confiable.
“Comenzando justo antes de la invasión, hemos visto al menos seis actores de estados-nación alineados con Rusia lanzar más de 237 operaciones contra Ucrania. Estos incluyeron ataques destructivos que están en curso y amenazan el bienestar civil”.
“Los ataques destructivos también han ido acompañados de amplias actividades de espionaje e inteligencia. […] También hemos observado actividades limitadas de ataques de espionaje que involucran a otros estados miembros de la OTAN, y alguna actividad de desinformación”.
Tom Burt, vicepresidente corporativo de Microsoft para seguridad y confianza del cliente.
El Microsoft Threat Intelligence Center (MSTIC) observó grupos de amenazas vinculados a los servicios de inteligencia rusos GRU, SVR y FSB (incluidos APT28, Sandworm, Gamaredon, EnergeticBear, Turla, DEV-0586 y UNC2452/2652) posicionamiento previo para el conflicto e intensificar sus ataques contra Ucrania y sus aliados a partir de marzo de 2021.
Microsoft también notó un vínculo directo entre los ataques cibernéticos y las operaciones militares. Los tiempos de los intentos de ciberataques y las infracciones coinciden estrechamente con el tiempo de los ataques con misiles y los asedios coordinados por el ejército ruso.
Ataques destructivos
Entre los ataques destructivos que Microsoft observó (casi 40 entre el 23 de febrero y el 8 de abril) contra docenas de organizaciones en Ucrania, hay datos reveladores. Microsoft dice que el 32% se dirigió directamente a organizaciones gubernamentales ucranianas y más del 40 % a organizaciones de infraestructura crítica.
Microsoft ha visto múltiples familias de malware aprovechadas por atacantes rusos para actividades destructivas contra objetivos ucranianos. Por ejemplo, WhisperGate/WhisperKill, FoxBlade (también conocido como HermeticWiper), SonicVote (también conocido como HermeticRansom ), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (también conocido como IsaacWiper) y FiberLake (también conocido como DoubleZero ).
MSTIC ha atribuido tres de ellos (es decir, FoxBlade, CaddyWiper e Industroyer2) a Sandworm. Se cree que sus miembros son hackers militares que forman parte de la Unidad 74455 del Centro Principal de Tecnologías Especiales (GTsST) del GRU ruso.
“WhisperGate, FoxBlade, DesertBlade y CaddyWiper son familias de malware que sobrescriben datos y hacen que las máquinas no se puedan iniciar. FiberLake es una utilidad de .NET que se utiliza para la eliminación de datos”.
Unidad de Seguridad Digital (DSU) de Microsoft.
SonicVote es un cifrador de archivos que a veces se usa junto con FoxBlade. Industroyer2 apunta específicamente a la tecnología operativa para lograr efectos físicos en la producción y los procesos industriales.
Microsoft también descubrió que el malware WhisperGate se usó en ataques de borrado de datos contra Ucrania a mediados de enero. Esto ocurrió antes de la invasión de febrero; el malware fue utilizado disfrazado de ransomware.
Ataques precisos
Como dijo el presidente y vicepresidente de Microsoft, Brad Smith, estos ataques en curso con malware destructivo contra las organizaciones e infraestructuras ucranianas “han sido dirigidos con precisión”.
Son parte de una “ola masiva de guerra híbrida”, como dijo el Servicio de Seguridad de Ucrania (SSU), justo antes de la invasión de Rusia.
La naturaleza altamente dirigida y programada con precisión de los ataques cibernéticos respaldados por Rusia de este año contra Ucrania contrasta con el ataque de malware mundial indiscriminado NotPetya. NotPetya afectó a países de todo el mundo (incluida Ucrania) en 2017 y también estuvo vinculado a los hackers rusos del GRU Sandworm.
Gran parte de lo que Microsoft ha observado hasta la fecha sugiere que los atacantes DEV0586 e IRIDIUM están operando con moderación en la ejecución de ataques destructivos al limitar las implementaciones de malware a redes objetivo específicas.
Sin embargo, los atacantes del estado nación alineados con Rusia están buscando activamente el acceso inicial al gobierno y las organizaciones de infraestructura crítica en todo el mundo. Esto sugiere posibles objetivos futuros.
El informe de hoy sigue a uno publicado por Google Threat Analysis Group (TAG) a finales de marzo. Aquel informe revela ataques de phishing coordinados por un grupo de amenazas con sede en Rusia dirigidos a la OTAN y al ejército europeo .
Otro informe de Google TAG de principios de marzo sobre actividades maliciosas vinculadas a la guerra rusa en Ucrania expuso los esfuerzos de los hackers estatales rusos, chinos y bielorrusos. Estos hackers están buscando comprometer a organizaciones y funcionarios ucranianos y europeos.