Hackers rusos están haciéndose pasar por islamistas y atacando diferentes países
Desde febrero, un misterioso grupo de hackers que se hace llamar Anonymous Sudan ha atacado a docenas de aeropuertos, hospitales y bancos suecos con ataques distribuidos de denegación de servicio. Aparentemente, los ataques son en respuesta a la quema de un Corán frente a la embajada turca en Estocolmo a principios de este año.
Los llamados ataques DDoS, que desactivan los sitios web y los servicios al abrumarlos con el tráfico de Internet, interrumpieron la programación en línea en la emisora pública nacional de Suecia y desactivaron los sitios web de Scandinavian Airlines, la compañía eléctrica estatal Vattenfall y la firma de defensa Saab AB. La amplia cobertura de los medios ha hecho que los ataques — y las afirmaciones de Anonymous Sudan — sean un tema de debate público en Suecia.
El grupo detrás de esta campaña afirma estar formado por hacktivistas de la nación de África Oriental cuyo objetivo es perseguir “a cualquiera que se oponga al Islam.” Pero una inspección más cercana de los registros de redes sociales de Anonymous Sudan — y los datos de los ataques — muestran que el grupo no es sudanés ni islamista, según Mattias Wåhlén, quien dirigió una investigación sobre los ataques. Mattias Wåhlén trabaja para Truesec, una de las mayores empresas de ciberseguridad de Suecia.
Hackers rusos
Wåhlén afirma que Anonymous Sudan muestra signos de ser una unidad bien organizada de rusos con un conocimiento matizado de la política sueca y los problemas sociales. Su aparente motivación es crear ataques diseñados para amplificar las tensiones con la minoría musulmana del país y presionar a Turquía para que se mantenga firme en rechazar la apuesta de Suecia por unirse a la Organización del Tratado del Atlántico Norte (OTAN). Si tuvieran éxito, podría hacer que Suecia sea más vulnerable a futuros ataques.
La información disponible públicamente sobre el canal de Telegram del grupo contenía pistas sobre sus verdaderos orígenes, según Wåhlén. En su página de biografía, Anonymous Sudan mostró su idioma principal como ruso y su ubicación como Rusia. El grupo también se alineó con Killnet, un grupo de hackers pro-rusos que está dirigido a organizaciones y países opuestos a la guerra en Ucrania. Además, una cuenta oficial perteneciente al colectivo de hackers Anonymous ha negado cualquier conexión con el grupo.
Otra pista es que Anonymous Sudan parece estar bien financiado. En lugar de usar redes de computadoras infectadas para lanzar ataques a bajo precio —, la forma habitual en que se llevan a cabo los ataques de hacktivistas —, el grupo alquiló 61 servidores en Alemania desde División SoftLayer de IBM. El alquiler les permitió llevar a cabo sus operaciones, ocultándolas detrás de capas de anonimato, según la firma sueca de ciberseguridad, Baffin Bay Networks. Dos semanas después de que comenzaran los ataques de Anonymous Sudan, Baffin Bay trabajó con IBM para desactivar los servidores.
“IBM trabaja con socios de la industria y agencias de aplicación de la ley para identificar y abordar el uso malicioso de la plataforma IBM Cloud, como sucedió en este caso. Apreciamos la asociación de Baffin Bay Networks en este asunto”.
Confirmación de ataques
Scandinavian Airlines no devolvió mensajes sobre sus interrupciones. SVT y Vattenfall confirmaron sus incidentes. Saab declinó hacer comentarios.
Mientras que Wåhlén y su equipo no pudieron determinar si Anonymous Sudan estaba formado por empleados del gobierno ruso o hacker pro-Rusia que trabajaban de forma independiente, Katarzyna Zysk, profesor de relaciones internacionales en el Instituto Noruego de Estudios de Defensa en Oslo, dijo que el momento y la organización de los ataques, el conocimiento de los hackers sobre puntos de fricción religiosa y política en Suecia, y las similitudes de ataques con otras operaciones de influencia rusas la llevaron a concluir que el grupo estaba controlado o guiado por los servicios de inteligencia de Rusia.
“Esta estrategia de crear caos es uno de los principales medios que Rusia ha estado utilizando contra Suecia para complicar su adhesión de la OTAN. Todas estas campañas se mueven en la misma dirección.”
Anonymous Sudan, por su parte, ha desestimado las afirmaciones de que trabaja en nombre de Rusia. “No tenemos nada que ver con Rusia”, escribió el grupo en Telegram, después de que Truesec publicó un informe en febrero sobre el grupo. “Los ayudamos porque nos ayudaron antes, y esta es una forma de retribuir.”
Los ataques Anonymous Sudan demuestran que los presuntos hackers rusos están encontrando nuevas formas de entrometerse en los procesos políticos de los opositores democráticos del país. A medida que la guerra del presidente Vladimir Putin en Ucrania avanza en su segundo año, los hackers de Rusia se están volviendo cada vez más activos en el avance de los intereses geopolíticos del país.
Grupo muy activo
En solo unos meses, Anonymous Sudan se ha convertido en uno de los grupos hacktivistas más prolíficos en Internet y en un vehículo para promover una variedad de causas rusas. Si bien el grupo ha lanzado ataques contra países como Dinamarca, Francia, Alemania, India e Israel, los expertos creen que su objetivo principal es erosionar el apoyo a la expansión de la OTAN, lo que fortalecería la defensa del norte de Europa contra la agresión rusa.
Después de que Rusia invadió Ucrania el año pasado, Suecia y su aliado cercano Finlandia abandonaron su política de larga data de abstenerse de alianzas militares y decidieron postularse para unirse a la organización. Los 30 miembros existentes debían estar de acuerdo, y desde el principio el presidente de Turquía, Recep Tayyip Erdogan dijo que no apoyaría el movimiento.
El gobierno de Erdogan ha estado molesto por las actividades de una minoría kurda grande y políticamente activa en Suecia. Esta incluye individuos alineados con grupos que Turquía considera terroristas.
En junio pasado, Suecia, Finlandia y Turquía llegaron a un acuerdo sobre medidas para garantizar un camino a seguir. Si bien los líderes suecos dicen que desde entonces han cumplido todas las solicitudes de Turquía, las negociaciones se detuvieron en enero después de que un provocador de extrema derecha quemara el Corán. El incidente sucedió menos de dos semanas después de que activistas kurdos colgaron una efigie de Erdogan de una farola cerca del Ayuntamiento de Estocolmo.
La quema del Corán ocurrió en un contexto político “ que ya era muy sensible ” dijo Diana Selck-Paulsson, investigadora de Orange Cyberdefense, una división de la empresa de telecomunicaciones francesa Orange S.A., en Malmö, Suecia. “Y la reacción cibernética de Anonymous Sudan, al observar el momento y el carácter pro-ruso, se siente bastante calculada.”
Ofensiva cibernética rusa
A Wåhlén, que trabajó 35 años como analista en los servicios de inteligencia de Suecia antes de unirse a Truesec en 2020, la ofensiva de hacking ruso “explotó de manera experta” vulnerabilidades políticas — a saber, la necesidad de Suecia de estar en “buena lid con Turquía” y las luchas del país para acoger a miles de refugiados musulmanes — “para dificultar la campaña de la OTAN en Suecia.”
Según SVT, los agentes rusos también salieron a las calles de las capitales europeas a raíz de la quema del Corán como parte de una operación destinada a sembrar discordia entre las naciones europeas y Turquía. Documentos filtrados al exiliado activista opositor ruso Mikhail Khodorkovsky demostró que Rusia organizó protestas falsas en ciudades como París, donde las personas que afirmaban ser ucranianas mostraban pancartas anti-turcas, quemaron una bandera turca y posaron para fotos con los brazos en alto haciendo saludos nazis.
Si bien es imposible saber exactamente cuán exitosos han sido estos esfuerzos rusos, en abril, Erdogan instruyó al parlamento de Turquía para que ratificara la entrada de Finlandia en la OTAN — dejando atrás a Suecia. Sus perspectivas de unirse a la alianza siguen siendo inciertas.
Truesec fue fundada en 2005 por Marcus Murray, un ex guardabosques de operaciones especiales en la armada sueca, para proteger a las organizaciones suecas en un momento en que las mayores amenazas para las redes informáticas eran los gusanos y virus que se extendían rápidamente. Pero a medida que evolucionaron los ataques de hacking, Truesec creció en conjunto, y la compañía ahora tiene 300 empleados.
Guerra con Ucrania
Desde que Rusia invadió Crimea en 2014, un acto que Estocolmo denunció, los expertos dicen que el ritmo de los ataques cibernéticos, la desinformación y las provocaciones militares que emanan de Rusia ha aumentado dramáticamente. Los operativos rusos han usado una variedad de métodos para tratar de manipular la opinión pública en Suecia sobre Ucrania y una posible oferta de la OTAN. Esto incluye la publicación de falsificaciones de documentos del gobierno sueco.
En la primera semana de mayo, cuando el primer ministro de Suecia y otros líderes nórdicos se reunieron con el presidente de Ucrania en Finlandia para prometer un apoyo continuo a la defensa de Ucrania, una nueva ronda de ataques se dirigió a la policía y las agencias fiscales de Suecia, así como a su autoridad de supervisión financiera. Un grupo pro-ruso se atribuyó la responsabilidad de los ataques en las redes sociales.
“Cuando tomamos medidas, se reagrupan y regresan en nuevas formaciones. “Son competentes y persistentes.”
Peder Sjölander, director de información de la agencia tributaria
Si bien las campañas cibernéticas contra Suecia todavía son pálidas en comparación con las dirigidas a Ucrania y los estados bálticos, los esfuerzos rusos para dar forma a la narrativa internacional sobre el país nórdico se han vuelto más obvios en los últimos años. Desde la crisis de refugiados de 2015, que vio al país acoger a un gran número de personas que huían de la guerra y la pobreza, los medios de comunicación controlados por el Kremlin han tratado de retratar a Suecia como un estado en quiebra plagado de disturbios suburbanos, crímenes y terrorismo a raíz de la migración incontrolada.