Ciberamenazas en el conflicto Rusia-Ucrania: ¿Qué podemos aprender de la historia para estar preparados?
Con las tropas rusas rompiendo hostilidades con Ucrania, precedidos de todo tipo de ataques de denegación de servicio distribuidos (DDoS) que interrumpen esporádicamente los sitios web del gobierno ucraniano y los proveedores de servicios financieros, no para de hablarse de estar preparados para un conflicto cibernético, tanto si se prolonguen los ataques como las negociaciones de paz.
Aunque todas las empresas deberían estar siempre preparadas para un ataque desde cualquier dirección, puede ser útil saber a qué atenerse cuando el riesgo de ataque aumenta. Chester Wisniewski, investigador principal de Sophos, líder en ciberseguridad de última generación, revisa la historia de las actividades conocidas o sospechosas de Rusia en el ciberespacio para saber qué se puede esperar y como las empresas pueden estar preparadas. Un repaso a quince años de actividad ciberdelictiva generada para distraer, confundir, negar, desestabilizar y dividir.
- Ataques desestabilizadores de denegación de servicio
La primera actividad conocida data del 26 de abril de 2007, cuando el gobierno estonio trasladó una estatua en conmemoración de la liberación de Estonia de los nazis por parte de la Unión Soviética a un lugar menos destacado. Este movimiento enfureció a la población de habla rusa de Estonia y desestabilizó las relaciones con Moscú. Poco después se produjeron disturbios en las calles, protestas ante la embajada de Estonia en Moscú y una oleada de ataques DDoS que debilitaron los sitios web del gobierno y los servicios financieros estonios.
Casi inmediatamente, aparecieron en foros rusos herramientas totalmente preparadas e instrucciones sobre cómo participar en ataques DDoS, con una lista de objetivos para dirigirlos contra sitios web de la Presidencia, el Parlamento, la policía, los partidos políticos y los principales medios de comunicación. Siete días después, los ataques cesaron a medianoche, tan abruptamente como habían comenzado.
Todo el mundo implicó inmediatamente a Rusia, pero la atribución de los ataques de denegación de servicio distribuidos es casi imposible, por diseño. Hoy en día se cree ampliamente que estos ataques DDoS fueron obra de la Russian Business Network (RBN), un conocido grupo de delincuencia organizada en Rusia con vínculos con el spam, las redes de bots y los esquemas de afiliación farmacéutica. Sus servicios parecían haber sido «contratados» precisamente durante una semana para llevar a cabo estos ataques.
Posteriores ciberataques contra Georgia en 2008, en el momento en el que Rusia invadía la provincia separatista de Osetia del Sur, y ciberataques contra Kirguistán en 2009, nos llevan al conflicto cinético más reciente, la invasión de Crimea en 2014.
- Desinformación y aislamiento
La guerra de información de perfil bajo contra Ucrania ha estado en marcha desde 2009, con muchos ataques que coinciden con eventos que podrían interpretarse como una amenaza para los intereses rusos, como una cumbre de la OTAN y las negociaciones entre Ucrania y la UE para un Acuerdo de Asociación.
En los inicios del conflicto, soldados sin insignias tomaron el control de las redes de telecomunicaciones de Crimea y de la única central de Internet de la región, provocando un apagón informativo. Tras aislar la capacidad de comunicación de Crimea, los atacantes también manipularon los teléfonos móviles de los miembros del Parlamento ucraniano, impidiéndoles reaccionar eficazmente a la invasión.
- Fuentes de alimentación paralizantes
El 23 de diciembre de 2015, la mitad de los habitantes de Ivano-Frankivsk (Ucrania) se quedaron sin electricidad. Se cree que fue obra de piratas informáticos rusos patrocinados por el Estado. Los ataques iniciales comenzaron más de seis meses antes de que se produjera el apagón, cuando los empleados de tres centros de distribución de energía eléctrica abrieron un documento malicioso de Microsoft Office con una macro diseñada para instalar un malware llamado BlackEnergy. Casi un año después, el 17 de diciembre de 2016, las luces volvieron a apagarse en Kiev. ¿Coincidencia? Probablemente no. Esta vez el malware responsable se llamaba Industroyer/CrashOverride y era inmensamente más sofisticado.
- Ataques a la cadena de suministro: NotPetya y SolarWinds
Los persistentes ataques de Rusia contra Ucrania no quedaron ahí y se intensificaron el 27 de junio de 2017, cuando desataron una nueva pieza de malware ahora conocida como NotPetya. NotPetya se disfrazó de una nueva cepa de ransomware y se desplegó a través de la cadena de suministro hackeada de un proveedor de software de contabilidad ucraniano. El malware se extendió por todo el mundo en cuestión de horas, afectando sobre todo a empresas que operaban en Ucrania. Se estima que NotPetya ha causado al menos 10.000 millones de dólares en daños en todo el mundo.
Unos años más tarde, a finales de 2020, se extendió un ataque a la cadena de suministro contra el software SolarWinds Orion, utilizado para gestionar la infraestructura de red de grandes y medianas empresas en todo el mundo, incluidas muchas agencias del Gobierno Federal de los Estados Unidos. Los atacantes secuestraron los mecanismos de actualización del software para desplegar una puerta trasera. El alto perfil de las víctimas, combinado con el posible acceso de los ciberatacantes mediante la puerta trasera desplegada sigilosamente, puede hacer de este ataque uno de los mayores y más dañinos de la historia moderna del ciberespionaje.
- Ciberconflicto ruso en 2022
En 2022 las tensiones ciberpolíticas han vuelto a aumentar y se acercan al punto de ruptura. Los días 13 y 14 de enero de 2022, numerosos sitios web del gobierno ucraniano fueron desconfigurados y los sistemas fueron infectados con malware disfrazado de ataque de ransomware. En este ataque se dejaron muchas “falsas banderas” que intentaban implicar que el ataque era obra de disidentes ucranianos o partisanos polacos.
- Distraer, confundir, negar e intentar dividir parece ser el playbook estándar actualmente.
El pasado martes 15 de febrero de 2022 se desencadenaron una serie de ataques debilitantes DDoS contra sitios web gubernamentales y militares ucranianos, así como contra tres de los mayores bancos de Ucrania. En un movimiento sin precedentes, la Casa Blanca ya ha desclasificado algunos datos de inteligencia y ha atribuido los ataques a la GRU rusa.
¿Y ahora qué? Independientemente de que la crisis siga escalando, las ciberoperaciones van a continuar. Ucrania ha estado sometida a un bombardeo constante de ataques con subidas y bajadas desde la caída de Viktor Yanukovich en 2014. La guerra de información es la forma en la que el Kremlin puede tratar de controlar la respuesta del resto del mundo a las acciones en Ucrania o cualquier otro objetivo de ataque.
Las “banderas falsas”, la atribución errónea, la interrupción de las comunicaciones y la manipulación de las redes sociales son componentes clave en el playbook de la guerra de información de Rusia. No necesitan crear una cobertura permanente para las actividades sobre el terreno y en otros lugares, simplemente necesitan causar suficiente retraso, confusión y contradicción para permitir que otras operaciones simultáneas logren sus objetivos.
- Preparar y proteger
A pesar de que países como Estados Unidos y Reino Unido están intentando adelantarse a algunas de las campañas de desinformación, no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer preparados y vigilantes.
Por ejemplo, las empresas de los países cercanos a Ucrania deben estar preparadas para ser arrastradas a cualquier daño online, incluso si no están operando directamente dentro de Ucrania. Los ataques y la desinformación anteriores se han filtrado a Estonia, Polonia y otros estados fronterizos, aunque sea como daño colateral.
Desde una perspectiva global, deberíamos esperar que una serie de «patriotas» autónomos en Rusia, con lo que me refiero a delincuentes de ransomware, creadores de phishing y operadores de botnets, arremetan con más fervor de lo normal contra los objetivos percibidos como contrarios a la Madre Patria.
Es poco probable que Rusia ataque directamente a los miembros de la OTAN y se arriesgue a invocar el Artículo V. Sin embargo, los últimos gestos de la OTAN para detener a los criminales que operan desde la Federación Rusa y sus socios de la Comunidad de Estados Independientes (CEI) probablemente estén por terminar, por lo que no sabemos cómo se multiplicarán las amenazas.
Aunque contar con defensas de seguridad en profundidad debería ser lo normal en el mejor de los casos, es especialmente importante ahora prepararnos para un aumento de la frecuencia y la gravedad de los ataques. La desinformación y la propaganda alcanzarán pronto su punto más elevado, pero debemos mantenernos alerta, cerrar las escotillas y vigilar cualquier movimiento inusual en nuestras redes a medida que las fases del conflicto fluyan, e incluso cuando terminen. Porque, como todos sabemos, podrían pasar meses hasta que salgan a la luz las pruebas de intrusiones digitales debidas a este conflicto ruso-ucraniano.
Chester Wisniewski,
investigador principal en Sophos Lab