El conflicto armado de Rusia sobre Ucrania se está traduciendo en una guerra cibernética sin precedentes. Según un informe especial elaborado por la empresa española de soluciones tecnológicas Seresco, el número de incidentes cibernéticos se ha multiplicado tanto de forma previa al inicio del conflicto, como de forma continuada a partir de ese momento, siendo mayoritariamente las organizaciones ucranianas el objetivo de la mayoría de los ciberataques.
Si bien el conflicto cibernético entre Rusia y Ucrania se remonta a varios años atrás, hay dos hitos destacados en la historia reciente. En diciembre de 2015 se produce un ataque sobre la empresa UKrainian Kyivoblenergo que provoca un corte de suministro para más de 225.000 clientes entre 1 y 6 horas en pleno invierno. En junio de 2017 un malware genera fallos de funcionamiento generalizados en todo tipo de empresas e instituciones ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad.
Del ciberespionaje al boicot a las ayudas o la gestión de refugiados
Desde los días previos del conflicto se han sucedido multitud de campañas maliciosas dirigidas a organizaciones de Ucrania, tanto con el fin de realizar ciberespionaje, como corromper dispositivos y dejar sistemas inoperables. No obstante, desde el 24 de febrero, inicio de la invasión, se produce una escalada de ciberataques a nivel global. En España, por ejemplo, Universidades españolas coordinadas por la CRUE incrementan medidas de seguridad de sus sistemas informáticos tras haber detectado cuentas de usuario comprometidas y recibido ataques el día siguiente al estallido de la guerra.
A partir de entonces, el informe recopila multitud de incidencias sobre sistemas y empresas ucranianas: ataques a dispositivos de IoT (routers, grabadoras digitales, cámaras de vigilancia), o robos de archivos o datos. El 1 de marzo se detectaron campañas maliciosas de correo electrónico relacionadas con supuestas donaciones de “Ayuda a Ucrania”. Del mismo modo, se detectaron campañas dirigidas al personal del gobierno europeo involucrado en la administración de refugiados que huyen de Ucrania.
¿Quién está detrás de los ataques? Gamaredon, Sandworm y otros grupos de hacerks rusos
Detrás de muchos de estos ataques se encuentran grupos de hackers rusos. Uno de los más activos en este conflicto está siendo el grupo Gamaredon, también conocido como Primitive Bear, Armageddon o Shuckworm; un grupo de piratas informáticos, supuestamente operados por el Servicio Federal de Seguridad ruso (FSB).
Desde el 2013, justo antes de la anexión rusa de la península de Crimea, el grupo ha centrado principalmente sus campañas cibernéticas contra funcionarios y organizaciones del gobierno ucraniano. Se han descubierto tres grandes clústeres de su infraestructura, utilizados para diferentes propósitos de phishing y malware. Asimismo, se les vinculan en dichas infraestructuras más de 700 dominios maliciosos, 215 direcciones IP y más de 100 muestras de malware.
Sandworm es otro grupo de amenaza, presuntamente asociado al Departamento Central de Inteligencia (GRU), que se trata del servicio de inteligencia militar de las Fuerzas Armadas de la Federación Rusa. Además de los ciberataques de 2015 y 2017 citados anteriormente, a este grupo se le atribuyen los ciberataques a los Juegos Olímpicos de invierno del 2018.
Anonymous, el contraataque a Rusia que hackeó el yate de Putin
Los ciberataques al gobierno ruso registrados hasta la fecha han sido atribuidos a Anonymous, un grupo clandestino y descentralizado de “hacktivistas” que supuestamente operan sin líder y sin jerarquía. Así, mientras la ciberguerra rusa se centra en bloquear sistemas informáticos críticos, los ataques de Anonymous parecen más orientados a ganar la batalla de la comunicación y propaganda en el pueblo ruso.
El día que inicia de la invasión, Anonymous se declara oficialmente en ciberguerra contra el gobierno ruso y tira múltiples portales web del gobierno y de medios de noticias de propaganda rusa. Dos días después, Rusia restringe el acceso a Twitter en su país para impedir a su ciudadanía visualizar contenido de los ataques en Ucrania.
Los nuevos ataques de Anonymous interceptan comunicaciones militares rusas y logran, el 26 de febrero, hackear canales de televisión estatales para proyectar contenido de los ataques a Ucrania. De nuevo el 7 de marzo hackean servicios de streaming rusos con el mismo propósito.
Otro de los ataques a Rusia se produce por parte de TheAnonleaks, grupo afiliado a Anonymous, que el 26 de febrero logró hackear el Sistema de Identificación Automática (AIS) del yate de lujo de Putin, haciendo creer que se había estrellado en Ucrania y cambiando su destino a posteriori. otro grupo de hackers afiliado a Anonymous logró el 1 de marzo deshabilitar el centro de control de la Agencia Espacial Rusa “Roscosmos”.
Empresas e infraestructuras españolas refuerzan sistemas
Los principales vectores de entrada para el compromiso de los sistemas son mediante el envío de correos maliciosos, pero también mediante la explotación de vulnerabilidades ya conocidas y algunas de ellas reportadas por sus fabricantes años atrás. El informe identifica que muchos de estos ataques están relacionados con vulnerabilidades sobre Microsoft Exchange, Fortinet Fortigate SSL, o la vulnerabilidad Zerologon. Esta última suele utilizarse por actores maliciosos y ransomware para lograr acceso fraudulento sobre los sistemas.
Aunque pueda parecer que España está lejos de este conflicto, estos sistemas y softwares son utilizados también por nuestras empresas, que están igualmente expuestas a un contexto donde se producen ciberamenazas constantemente. Ante este escenario, el informe recuerda una serie de medidas básicas para favorecer la protección de organismos e instituciones:
- Realizar una monitorización continua de los sistemas.
- Disponer de seguridad perimetral y detección de intrusos.
- Disponer de sistemas de protección antimalware en los equipos finales.
- Realizar filtrado de correo que permita evitar el spear-phishing.
- Aplicar filtrado de tráfico de red.
- Realizar escaneos de vulnerabilidades y disponer de un plan para la corrección de éstas.
- Aplicar parches de seguridad de forma periódica en todos los equipos.
- Realizar actualizaciones de firmware de nuestros appliance y dispositivos de red.
- Habilitar un doble factor de autenticación sobre todo para las conexiones externas a nuestra red.
- Proteger las conexiones externas mediante el uso de VPN.
- Disponer de una política de cambios de contraseñas que obligue a hacer cambios periódicos.
