Los ciberataques como medio de guerra
Sophos Sophos, Cyber Threat, Cyberangriffe
Ante el despliegue de tropas rusas en la frontera con Ucrania y los ataques distribuidos de denegación de servicio (DDoS) dirigidos esporádicamente a interrumpen esporádicamente sitios web gubernamentales y servicios financieros ucranianos se habla mucho de estar preparados para los ciberconflictos, haya o no haya o no una guerra real. Aunque todas las empresas deberían estar siempre preparadas para ataques desde todas las direcciones, no es de todas las direcciones. Pero puede ser útil saber qué buscar cuando aumenta el riesgo de ataque. He optado por ofrecer un historial de las actividades conocidas o actividades conocidas o sospechosas del Estado ruso en el entorno cibernético. entorno cibernético y evaluar qué tipos de actividades cabe esperar y cómo o cómo pueden prepararse las organizaciones para ellas.
Ataques desestabilizadores de denegación de servicio
La primera actividad conocida se remonta al 26 de abril de 2007
cuando el gobierno estonio destruyó una estatua conmemorativa de la liberación de
la liberación de Estonia de los nazis por la Unión Soviética.
lugar destacado. Esta acción enfureció a la población rusoparlante de
la población estonia y desestabilizó las relaciones con Moscú. En breve
disturbios en las calles, protestas frente a la embajada estonia en Moscú y
embajada de Estonia en Moscú, y una oleada de DDoS-Angriffen auf estnische Regierungs- y
y sitios web de servicios financieros. Herramientas totalmente preparadas e
instrucciones sobre cómo participar en ataques DDoS aparecieron en
foros rusos casi inmediatamente después del traslado de la estatua. Estos ataques
se dirigieron contra sitios web del presidente, el parlamento, la policía
policía, los partidos políticos y los principales medios de comunicación.
Aunque se llamó a otros "patriotas rusos" para que ayudaran en el Estonia, apenas se trató de un movimiento de base*. un movimiento de base* que surgió de la nada con herramientas y una lista de objetivos. de la nada. La misma táctica fue utilizada más tarde por Anonymous en defensa de Wikileaks, utilizando una herramienta llamada la baja Orbit Ion Canon (LOIC). El 4 de mayo de 2007, los ataques se intensificaron y adicionalmente los ataques se intensificaron y adicionalmente tuvieron como objetivo bancos. Exactamente siete días después, a medianoche, los ataques terminaron tan abruptamente como habían comenzado. Todo el mundo culpó inmediatamente a Rusia, pero es casi imposible atribuir los ataques distribuidos de denegación de servicio. En la actualidad ahora la creencia generalizada de que estos ataques DDoS fueron obra de la Russian Business Network (RBN) fueron obra de un conocido grupo de delincuencia organizada de Rusia con vínculos con el spam, botnets y farmacéuticas farmacéuticas. Al parecer, sus servicios fueron "utilizados" durante exactamente una semana "contratados" para llevar a cabo estos ataques.
El 19 de julio de 2008 comenzó una nueva oleada de ataques DDoS dirigidos contra sitios web de noticias y gubernamentales en Georgia. Estos ataques se intensificaron misteriosamente de forma espectacular el 8 de agosto de 2008, cuando las tropas rusas invadieron la provincia separatista de Osetia del Sur. Los ataques se dirigieron inicialmente contra georgische Nachrichten- und Regierungsseiten, más tarde contra instituciones financieras, empresas, instituciones educativas medios de comunicación occidentales y un sitio web georgiano de piratería informática. Estonia, apareció un sitio web con una lista de objetivos y una serie de objetivos y un conjunto de herramientas con instrucciones sobre cómo utilizarlas. De nuevo, se intentó atribuir los ataques a los "patriotas" que se resistían a la agresión georgiana. Pero la mayor parte del tráfico procedía de una gran botnet conocida, presumiblemente dirigida por RBN. botnet que se cree controlada por RBN.
Desfiguración digital y spam
Los ataques a Georgia también incluyeron desfiguración de sitios web y
sitios web y campañas masivas de spam para atascar las bandejas de entrada georgianas.
buzones de entrada georgianos. Al parecer, todo ello sirvió para
en la capacidad de Georgia para defenderse y gobernarse.
para defenderse y gobernarse, y para impedir que el gobierno se comunique
de comunicarse eficazmente con sus ciudadanos y con el mundo exterior. Menos de un año después.
que un año después, en enero de 2009, otra serie de
ataques DDoS comenzó en Kirguistán. Esto ocurrió al mismo tiempo que el
gobierno kirguís decidía si renovaba el contrato de arrendamiento de una
base aérea estadounidense en su país. ¿Una coincidencia? Parecía
que la acción fue llevada a cabo de nuevo por la RBN, pero esta vez
no era una treta de "patriotas" que expresaban su opinión digital.
expresión.
Desinformación y aislamiento
Esto nos lleva al conflicto cinético más reciente, el de
Crimea en 2014. Desde 2009, se ha librado una guerra informativa de bajo nivel contra Ucrania.
se ha librado a bajo nivel contra Ucrania, con muchos ataques que coinciden con
coinciden con acontecimientos que podrían interpretarse como una amenaza para los intereses rusos, tales
intereses, como una cumbre de la OTAN y negociaciones entre Ucrania y la
y las negociaciones entre Ucrania y la UE sobre un acuerdo de asociación.
2014, el New York Times informó de que el software malicioso había “Snake” in das Büro des ukrainischen Premierministers
y varias embajadas remotas habían sido penetradas cuando las protestas antigubernamentales en Ucrania
comenzaron las protestas antigubernamentales. Hacia finales de 2013 y
principios de 2014, ESET también publicó una investigación
documentando ataques a objetivos militares y medios de comunicación, denominados "Operation Potao Express".
Al igual que antes, un grupo cibernético de cosecha propia llamado
cibergrupo llamado "Cyber Berkut" llevó a cabo ataques DDoS y defacciones web sin causar
pero sin causar grandes daños. Sin embargo, causó gran
confusión, y eso por sí solo tiene un impacto en tiempos de conflicto.
Al principio del conflicto, soldados sin insignias se apoderaron de las redes de telecomunicaciones de Crimea y el único centro de internet de la región. centro de internet de la región y provocaron un apagón informativo. apagón informativo. Los atacantes abusaron de su acceso a la red para identificar a manifestantes antirrusos y enviarles mensajes de texto y enviarles mensajes SMS que decían: "Estimado abonado, usted está registrado como participante en una revuelta masiva". Tras aislar la capacidad de comunicaciones de Crimea, los atacantes manipularon la red. capacidad de comunicación de Crimea, los atacantes también manipularon los teléfonos móviles de miembros del Parlamento ucraniano y les impidieron responder eficazmente a la invasión. responder a la invasión. Como mencionó Military Cyber Affairs Como ya se ha mencionado, las campañas de desinformación estaban en pleno apogeo: "En un caso, Rusia pagó a una sola persona para que tuviera varias identidades web. Un actor de San Petersburgo declaró que cuando tres blogueros diferentes con diez blogs, mientras comentaba en otros sitios web. comentando en otros sitios web. Otra persona fue contratada para comentar noticias y medios sociales 126 veces cada 12 horas. comentando".
Electricidad paralizante
El 23 de diciembre de 2015, se cortó bruscamente la electricidad a cerca de la mitad de los residentes de
Ivano-Frankivsk (Ucrania) se les cortó abruptamente la electricidad. En general se
que fue obra de piratas informáticos rusos respaldados por el Estado.
hackers. Los primeros ataques comenzaron más de sechs Monate
antes del apagón, cuando los empleados de tres centros de distribución de energía
abrieron un documento infectado de Microsoft Office que contenía un macro
malware llamado BlackEnergy, y los atacantes consiguieron obtener a distancia
datos de acceso remoto a la red de Control de Supervisión y Adquisición de Datos (SCADA).
y Adquisición de Datos) y tomar el control de los controles de la subestación.
control de los controles de la subestación para abrir los disyuntores.
abrir los disyuntores. A continuación, interfirieron en los controles remotos para
impedir que se cerraran los disyuntores para restablecer la energía.
restaurar la energía. Además, los atacantes utilizaron
utilizaron un "limpiaparabrisas" para destruir los ordenadores utilizados para controlar la red, a la vez que
ordenadores utilizados para controlar la red, y al mismo tiempo llevaron a cabo una operación de
ataque de denegación de servicio (TDoS) inundando el servicio de atención al cliente
números de atención al cliente, frustrando a los clientes que intentaban informar de los cortes.
frustrar a los clientes que intentaban informar de los cortes.
Casi un año después, el 17 de diciembre de 2016, las luces volvieron a apagarse en Kiev. Las luces volvieron a apagarse. ¿Coincidencia? Probablemente no. malware responsable se llamaba Industroyer/CrashOverride y era weitaus ausgefeilter. El malware estaba equipado con componentes modulares que podían escanear la red para encontrar controladores SCADA y podía hablar su lenguaje. También tenía un componente wiper para borrar el sistema. borrar el sistema. El ataque no parecía posible ni con BlackEnergy ni con ni con la conocida herramienta Wiper KillDisk, pero no había duda de quién estaba detrás. no había duda de quién estaba detrás.
Revelación de correos electrónicos
En junio de 2016, durante la reñida campaña de las elecciones presidenciales
entre Hillary Clinton y Donald Trump, apareció en escena una nueva figura llamada Guccifer 2.0
que afirmaba haber hackeado el Comité Nacional Demócrata y haber
y filtrado sus correos electrónicos a Wikileaks. Aunque esto
no se atribuyó oficialmente a Rusia, salió a la luz junto con otras
campañas de desinformación durante las elecciones de 2016 y se cree ampliamente
ampliamente creído que el Kremlin estaba detrás de ello.
Ataques a la cadena de suministro: NotPetya
Los persistentes ataques de Rusia contra Ucrania aún no habían
terminado, y el 27 de junio de 2017 agravaron la situación cuando
lanzaron un nuevo malware llamado NotPetya.
NotPetya se disfrazó de un nuevo ransomware y se distribuyó a través de una cadena de suministro pirateada de una empresa de contabilidad ucraniana.
cadena de suministro de un proveedor ucraniano de software de contabilidad.
proveedor de software de contabilidad. Sin embargo, en realidad no era un ransomware en absoluto.
Cifraba un ordenador, pero no se podía descifrar, lo que efectivamente
borrando efectivamente el dispositivo e inutilizándolo.
Las víctimas eran nicht auf ukrainische Unternehmen
limitadas. El malware se propagó por todo el mundo en pocas horas.
en todo el mundo en cuestión de horas, afectando principalmente a organizaciones que operan en
Ucrania, donde se utilizó el software de contabilidad trampa.
Se estima que NotPetya ha causado al menos
se estima que NotPetya ha causado al menos 10.000 millones de dólares en daños en todo el mundo.
tiene.
Bajo falsa bandera
Mientras se inauguraban los Juegos Olímpicos de Invierno de PyeongChang el 9 de feb.
2018, era inminente otro ataque que tenía al mundo en vilo.
mundo en vilo. El ataque de malware dejó fuera de servicio todos los controladores de dominio de toda la
red e impidió que todo, desde el Wi-Fi hasta las taquillas
todo, desde el Wi-Fi hasta las taquillas, funcionara correctamente.
Milagrosamente, el equipo informático consiguió aislar la red,
restauró el malware y lo eliminó de los sistemas para que a la mañana siguiente
de modo que a la mañana siguiente todo funcionaba de nuevo, sin un solo error.
Entonces llegó el momento de realizar un análisis del malware
para averiguar quién estaba tratando de atacar y apagar
paralizar toda la red olímpica. Atribuir el malware es difícil, pero había
algunas pistas que podían ser útiles, o eran pistas falsas que apuntaban a
pistas falsas que supuestamente apuntaban a un tercero no implicado.
Las "pruebas" parecían apuntar a Corea del Norte y China, pero era casi
era casi demasiado obvio culpar a Corea del Norte. Al final
Igor Soumenkov de Kaspersky Lab, con un brillante trabajo detectivesco.
encontró una pista caliente que apuntaba directamente a Moscú.
Unos años más tarde, justo antes de las fiestas de finales de 2020, un se reveló un ataque a la cadena de suministro que tenía como objetivo el software SolarWinds software Orion, que se utiliza para gestionar la infraestructura de red de grandes y medianas empresas de todo el mundo, incluidas muchas agencias federales estadounidenses. Los mecanismos de actualización del software Los mecanismos de actualización del software fueron secuestrados y utilizados para instalar una puerta trasera. La prominencia de las víctimas en relación con el combinado con el acceso proporcionado por el backdoor instalado subrepticiamente, hace que este backdoor hace de este ataque potencialmente uno de los mayores y más ciberespionaje más grandes y dañinos de la historia moderna. UU (FBI), la Agencia de Ciberseguridad y Seguridad de las Seguridad de las Infraestructuras (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieron una declaración conjunta diciendo que sus investigaciones indican que investigaciones indican que: "...un actor de Amenaza Persistente Avanzada Persistente Avanzada, probablemente de origen ruso, es responsable de la mayoría de los ciberataques en curso o de los descubiertos recientemente. recientemente descubiertos ciberataques en curso contra redes gubernamentales y no gubernamentales redes gubernamentales y no gubernamentales. En este momento asumimos que esto es, y seguirá siendo, una inteligencia acción y seguirá siéndolo".
Ciberconflicto ruso en 2022
En 2022, las tensiones ciberpolíticas vuelven a aumentar
y están a punto de estallar. Los días 13 y 14 de enero de 2022, numerosos
sitios web gubernamentales ucranianos fueron desfigurados y los sistemas se vieron comprometidos
los sistemas fueron infectados con malware disfrazado de ransomware.
Los componentes de estos ataques recuerdan al pasado.
El malware no era un ransomware, sino simplemente un ausgeklügelten Wiper,
como también se utilizó en los ataques NotPetya. Además
se dejaron muchos rastros falsos, sugiriendo que era obra de ucranianos,
que podría ser obra de disidentes ucranianos o partisanos polacos.
Distraer, confundir, negar e intentar dividir parece ser ahora la norma
El martes 15 de febrero de 2022 se celebró una rueda de prensa en la
15 de febrero de 2022, se lanzó una serie de ataques DDoS contra sitios web
gobierno ucraniano y sitios web militares, así como tres de los más grandes de Ucrania
bancos de Ucrania. En un movimiento sin precedentes, la Weiße Haus bereits einige Geheimdienstinformationen freigegeben y atribuyó los ataques a la GRU rusa.
El manual ruso de ciberguerra
¿Y ahora qué? Independientemente de si la situación se agrava, las operaciones cibernéticas continuarán.
las operaciones cibernéticas continuarán. Desde la caída de
Víktor Yanukóvich en 2014, Ucrania se ha visto sometida a un constante aluvión
de ataques, con diversos grados de altibajos.
La "Doctrina militar de la Federación Rusa" oficial de 2010
Federación" de 2010 afirma: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." Esto apunta a una
continuación de comportamientos anteriores al conflicto y hace de los
ataques DDoS una señal potencial de una respuesta cinética inminente.
La guerra de la información es una forma que tiene el Kremlin de intentar influir en el
intentar dirigir la respuesta del resto del mundo a las acciones en Ucrania
pistas falsas, atribuciones falsas, comunicaciones interrumpidas y
mapeos, comunicaciones interrumpidas y la manipulación de los medios sociales
son todos componentes importantes de Rusia
concepto de guerra de información de Rusia. No necesitan crear una cobertura permanente para
actividades sobre el terreno o en otros lugares, sino simplemente crear suficiente
suficiente retraso, confusión y contradicción para permitir que otras operaciones concurrentes
operaciones concurrentes puedan alcanzar sus objetivos.
Preparar y proteger
Curiosamente, Estados Unidos y el
Reino Unido están tratando de adelantarse a algunas de las campañas de desinformación, lo
que podrían limitar su eficacia. Sin embargo
no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer
por lo que debemos permanecer preparados y vigilantes.
Por ejemplo, las organizaciones de los países vecinos de Ucrania deben estar preparadas para verse arrastradas a estafas en línea, aunque no operen directamente aunque no operen directamente en Ucrania. Anteriormente ataques y la desinformación se han filtrado a Estonia, Polonia y otros países vecinos. Estonia, Polonia y otros estados vecinos, aunque sólo sea como daño colateral. Desde una perspectiva global, deberíamos esperar ver una serie de una serie de autónomos "patrióticos" en Rusia, es decir delincuentes de ransomware, autores de phishing y operadores de botnets, lucharán con aún mayor actuarán con un celo aún mayor que el habitual contra objetivos percibidos como contrarios a la patria. Es poco probable que Rusia ataque directamente a miembros de la OTAN. Rusia ataque directamente a miembros de la OTAN y se arriesgue a la invocación de Artikel V riesgo. Los recientes gestos de Rusia para frenar a los criminales realizados por la Federación Rusa y sus socios de la Comunidad de Estados Independientes (CEI), sin embargo, es probable que lleguen probablemente lleguen a su fin y, en su lugar, las amenazas se multiplicarán. las amenazas se multiplicarán.
Aunque una defensa profunda debería ser lo más normal del mundo debería ser lo más normal del mundo, es especialmente importante cuando nos enfrentamos a un aumento de la frecuencia y gravedad de los ataques. La desinformación y la propaganda pronto alcanzarán su punto álgido, pero debemos estar pero debemos estar en guardia, cerrar las escotillas y mantener nuestras vigilar nuestras redes para detectar cualquier cosa fuera de lo normal a medida que los ciclos de conflicto disminuyan, aunque terminen pronto. Porque, como todos sabemos como todos sabemos, puede llevar meses encontrar pruebas de una intrusión digital relacionada con el conflicto ruso-ucraniano.
Blog original de Jörg Schindler - Senior PR Manager en Sophos