La Agencia de Seguridad de EEUU denunció un nuevo método de ciberataque ruso de “fuerza bruta” a escala global

En un comunicado conjunto con la inteligencia británica, señala que los hackers han estado tratando de atacar a cientos de agencias gubernamentales y empresas clave de infraestructura

Una persona utiliza un ordenador portátil. EFE/SASCHA STEINBACH/Archivo
Una persona utiliza un ordenador portátil. EFE/SASCHA STEINBACH/Archivo

Las agencias estadounidenses y británicas revelaron este jueves detalles de los métodos de “fuerza bruta” que, según denunciaron, han sido utilizados por la inteligencia rusa para tratar de entrar en los servicios en la nube de cientos de agencias gubernamentales, empresas de energía y otras organizaciones.

Una advertencia publicada por la Agencia de Seguridad Nacional de Estados Unidos describe los ataques realizados por agentes vinculados al GRU, la agencia de inteligencia militar rusa, que ha sido vinculada previamente a grandes ciberataques en el extranjero y a los esfuerzos por perturbar las elecciones estadounidenses de 2016 y 2020.

En un comunicado, el director de ciberseguridad de la NSA, Rob Joyce, dijo que la campaña estaba “probablemente en curso, a escala global.”

Los ataques de fuerza bruta consisten en el abordaje automatizado de sitios con posibles contraseñas hasta que los hackers consiguen acceder. El aviso insta a las empresas a adoptar métodos que los expertos consideran de sentido común en materia de seguridad, como el uso de la autenticación de dos factores y la exigencia de contraseñas seguras.

Los hackers del GRU son perseguidos por el FBI, pero su extradición está prácticamente descartada (AP)
Los hackers del GRU son perseguidos por el FBI, pero su extradición está prácticamente descartada (AP)

Publicado en el marco de una devastadora ola de ataques de ransomware contra gobiernos e infraestructuras clave, el comunicado no revela los objetivos específicos de la campaña ni su presunta finalidad, limitándose a decir que los hackers han atacado a cientos de organizaciones en todo el mundo.

La NSA dice que los operativos vinculados al GRU han tratado de irrumpir en las redes que utilizan Kubernetes, una herramienta de código abierto desarrollada originalmente por Google para gestionar servicios en la nube, desde al menos mediados de 2019 hasta principios de este año. Si bien una “cantidad significativa” de los intentos de irrupción se dirigió a las organizaciones que utilizan los servicios en la nube de Office 365 de Microsoft, los hackers fueron tras otros proveedores de la nube y servidores de correo electrónico también, dijo la NSA.

Estados Unidos acusa desde hace tiempo a Rusia de utilizar y tolerar los ciberataques para el espionaje, la difusión de desinformación y la perturbación de gobiernos e infraestructuras clave. La embajada rusa en Washington no respondió inmediatamente a una solicitud de comentarios el jueves.

Joe Slowik, analista de amenazas de la empresa de vigilancia de redes Gigamon, dijo que la actividad descrita por la NSA el jueves muestra que el GRU ha perfeccionado una técnica ya popular para entrar en las redes. Dijo que parece coincidir con los informes del Departamento de Energía sobre los intentos de intrusión de fuerza bruta a finales de 2019 y principios de 2020 dirigidos a los sectores de la energía y el gobierno de Estados Unidos, y es algo que el gobierno de Estados Unidos aparentemente ha estado al tanto durante algún tiempo.

La sede del GRU en Moscú (AFP)
La sede del GRU en Moscú (AFP)

Slowik dijo que el uso de Kubernetes “es ciertamente un poco único, aunque por sí mismo no parece preocupante.” Dijo que el método de fuerza bruta y el movimiento lateral dentro de las redes descrito por la NSA son comunes entre los hackers respaldados por el Estado y las bandas criminales de ransomware, lo que permite al GRU mezclarse con otros actores.

John Hultquist, vicepresidente de análisis de la empresa de ciberseguridad Mandiant, caracterizó la actividad descrita en el aviso como “recopilación rutinaria contra responsables políticos, diplomáticos, militares y la industria de defensa.”

“Esto es un buen recordatorio de que el GRU sigue siendo una amenaza inminente, lo que es especialmente importante teniendo en cuenta los próximos Juegos Olímpicos, un evento que bien podrían intentar perturbar”, dijo Hultquist en un comunicado.

El FBI y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras se sumaron al aviso, al igual que el Centro Nacional de Ciberseguridad británico.

El GRU ha sido vinculado repetidamente por funcionarios estadounidenses en los últimos años con una serie de incidentes de piratería informática. En 2018, la oficina del abogado especial Robert Mueller acusó a 12 oficiales de inteligencia militar de hackear correos electrónicos demócratas que luego fueron publicados por WikiLeaks en un esfuerzo por dañar la campaña presidencial de Hillary Clinton e impulsar la candidatura de Donald Trump.

Más recientemente, el Departamento de Justicia anunció cargos el pasado otoño contra oficiales del GRU en ciberataques que tuvieron como objetivo unas elecciones presidenciales en Francia, los Juegos Olímpicos de Invierno en Corea del Sur y empresas estadounidenses.

A diferencia de la agencia de inteligencia exterior rusa SVR, a la que se atribuye la campaña de hacking SolarWinds y que se cuida de no ser detectada en sus operaciones cibernéticas, el GRU ha llevado a cabo los ciberataques más dañinos de los que se tiene constancia, incluidos dos contra la red eléctrica de Ucrania y el virus NotPetya de 2017, que causó más de 10.000 millones de dólares en daños a nivel mundial.

Los operativos del GRU también han participado en la difusión de desinformación relacionada con la pandemia de coronavirus, según han alegado funcionarios estadounidenses. Y una evaluación de la inteligencia estadounidense en marzo dice que el GRU trató de vigilar a las personas en la política de Estados Unidos en 2019 y 2020 y organizó una campaña de phishing contra las filiales de la compañía energética ucraniana Burisma, probablemente para reunir información perjudicial para el presidente Joe Biden, cuyo hijo había servido anteriormente en la junta.

El gobierno de Biden sancionó en abril a Rusia tras vincularla con la interferencia electoral y la brecha de SolarWinds.

(Con información de AP)