Ucrania, cronología de ciberataques y ciberinteligencia

Ataques cibernéticos, caída de servicios, filtrado de datos, desfiguración de sitios web, propaganda y desinformación

Compartir
Compartir articulo
Los informes de inteligencia de EE.UU. sobre la segunda ola de ataques cibernéticos en Ucrania evaluaron que el principal brazo de inteligencia de Rusia, GRU, era el responsable (REUTERS/Dado Ruvic)
Los informes de inteligencia de EE.UU. sobre la segunda ola de ataques cibernéticos en Ucrania evaluaron que el principal brazo de inteligencia de Rusia, GRU, era el responsable (REUTERS/Dado Ruvic)

Los días 14 y 15 de febrero de 2022, el Ministerio de Defensa de Ucrania, sus Fuerzas Armadas, junto con las instituciones financieras Privatbank, Oschadbank y Monobank, sufrieron graves ataques de Denegación de Servicios (DDos) que resultaron en la caída de sus sistemas. Muchos usuarios de Privatbank recibieron mensajes de texto falsos que indicaban que los cajeros automáticos del banco estaban fuera de servicio, lo que provocó una tensión adicional en la red del banco, con una oleada de usuarios verificando sus saldos de cuenta en cajeros automáticos en todo el país.

En septiembre pasado ya se ofrecía una base de datos que contenía más de 45 millones de registros con información personal de usuarios y clientes de Privatbank, incluidos su nombre, fecha de nacimiento y número de teléfono. La fecha del ataque DDoS es exactamente un mes después de los ataques de desfiguración y malware de enero, la campaña probablemente fue parte de una operación psicológica asimétrica más grande. Los informes de inteligencia de EE.UU. sobre la segunda ola de ataques cibernéticos en febrero evaluaron que el principal brazo de inteligencia de Rusia, GRU, era el responsable. El subsecretario del Consejo Nacional de Seguridad y Defensa de Ucrania, Serhiy Demedyuk, atribuye oficialmente las desfiguraciones del 13 y 14 de enero a un grupo ciberdelincuente que opera desde Bielorrusia, identificado como UNC1151. Este es un grupo de ciberespionaje vinculado a los servicios especiales de la República de Bielorrusia. UNC1151, también conocido como “Ghostwriter”, es supuestamente responsable del espionaje directo y la obtención de información confidencial para disidentes, medios de comunicación y periodistas bielorrusos e igual situación en relación a las elecciones en Alemania. UNC1151 podría estar potencialmente involucrado en campañas de desinformación contra la OTAN apoyadas por Rusia que han estado en circulación durante los últimos años, reemplazando artículos genuinos con fuentes de noticias falsas y difundiendo citas falsas de funcionarios políticos y militares en Lituania, Letonia y Polonia.

En las antípodas, CYBERPARTISANS intenta ayudar a defender a Ucrania de las agresiones de Rusia. El grupo se atribuyó la responsabilidad. Los CYBERPARTISANS se identifican a sí mismos como un grupo de hacktivistas a favor de la democracia y el año pasado intervinieron las líneas telefónicas del Ministerio del Interior de Bielorrusia, filtrando conversaciones entre funcionarios sobre protestas organizadas contra el infame dictador del país en Telegram .

En las últimas semanas, Lukashenko ha apoyado abiertamente a Putin, supervisando conjuntamente los ejercicios militares estratégicos en Bielorrusia, incluidos los lanzamientos de misiles hipersónicos de Rusia en una demostración pública de la alianza y la cooperación continua de los dos países.

Desde el pasado 23 de febrero, la infraestructura digital de Ucrania continuó sufriendo aún más ataques DDoS significativos, con varios sitios web gubernamentales y financieros afectados. Rusia lanzó ataques directos contra objetivos estratégicos en todo el país y las fuerzas terrestres cruzaron la frontera en múltiples frentes. La infraestructura crítica de Ucrania está bajo ataque directo y los civiles luchan por retirar fondos de los cajeros automáticos, mientras seguimos recabando información clave en la Dark Web. Un mes atrás, los medios de comunicación públicos informaron que varias redes del gobierno ucraniano se habían visto comprometidas durante una serie de ciberataques la noche del 13 al 14 de enero, incluido el despliegue de lo que los investigadores de seguridad identificaron como el malware “WhisperGate”. A las pocas horas estos datos del gobierno ucraniano aparecieron en foros a través de la deep y dark web.

Los datos filtrados del gobierno ucraniano en enero podrían haber sido robados durante los ataques semanas previas y podrían estar siendo divulgados como parte de una campaña de intimidación psicológica contra el pueblo de Ucrania. Si bien muchos de los archivos de datos filtrados se crearon a las pocas horas de los ataques a mediados de enero, no hay indicios de que se hayan obtenido directamente como resultado de los mismos. Pero entre el 13 y 14 de enero de 2022, varias organizaciones de Ucrania experimentaron ciberataques y desfiguraciones de sitios web públicos. Los atacantes utilizaron un malware similar a un ransomware, lo que hizo que muchos sistemas quedaran inoperables además de desfigurar los sitios web oficiales del gobierno en todo el país acompañando el hackeo con el siguiente mensaje en idioma ucraniano, polaco y ruso: ”UCRANIANOS! TODOS SUS DATOS PERSONALES FUERON SUBIDOS A INTERNET, TODOS TUS DATOS ESTÁN SIENDO DESTRUIDOS. TODA LA INFORMACIÓN SOBRE USTEDES SE HIZO PÚBLICA. TENGAN MIEDO Y ESPEREN LO PEOR”.

La campaña de malware destructivo fue diseñada para imitar el ransomware basado en la extorsión, eliminando archivos críticos, bloqueando los sistemas y exigiendo un rescate USD 10.000 en Bitcoin. Los Servicios de Seguridad de Ucrania (SBU) informaron que estaban investigando con el Servicio Estatal de Comunicaciones Especiales y la Policía Cibernética y registraban que más de 70 organizaciones en Ucrania habían sido atacadas por “servicios especiales de Rusia” (GRU). Aparentemente una vulnerabilidad en el sistema de administración de contenido permitió las desfiguraciones de los sitios web. Los atacantes también utilizaron la familia de malware de limpieza destructiva WhisperGate para bloquear las redes en una campaña de estilo ransomware. En adición, Rusia desplegó una nueva variante de malware de borrado de discos rígidos llamada HermeticWiper dirigida a objetivos estratégicos el 23 de febrero antes de la invasión militar a gran escala del territorio soberano de Ucrania. WhisperGate también comparte similitudes estratégicas con ataques anteriores de NotPetya utilizados contra Ucrania en 2017. Los datos filtrados, con fecha del 24 de diciembre, parecen contener direcciones de correo electrónico, contraseñas, fechas de nacimiento, números de teléfono, domicilios particulares, números de pasaporte, números de tarjetas de identificación. También datos de un ‘proveedor de medicina digital’ con servicios de telemedicina, prescripción e imágenes médicas y asistencia médica de laboratorio en Ucrania. Otros archivos contienen varios años de documentos oficiales gubernamentales, cartas dirigidas al Ministerio del Interior de Ucrania. También incluyen información personal de ciudadanos ucranianos, como números de teléfono, direcciones de correo electrónico, licencias de conducir, pasaportes, etc. En Dark Web, el precio por algunas de estas bases ronda entre USD 85.000 y USD 125.000 e incluye la base de datos de antecedentes penales del gobierno de Ucrania, Servidores del Ministerio del Interior, Policía Ucraniana, etc.

La tradición rusa en este sentido es innegable y la pulsión por lo digital les ha facilitado las cosas, a punto tal que hasta en Telegram circulan ofertas de datos robados, varias bases de datos específicas de Ucrania se han filtrado por este medio, incluida una lista del personal asignado a las Fuerzas de Operaciones Especiales de Ucrania y candidatos ucranianos en las elecciones parlamentarias locales. Sugestivamente por Telegram también se han publicado bases de datos filtradas de objetivos dentro de Rusia, incluida la lista de donantes de la FSK, la Fundación Anticorrupción sin fines de lucro, creada por Alexei Navalny, archienemigo de Putin. Varios otros usuarios en foros clandestinos distribuyeron información sobre las plantas de energía nuclear en Ucrania, listas de armas robadas y perdidas en Ucrania, residentes de Ucrania y empresas registradas en Ucrania junto con información relacionada con la situación financiera.

Las filtraciones de datos de Ucrania son un objetivo recurrente, con especial foco en los datos del gobierno y de los ciudadanos ucranianos. Definitivamente son una pieza clave de inteligencia en conflictos de esta escala. Una cronología que parece no tener fin.

SEGUIR LEYENDO