Ataques online, desinformación y vigilancia: una filtración revela cómo Rusia lleva adelante una guerra cibernética

Las agencias de inteligencia rusas trabajaron con un contratista de defensa con sede en Moscú para fortalecer su capacidad de lanzar ataques cibernéticos, sembrar desinformación y vigilar secciones de Internet, según miles de páginas de documentos corporativos confidenciales.

Los documentos detallan un conjunto de programas informáticos y bases de datos que permitirían a las agencias de inteligencia y grupos de piratería de Rusia encontrar mejor las vulnerabilidades, coordinar ataques y controlar la actividad en línea. Los documentos sugieren que la empresa estaba apoyando operaciones que incluían tanto la desinformación de las redes sociales como la capacitación para interrumpir de forma remota los objetivos del mundo real, como los sistemas de control marítimo, aéreo y ferroviario.

Una persona anónima proporcionó los documentos del contratista, NTC Vulkan, a un reportero alemán después de expresar su indignación por el ataque de Rusia a Ucrania. La filtración, un hecho inusual para el complejo industrial militar secreto de Rusia, demuestra otra consecuencia no deseada de la decisión del presidente Vladimir Putin de llevar a su país a la guerra.

Funcionarios de cinco agencias de inteligencia occidentales y varias compañías independientes de ciberseguridad dijeron que creen que los documentos son auténticos, luego de revisar extractos a pedido de The Washington Post y varias organizaciones de noticias asociadas.

Estos funcionarios y expertos no pudieron encontrar pruebas definitivas de que los sistemas hayan sido desplegados por Rusia o se hayan utilizado en ataques cibernéticos específicos, pero los documentos describen pruebas y pagos por el trabajo realizado por Vulkan para los servicios de seguridad rusos y varios institutos de investigación asociados. La empresa tiene clientes gubernamentales y civiles.

La documentación ofrece una rara ventana a los tratos corporativos secretos de las agencias militares y de espionaje de Rusia, incluido el trabajo para el notorio grupo de piratería del gobierno Sandworm. Las autoridades estadounidenses acusaron a Sandworm de provocar dos apagones en Ucrania, interrumpir las ceremonias de apertura de los Juegos Olímpicos de Invierno de 2018 y lanzar NotPetya, el malware económicamente más destructivo de la historia.

Uno de los documentos filtrados menciona la designación numérica de la unidad de inteligencia militar de Sandworm, 74455, lo que sugiere que Vulkan estaba preparando un software para que lo usara el escuadrón de piratería de élite. El documento de 11 páginas sin firmar, fechado en 2019, mostraba a un funcionario de Sandworm aprobando el protocolo de transferencia de datos para una de las plataformas.

“La empresa está haciendo cosas malas, y el gobierno ruso es cobarde y está equivocado”, dijo la persona que entregó los documentos al reportero alemán, poco después de la invasión de Ucrania. Luego, el reportero los compartió con un consorcio de organizaciones de noticias, que incluye The Washington Post y está dirigido por Paper Trail Media y Der Spiegel, ambos con sede en Alemania.

La persona anónima, que habló con el reportero a través de una aplicación de chat encriptada, se negó a identificarse antes de finalizar el contacto, declarando la necesidad de desaparecer “como un fantasma” por razones de seguridad.

“Estoy enojado por la invasión de Ucrania y las cosas terribles que están sucediendo allí”, dijo la persona. “Espero que puedan usar esta información para mostrar lo que sucede a puerta cerrada”.

Vulkan no respondió a las solicitudes de comentarios. Un empleado de la empresa que contestó el teléfono en su casa matriz confirmó que se había recibido un correo electrónico con consultas y dijo que sería respondido por funcionarios de la empresa, “si es de su interés”.

No llegaron respuestas. Los funcionarios del Kremlin tampoco respondieron a las solicitudes de comentarios.

El caché de más de 5.000 páginas de documentos, fechados entre 2016 y 2021, incluye manuales, hojas de especificaciones técnicas y otros detalles del software que Vulkan diseñó para el establecimiento militar y de inteligencia ruso. También incluye correos electrónicos internos de la empresa, registros financieros y contratos que muestran tanto la ambición de las operaciones cibernéticas de Rusia como la amplitud del trabajo que Moscú ha estado subcontratando.

Esto incluye programas para crear páginas de redes sociales falsas y software que puede identificar y almacenar listas de vulnerabilidades en los sistemas informáticos de todo el mundo para posibles objetivos futuros.

Varias maquetas de una interfaz de usuario para un proyecto conocido como Amezit parecen representar ejemplos de posibles objetivos de piratería, incluido el Ministerio de Relaciones Exteriores de Suiza y una planta de energía nuclear en esa nación. Otro documento muestra un mapa de los Estados Unidos con círculos que parecen representar grupos de servidores de Internet.

Una ilustración de una plataforma Vulkan llamada Skan hace referencia a una ubicación de EEUU, etiquetada como “Fairfield”, como un lugar para encontrar vulnerabilidades de red para usar en un ataque. Otro documento describe un “escenario de usuario” en el que los equipos de piratería identificarían enrutadores inseguros en Corea del Norte, presumiblemente para su uso potencial en un ataque cibernético.

Sin embargo, los documentos no incluyen listas de objetivos verificados, código de software malicioso o evidencia que vincule los proyectos con ataques cibernéticos conocidos. Aún así, ofrecen información sobre los objetivos de un estado ruso que, al igual que otras grandes potencias, incluido Estados Unidos, está ansioso por crecer y sistematizar su capacidad para realizar ataques cibernéticos con mayor velocidad, escala y eficiencia.

“Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como una y la misma misión, que es esencialmente un ataque a la voluntad de luchar del enemigo”, dijo John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del documento a pedido de The Post y sus socios.

El papel de los contratistas en la guerra cibernética rusa es “muy significativo”, especialmente para la agencia de inteligencia militar rusa comúnmente llamada GRU, dijo un analista de inteligencia occidental, que habló bajo condición de anonimato para compartir hallazgos confidenciales. “Son un pilar crítico de la investigación y el desarrollo cibernético ofensivo de GRU. Proporcionan la experiencia que la GRU puede carecer sobre un tema determinado. Los servicios de espionaje pueden realizar operaciones cibernéticas sin ellos, pero probablemente no tan bien”.

Tres ex empleados de Vulkan, que hablaron bajo condición de anonimato por temor a represalias, confirmaron algunos detalles sobre la empresa. Los registros financieros de Vulkan, que fueron obtenidos por separado por las organizaciones de noticias, coinciden con las referencias en los documentos en varios casos, detallando transacciones por valor de millones de dólares entre entidades militares o de inteligencia rusas conocidas y la empresa.

Los expertos en inteligencia y seguridad cibernética dijeron que los detalles en los documentos también coinciden con la información recopilada sobre los programas de piratería de Rusia, incluso en una filtración anterior más pequeña, y parecen describir nuevas herramientas para permitir operaciones cibernéticas ofensivas. Vulkan, dijeron, es una de las docenas de empresas privadas conocidas por proporcionar capacidades cibernéticas personalizadas a los servicios de seguridad rusos.

Los expertos advirtieron que no estaba claro cuál de los programas se había completado y desplegado, en lugar de ser simplemente desarrollado y ordenado por el ejército ruso, incluidas las unidades vinculadas al GRU. Sin embargo, los documentos se refieren a pruebas exigidas por el estado, cambios deseados por los clientes y proyectos terminados, lo que sugiere fuertemente que al menos se activaron versiones de prueba de algunos de los programas.

“No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es algo muy complicado. Esto no estaba destinado a ser visto públicamente”, dijo uno de los funcionarios de inteligencia occidentales, hablando bajo condición de anonimato para compartir evaluaciones sinceras de hallazgos confidenciales. “Pero tiene sentido prestar atención. Porque es mejor que entiendas lo que el GRU está tratando de hacer”.

El Grupo de Análisis de Amenazas de Google, el principal cazador de ciberamenazas de la empresa de tecnología, encontró pruebas en 2012 de que Vulkan estaba siendo utilizado por el SVR, el servicio de inteligencia exterior de Rusia. Los investigadores observaron que se enviaba un correo electrónico de phishing de prueba sospechoso desde una cuenta de Gmail a una cuenta de correo electrónico de Vulkan que había sido configurada por la misma persona, evidentemente un empleado de la empresa.

“[E]l uso de mensajes de prueba es una práctica común para probar los correos electrónicos de phishing antes de su uso”, dijo Google en un comunicado. Después de ese correo electrónico de prueba, los analistas de Google vieron que la misma dirección de Gmail se usaba para enviar malware que se sabía que SVR empleaba contra otros objetivos.

Ese “no fue el movimiento más inteligente” por parte del empleado de Vulkan, dijo un analista de Google, hablando bajo condición de anonimato para describir hallazgos confidenciales. “Definitivamente fue un desliz”.

También se pueden encontrar referencias a la empresa en VirusTotal, un servicio propiedad de Google con una base de datos de software malicioso que es un recurso para los investigadores de seguridad.

Un archivo con la etiqueta “Secret Party NTC Vulkan” es una invitación navideña disfrazada en una pieza de malware que normalmente toma el control de la computadora de un usuario. La invitación, aparentemente inofensiva, descarga automáticamente una ilustración de un gran oso junto a una botella de champán y dos copas.

La imagen está etiquetada como “APT Magma Bear”, una referencia al etiquetado de los funcionarios de seguridad cibernética occidentales de los grupos de piratería rusos con nombres en clave de ursinos. APT se refiere a “amenaza persistente avanzada”, un término de seguridad cibernética para los grupos de piratería más serios, que generalmente están dirigidos por estados nacionales como Rusia.

La invitación dice: “APT Magma Bear les desea a usted y a su familia una maravillosa temporada navideña y un Año Nuevo lleno de salud y paz”, mientras suena música militar soviética de fondo.

Vulkan se fundó en 2010 y tiene alrededor de 135 empleados, según los sitios web rusos de información comercial. El sitio web de la compañía dice que su sede principal está en el noreste de Moscú.

Un video promocional en el sitio web de la compañía retrata a Vulkan como una empresa tecnológica emergente que “resuelve problemas corporativos” y tiene un “ambiente de trabajo cómodo”. Termina declarando que el objetivo de Vulkan es “hacer del mundo un lugar mejor”.

El video promocional no menciona el trabajo de contratación militar o de inteligencia.

“El trabajo fue divertido. Usamos las últimas tecnologías”, dijo un ex empleado en una entrevista, hablando bajo condición de anonimato por temor a represalias. “La gente era muy inteligente. Y el dinero era bueno”.

Algunos ex empleados de Vulkan trabajaron más tarde para las principales empresas occidentales, incluidas Amazon y Siemens. Ambas compañías emitieron comunicados que no cuestionaron que los ex empleados de Vulkan trabajaron para ellos, pero dijeron que los controles corporativos internos protegían contra el acceso no autorizado a datos confidenciales.

Los documentos también muestran que Vulkan tenía la intención de utilizar una variedad de hardware estadounidense para configurar sistemas para los servicios de seguridad rusos. Los documentos de diseño se refieren repetidamente a productos estadounidenses, incluidos los procesadores Intel y los enrutadores Cisco, que deben usarse para configurar los sistemas de “hardware-software” para las unidades militares y de inteligencia rusas.

Hay otras conexiones con empresas estadounidenses. Algunas de esas empresas, incluidas IBM, Boeing y Dell, trabajaron en algún momento con Vulkan, según su sitio web, que describe el trabajo de desarrollo de software comercial sin vínculos obvios con las operaciones de inteligencia y piratería. Los representantes de IBM, Boeing y Dell no cuestionaron que esas entidades trabajaron anteriormente con Vulkan, pero dijeron que ahora no tienen ninguna relación comercial con la empresa.

El grupo de documentos inicialmente se compartió con un reportero del periódico alemán Süddeutsche Zeitung. El consorcio que examina los documentos tiene 11 miembros, incluidos The Post, The Guardian, Le Monde, Der Spiegel, iStories, Paper Trail Media y Süddeutsche Zeitung, de ocho países.

Entre las miles de páginas de documentos Vulkan filtrados hay proyectos diseñados para automatizar y permitir operaciones en las unidades de piratería rusas.

Amezit, por ejemplo, detalla tácticas para automatizar la creación de cantidades masivas de cuentas de redes sociales falsas para campañas de desinformación. Un documento en el caché filtrado describe cómo usar bancos de tarjetas SIM de teléfonos móviles para anular los controles de verificación de nuevas cuentas en Facebook, Twitter y otras redes sociales.

Los reporteros de Le Monde, Der Spiegel y Paper Trail Media, trabajando desde las cuentas de Twitter enumeradas en los documentos, encontraron evidencia de que estas herramientas probablemente se habían utilizado para numerosas campañas de desinformación en varios países.

Un esfuerzo incluyó tuits en 2016, cuando agentes de desinformación rusos estaban trabajando para impulsar al candidato presidencial republicano Donald Trump y socavar a la demócrata Hillary Clinton, con un enlace a un sitio web que afirmaba que Clinton había hecho “un intento desesperado” de “recuperar su liderazgo” buscando apoyo extranjero en Italia.

Los reporteros también encontraron evidencia de que el software se usa para crear cuentas falsas en las redes sociales, dentro y fuera de Rusia, para impulsar narrativas en línea con la propaganda estatal oficial, incluidas las negaciones de que los ataques rusos en Siria mataron a civiles.

Amezit tiene otras características diseñadas para permitir que los funcionarios rusos monitoreen, filtren y vigilen secciones de Internet en las regiones que controlan, según muestran los documentos. Sugieren que el programa contiene herramientas que dan forma a lo que los usuarios de Internet verían en las redes sociales.

El proyecto se describe repetidamente en los documentos como un complejo de sistemas para la “restricción de información del área local” y la creación de un “segmento autónomo de la red de transmisión de datos”.

Un borrador de manual de 2017 para uno de los sistemas de Amezit ofrece instrucciones sobre la “preparación, colocación y promoción de materiales especiales”, probablemente propaganda distribuida utilizando cuentas de redes sociales falsas, llamadas telefónicas, correos electrónicos y mensajes de texto.

Una de las maquetas en un documento de diseño de 2016 permite a un usuario pasar el cursor sobre un objeto en un mapa y mostrar direcciones IP, nombres de dominio y sistemas operativos, así como otra información sobre “objetos físicos”.

Uno de esos objetos físicos, resaltado en verde fluorescente, es el Ministerio de Relaciones Exteriores en Berna, Suiza, que muestra una dirección de correo electrónico hipotética y el “objetivo del ataque” para “obtener privilegios de usuario raíz”. El otro objeto resaltado en el mapa es la central nuclear de Muhleberg, al oeste de Berna. Dejó de producir energía en 2019.

Dmitri Alperovitch, quien cofundó la firma de inteligencia de amenazas cibernéticas CrowdStrike, dijo que los documentos indican que Amezit está destinado a permitir el descubrimiento y mapeo de instalaciones críticas como ferrocarriles y centrales eléctricas, pero solo cuando el atacante tiene acceso físico a una instalación.

“Con acceso físico, puede conectar esta herramienta a una red y mapeará las máquinas vulnerables”, dijo Alperovitch, ahora presidente de Silverado Policy Accelerator, un grupo de expertos en Washington.

Los correos electrónicos sugieren que los sistemas Amezit fueron al menos probados por las agencias de inteligencia rusas en 2020. Un correo electrónico de la empresa con fecha del 16 de mayo de 2019 describe los comentarios del cliente y los deseos de cambios en el programa. Una hoja de cálculo marca qué partes del proyecto se han terminado.

Un documento en el tesoro también sugiere que Vulkan fue contratado en 2018 para crear un programa de capacitación llamado Crystal-2 para proporcionar operación simultánea por hasta 30 aprendices. El documento menciona probar “el sistema Amezit para desactivar [incapacitar] los sistemas de control para el transporte ferroviario, aéreo y marítimo”, pero no aclara si el programa de capacitación concebido en los documentos siguió adelante.

Los aprendices también estarían “probando métodos para obtener acceso no autorizado a computadoras locales y redes tecnológicas de infraestructura e instalaciones para sustentar la vida en centros de población y áreas industriales”, utilizando potencialmente las capacidades que el documento atribuye a Amezit.

Más adelante en el documento, el texto dice: “El nivel de confidencialidad de la información procesada y almacenada en el producto es ‘Top Secret’”.

Skan, el otro proyecto principal descrito en los documentos, permitió a los atacantes rusos analizar continuamente Internet en busca de sistemas vulnerables y compilarlos en una base de datos para posibles ataques futuros.

Joe Slowik, gerente de inteligencia de amenazas de la empresa de seguridad cibernética Huntress, dijo que Skan probablemente fue diseñado para funcionar en conjunto con otro software.

“Este es el sistema de fondo que lo permitiría todo: organizar y potencialmente asignar tareas y orientar las capacidades de una manera que se pueda administrar de forma centralizada”, dijo.

Slowik dijo que es probable que Sandworm, el grupo de hackers militares rusos al que se culpa de numerosos ataques disruptivos, quiera mantener un gran depósito de vulnerabilidades. Un documento de 2019 dice que Skan podría usarse para mostrar “una lista de todos los posibles escenarios de ataque” y resaltar todos los nodos de la red que podrían estar involucrados en los ataques.

El sistema también parece permitir la coordinación entre las unidades de piratería rusas, lo que permite “la capacidad de intercambiar datos entre posibles unidades especiales geográficamente dispersas”, según los documentos filtrados.

“Skan me recuerda a las viejas películas militares donde la gente se para y coloca su artillería y tropas en el mapa”, dice Gabby Roncone, otra experta en seguridad cibernética de Mandiant. “Y luego quieren entender dónde están los tanques enemigos y dónde deben atacar primero para atravesar las líneas enemigas”.

Hay evidencia de que al menos una parte de Skan fue entregada al ejército ruso.

En un correo electrónico del 27 de mayo de 2020, el desarrollador de Vulkan, Oleg Nikitin, describió la recopilación de una lista de empleados “para visitar el territorio de nuestro usuario funcional” para instalar y configurar equipos para el proyecto Skan, actualizar y configurar el software y demostrar la funcionalidad. El usuario funcional se describe como “Khimki”, una referencia al suburbio de Moscú donde se encuentra Sandworm.

“El territorio está cerrado, el régimen es estricto”, escribió Nikitin, usando términos rusos para una instalación gubernamental secreta y protegida.

Nikitin no respondió a una solicitud de comentarios.

Esta investigación fue una colaboración entre periodistas de ocho países que trabajan en 11 organizaciones de noticias, incluido The Washington Post.

Seguir leyendo: