La guerra híbrida en Ucrania

Un mapa de Ucrania

Por: Tom Burt, vicepresidente corporativo de seguridad y confianza para el cliente.

Hemos publicado un informe que detalla los implacables y destructivos ataques cibernéticos rusos que hemos observado en una guerra híbrida contra Ucrania, y lo que hemos hecho para ayudar a proteger a las personas y organizaciones ucranianas. Creemos que es importante compartir esta información para que los legisladores y el público de todo el mundo sepan lo que sucede, y para que otros en la comunidad de seguridad puedan continuar con la identificación y defensa contra esta actividad. Todo este trabajo se centra en última instancia en proteger a los civiles de los ataques que pueden afectar de manera directa sus vidas y su acceso a servicios críticos.

Justo antes de la invasión, hemos visto al menos seis actores de estados-nación alineados con Rusia lanzar más de 237 operaciones contra Ucrania, incluidos ataques destructivos que están en curso y amenazan el bienestar de los civiles. Los ataques destructivos también han estado acompañados de amplias actividades de espionaje e inteligencia. Los ataques no solo han degradado los sistemas de las instituciones en Ucrania, sino que también han buscado interrumpir el acceso de las personas a información confiable y servicios vitales críticos de los que dependen los civiles, y han intentado socavar la confianza en el liderazgo del país. También hemos observado una actividad de ataque de espionaje limitada que involucra a los estados miembros de la OTAN y alguna actividad de desinformación.

Como se detalla en este nuevo informe, el uso de ciberataques por parte de Rusia parece estar correlacionado y, a veces, sincronizado de manera directa con sus operaciones militares cinéticas dirigidas a servicios e instituciones cruciales para los civiles. Por ejemplo, un actor ruso lanzó ataques cibernéticos contra una importante empresa de radiodifusión el 1 de marzo, el mismo día que el ejército ruso anunció su intención de destruir objetivos de “desinformación” ucranianos y dirigió un ataque con misiles contra una torre de televisión en Kiev. El 13 de marzo, durante la tercera semana de la invasión, otro actor ruso robó datos de una organización de seguridad nuclear semanas después de que las unidades militares rusas comenzaran a capturar plantas de energía nuclear, lo que generó preocupaciones sobre la exposición a la radiación y accidentes catastróficos. Mientras las fuerzas rusas sitiaban la ciudad de Mariupol, los ucranianos comenzaron a recibir un correo electrónico de un actor ruso que se hacía pasar por residente de Mariupol, donde acusaba de manera falsa al gobierno de Ucrania de “abandonar” a los ciudadanos ucranianos.

Los destructivos ataques que hemos observado, que suman cerca de 40 y tienen como objetivo cientos de sistemas, han sido en especial preocupantes: el 32% de los ataques destructivos se dirigieron de manera directa a organizaciones gubernamentales ucranianas a nivel nacional, regional y de ciudad. Más del 40% de los ataques destructivos estaban dirigidos a organizaciones en sectores de infraestructura crítica que podrían tener efectos negativos de segundo orden en el gobierno, el ejército, la economía y la población civil de Ucrania. Los actores que participan en estos ataques utilizan una variedad de técnicas para obtener acceso inicial a sus objetivos, incluido el phishing, el uso de vulnerabilidades sin parches y comprometer a los proveedores de servicios de TI aguas arriba. Estos actores a menudo modifican su malware con cada implementación para evadir la detección. En particular, nuestro informe atribuye los ataques de malware de limpieza, que revelamos de manera previa, a un actor del estado-nación ruso al que llamamos Iridium.

Este nuevo informe también incluye una cronología detallada de las operaciones cibernéticas rusas que hemos observado. Los actores alineados con Rusia comenzaron a prepararse para el conflicto ya en marzo de 2021, al intensificar las acciones contra organizaciones internas o aliadas con Ucrania para ganar una mayor presencia en los sistemas ucranianos. Cuando las tropas rusas comenzaron a moverse hacia la frontera con Ucrania, vimos esfuerzos para obtener acceso inicial a objetivos que podrían proporcionar inteligencia sobre las asociaciones militares y extranjeras de Ucrania. A mediados de 2021, los actores rusos se dirigieron a los proveedores de la cadena de suministro en Ucrania y en el extranjero para asegurar un mayor acceso no solo a los sistemas en Ucrania sino también a los estados miembros de la OTAN. A principios de 2022, cuando los esfuerzos diplomáticos no lograron reducir las crecientes tensiones en torno a la acumulación militar de Rusia a lo largo de las fronteras de Ucrania, los actores rusos lanzaron ataques destructivos de malware de limpieza contra organizaciones ucranianas con una intensidad cada vez mayor. Desde que comenzó la invasión rusa de Ucrania, se han desplegado ciberataques rusos para apoyar los objetivos estratégicos y tácticos de las fuerzas armadas. Es probable que los ataques que hemos observado sean solo una fracción de la actividad dirigida a Ucrania.

Los equipos de seguridad de Microsoft han trabajado en estrecha colaboración con funcionarios del gobierno ucraniano y personal de seguridad cibernética en organizaciones gubernamentales y empresas privadas para identificar y remediar la actividad de amenazas contra las redes ucranianas. En enero de este año, cuando Microsoft Threat Intelligence Center (MSTIC) descubrió malware de limpieza en más de una docena de redes en Ucrania, alertamos al gobierno ucraniano y publicamos nuestros hallazgos. Luego de ese incidente, establecimos una línea de comunicación segura con funcionarios cibernéticos clave en Ucrania para asegurarnos de poder actuar de manera rápida con socios de confianza para ayudar a las agencias, empresas y organizaciones gubernamentales de Ucrania a defenderse de los ataques. Esto ha incluido el intercambio de inteligencia de amenazas las 24 horas del día, los 7 días de la semana, y la implementación de contramedidas técnicas para derrotar al malware observado.

Dado que los actores de amenazas rusos han reflejado y aumentado las acciones militares, creemos que los ataques cibernéticos continuarán en aumento a medida que se desarrolla el conflicto. Los actores de la amenaza del estado-nación ruso pueden tener la tarea de expandir sus acciones destructivas fuera de Ucrania para tomar represalias contra aquellos países que decidan brindar más asistencia militar a Ucrania y tomar más medidas punitivas contra el gobierno ruso en respuesta a la agresión continua. Hemos observado que actores alineados con Rusia activos en Ucrania muestran interés o realizan operaciones contra organizaciones en los países bálticos y Turquía: todos los estados miembros de la OTAN que brindan apoyo político, humanitario o militar a Ucrania de manera activa. Las alertas publicadas por CISA y otras agencias gubernamentales de los Estados Unidos, y los funcionarios cibernéticos en otros países, deben tomarse en serio y deben tomarse las medidas defensivas y de resiliencia recomendadas, en especial por parte de las agencias gubernamentales y las empresas de infraestructura crítica. Nuestro informe incluye recomendaciones específicas para organizaciones que pueden ser blanco de actores rusos, así como información técnica para la comunidad de ciberseguridad. Brindaremos actualizaciones a medida que observemos actividad y creamos que podemos divulgar nuevos desarrollos de manera segura.

Tags: , , ,

Publicaciones Relacionadas