Ciberataques rusos. Las amenazas más turbias para la seguridad, al descubierto

russia-based cyberattackers

Actualmente, la carrera armamentística más desesperada ha dejado de centrarse en producir bombas cada vez más destructivas para centrarse en cómo romper la seguridad digital. Igual que ocurría con la amenaza nuclear, uno de los principales adversarios en este campo es Rusia, cuyos esfuerzos por infiltrar bases de datos virtuales se ha ampliado enormemente, contaminando desde organizaciones políticas hasta plantas energéticas y demostrando que las incursiones pueden ser tan efectivas como escurridizas.

Aun así, los servicios de inteligencia gubernamentales de distintos países del mundo han logrado registrar e identificar algunas de estas amenazas originadas en Rusia. En su investigación, estas agencias han desvelado la identidad de los grupos responsables y las principales metodologías empleadas en los ciberataques.

Ahora que Rusia está protagonizando despliegues físicos en el mundo, no hay palabras para enfatizar la importancia de comprender cómo operan estos grupos para los expertos en comunicaciones digitales. Si te preocupa mantenerte a salvo, es fundamental que seas consciente de los peligros que hay ahí fuera.

Snake

Una de las figuras que sobresalen en la lista de delincuentes digitales de Rusia es Snake, un colectivo de hackers que parece estar en funcionamiento desde 2004. La asociación está considerada por la Oficina Federal para la Protección de la Constitución de Alemania (BfV) como el “Santo Grial del espionaje” y recibe la máxima clasificación posible en el índice de amenazas persistentes avanzadas (Advanced Persistent Threat o APT).

El primer ataque conocido de Snake fue realizado en diciembre de 2017, cuando el malware que infectó el Ministerio de Exteriores alemán empezó a tomar el control de sus ordenadores para entrar en sitios web falsificados. Esto permitió a Snake recoger datos de los servidores del Ministerio y acceder a documentación clasificada.

Por suerte para los investigadores, sin embargo, los ciberatacantes dejaron dos nombres de usuario en las bases de datos hackeadas: “Vlad” y “Urik”. A pesar de su vaguedad, estos nicks sirvieron para encontrar un rastro de los ataques hacia la empresa rusa Center-Inform. Como Center-Inform tiene vínculos conocidos con el Servicio de Seguridad Federal de Rusia (FSB), las comunidades de inteligencia a nivel mundial han concluido que Snake opera como un grupo de ciberataques patrocinado por el Estado ruso.

Tanto el BFV alemán como la agencia de inteligencia canadiense CSE describen el malware creado por Snake como un “genio” por su diseño. Este piropo revela principalmente la efectividad del malware a la hora de ejecutar ciberataques reales: cuando infecta un ordenador, un hacker puede utilizarlo para recoger datos ilícitamente sin mucho esfuerzo.

Por supuesto, esto solo ocurre cuando los dispositivos están infectados. Sin embargo, como muestran otros ejemplos, esta infección inicial no siempre es consecuencia de una entrada por la fuerza en el sistema.

Fancy Bear

Si seguías la política americana en 2016, este nombre te sonará de algo. Fancy Bear, también conocido como APT28 o Sofacy, irrumpió en los medios tras ser vinculado con los ciberataques ejecutados en la campaña presidencial de Hillary Clinton, el Comité Nacional Demócrata y el Comité de Campaña del Congreso Demócrata en 2016. Sin embargo, se cree que el grupo es responsable de otros ataques entre 2014 y 2018 en entidades de alto perfil, incluyendo la Agencia Mundial contra el Dopaje, la Organización para la Prohibición de Armas Químicas y el laboratorio químico suizo Spiez.

Los objetivos de Fancy Bear no se limitan a los Estados Unidos y la parte occidental de Europa, ni tampoco se conforman con atacar organizaciones. Otras notables víctimas de los ciberataques del grupo incluyen a periodistas de Rusia, Ucrania y Moldavia que son críticos con Vladimir Putin. Entre 2014 y 2016, entre las operaciones rusas en Ucrania y Crimea, los ciberataques relacionados con Fancy Bear incluso afectaron a unidades de artillería ucranianas, dejándolas inoperativas.

Los objetivos de Fancy Bear coinciden ampliamente con los intereses estatales de Rusia, por lo que es fácil asumir que están asociados con el Kremlin. Además, las investigaciones desarrolladas por la firma de ciberseguridad CrowdStrike, el Ministerio de Exteriores y relaciones con la Commonwealth de Reino Unido y la Oficina del Asesor Legal de Estados Unidos vinculan a Fancy Bear con el gobierno ruso y la agencia de inteligencia rusa GRU.

Lo que hace que Fancy Bear destaque entre los ciberataques es su metodología. El grupo normalmente no obtiene los datos mediante una infiltración por la fuerza sino por la ingeniería social: crea sitios webs que engañan a los usuarios para que introduzcan datos confidenciales. Muchas de sus campañas han sido incluso el resultado de comunicaciones telefónicas que inducen a los destinatarios a compartir sus credenciales de inicio de sesión (conocido como phishing o, en el caso de dirigirse a una persona o cuenta importante, spear phishing). Cuando los objetivos hacen clic en estos sitios webs o introducen sus credenciales, Fancy Bear infecta el dispositivo que ilícitamente recoge datos del propio dispositivo y su red.

Fancy Bear es muy efectivo al cumplir lo que se propone y es incluso capaz de realizar varias campañas de hackeo simultáneas. Sin embargo, está muy lejos de ser el único grupo ruso que recurre a este tipo de técnicas.

Cozy Bear

Otra entidad con fuertes lazos con Rusia conocida por hacer un intenso uso del phishing es Cozy Bear, también llamada APT29 o The Dukes. Con actividad al menos desde 2008, se cree que Cozy Bear está asociada con el Servicio de Inteligencia Exterior ruso (SVR) y ataca redes gubernamentales en Europa, especialmente en los Estados miembros de la OTAN. Otros objetivos del grupo incluyen think tanks y, según parece, también el Comité Nacional Demócrata en Estados Unidos.

El ciberataque más impactante de Cozy Bear tuvo lugar en 2020 con una fuga de datos masiva en SolarWinds. SolarWinds, una firma tecnológica estadounidense, fue infiltrada por seguidores de Cozy Bear para colocar malware de recogida de datos en el principal sistema de la empresa. Esta acción no tardó en expandirse hasta alcanzar miles de víctimas ya que SolarWinds distribuyó el código alterado sin saberlo mediante una actualización, transmitiendo el problema a sus principales clientes, incluyendo Microsoft, Intel y el Departamento de Defensa de Estados Unidos.

Igual que Fancy Bear, Cozy Bear utiliza spear phishing como su principal medio para acceder a los sistemas, con enormes campañas que aspiran a conseguir las credenciales de personajes importantes en organizaciones clave. El grupo es conocido por su tremenda persistencia en estos esfuerzos, y no duda en renovar sus intentos contra un mismo objetivo si pierde el acceso conseguido.

Sandworm

Aunque es el principal nombre con el que se conoce a este grupo, también se llama Voodoo Bear en algunos círculos. Pero con independencia del nombre que tenga, Sandworm es uno de los ciberatacantes vinculados con Rusia con peor reputación.

Asociado con el GRU, el Departamento Central de Inteligencia ruso, el grupo llevó a cabo el mayor ciberataque único en la historia con sus ataques de malware a NotPetya, que en 2017 afectó simultáneamente a Francia, Alemania, Italia, Polonia, Reino Unido, Estados Unidos y especialmente a Ucrania, costando a las víctimas un total de 10 mil millones de dólares en daños.

En acciones más recientes, Sandworm ha desarrollado un malware llamado Cyclops Blink, que agentes malintencionados han logrado colocar en dispositivos de red producidos por el proveedor de seguridad IT Watchguard. Según las agencias de inteligencia estadounidenses, Cyclops Blink es un digno sucesor del programa VPNFilter de Sandworm. Años antes, VPNFilter infectó redes de rúters y se propagó a medio millón de equipos, convirtiéndolas en una botnet global controlada por Sandworm y, en consecuencia, por el GRU.

¿Cuál es el objetivo final de VPNFilter? O, en este caso, ¿cuál es el objetivo de Cyclops Blink? La verdad es que no lo sabemos del todo. Si bien es probable que Sandworm haya instalado este malware con propósitos de vigilancia, es igual de posible que estén implementando una infraestructura digital para encubrir las comunicaciones con origen en Rusia. Igualmente, la razón podría ser sentar las bases para una alteración masiva de las redes afectadas. A este respecto, vale la pena recordar que Sandworm fue capaz de tumbar partes importantes de la red eléctrica ucraniana en 2015.

La buena noticia es que, en el caso de Cyclops Blink, Watchguard consiguió solucionar con éxito la vulnerabilidad que Sandworm utilizó para acceder y los usuarios pudieron deshacerse del malware limpiando sus dispositivos y reinstalando el software. Sin embargo, el ejemplo ilustra perfectamente que el hardware personal puede ser un vehículo para herramientas que involuntariamente faciliten ciberataques.

Buenas prácticas y lecciones aprendidas

Por mucho que estos grupos quieran mostrarse como ocultos e imparables, lo cierto es que ninguna de sus metodologías garantiza el acceso que buscan. Incluso cuando expertos piratas informáticos acechan en la red, una combinación de buenas prácticas de seguridad y un software con diseño inteligente son aliados extraordinarios para mantener la seguridad.

Entre estas buenas prácticas, la principal es contar con formación contra los intentos de phishing. Es decir: no hacer clic en enlaces sospechosos, no responder a correos electrónicos de spam y nunca contestar mensajes con tus credenciales de acceso o la información para recuperar tus cuentas. Con el simple hecho de guardar distancias con webs y archivos sospechosos, estarás protegiéndote. Sin embargo, lo mejor es que consideres también incorporar mecanismos adicionales de seguridad en las cuentas importantes con la autenticación de doble factor o el inicio de sesión único.

En cuanto a la infraestructura del sistema, pasar del hardware instalado en una sede física a la nube también ofrece protección virtual reforzada. Piensa en cuántas veces los ciberatacantes utilizan malware que aprovecha el hardware para ejecutar sus acciones: cuando el sistema pasa a la nube, este riesgo se mitiga notablemente porque las vulnerabilidades se solucionan en cuanto se lanza el hotfix correspondiente y porque ya no existe un dispositivo de hardware tradicional que se pueda infectar.

En términos generales, por supuesto, sigue valiendo la pena utilizar un sistema que cuente con protocolos de seguridad inteligentes. En lo que respecta a las comunicaciones digitales, Wildix destaca por contar con una estructura completamente segura por diseño, desde su concepción, gracias a la combinación de tecnologías que protegen a los usuarios de infiltraciones y fisgones indeseables sin VPN, SBC ni otros productos añadidos. Puedes leer más sobre las prácticas de seguridad de Wildix en nuestra guía.

Con independencia de lo que hagas y lo que elijas, hacerlo con total seguridad nunca ha sido tan esencial como ahora. A medida que Rusia actúa en Ucrania, es más fácil que lancen potentes ciberataques y se dirijan al hardware extranjero para redoblar sus actuaciones en el proceso militar. Si quieres alejarte de estos esfuerzos bélicos, empieza por conocer los métodos de ciberataque más comunes en Rusia y por mantener tus dispositivos a salvo frente a ellos.

Para más consejos sobre ciberseguridad y protección digital, ¡suscríbete para recibir gratis nuestro magazine!

Social Sharing

Deja un comentario