Booz Allen analizó más de 200 operaciones de piratería rusas para comprender mejor sus tácticas


hacker ruso

Booz Allen Hamilton, el mayor contratista privado de la comunidad de inteligencia de EE. UU., Ha publicado un informe exhaustivo esta semana que detalla 15 años (2004 a 2019) de operaciones cibernéticas llevadas a cabo por piratas informáticos militares rusos.

El informe es una rareza en la comunidad de seguridad cibernética porque se centra en la imagen más amplia de cómo los militares de Rusia usan sus unidades de piratería para apoyar su política exterior en todo el mundo.

Esto contrasta con la mayoría de los otros informes de la industria de infosec que generalmente centran sus investigaciones en eventos aislados, evitan cualquier análisis político y rara vez atribuyen ataques a gobiernos extranjeros.

En cambio, el informe de Booz Allen toma todos los informes anteriores sobre hacks rusos anteriores y los coloca en un contexto político más amplio, para comprender por qué ocurrieron, en lugar de cómo, qué malware se usó y quién presionó qué botón y cuándo.

El GRU

Más específicamente, el informe Booz Allen se centra en las operaciones cibernéticas llevadas a cabo por el servicio de inteligencia adscrito al ejército de Rusia.

Conocida como la Dirección Principal del Estado Mayor General de las Fuerzas Armadas, esta agencia de inteligencia es ampliamente conocida en Rusia y en el extranjero por su antiguo acrónimo, el GRU, derivado de su nombre histórico Glávnoye Razvedyvatel'noje Upravléniye (Dirección Principal de Inteligencia, o GRU) . El nombre actual de la agencia es Glávnoye Upravléniye (Dirección principal), o GU, pero este término rara vez se usa, y el servicio todavía se llama GRU.

Por contexto, GRU es diferente del servicio de inteligencia interna del gobierno ruso, que se conoce como FSB, un sucesor del infame KGB. A diferencia del FSB, GRU solo apoya las operaciones militares de Rusia y la política exterior del Kremlin.

En los últimos 15 años, el GRU se ha relacionado con dos grupos de piratería muy distintos. El primero es APT28 (también conocido como Fancy Bear) y el segundo es Gusano de arena.

Se cree que cada grupo de piratas es una unidad militar diferente dentro del servicio de inteligencia de Rusia, específicamente encargado de llevar a cabo operaciones cibernéticas de diversos grados de sofisticación, y se cree que Sandworm es la división de élite del GRU.

Los ataques de GRU se pueden predecir con la doctrina militar de Rusia

Según el informe de Booz Allen, las operaciones cibernéticas realizadas por ambos grupos no se pueden ver de forma aislada. Se llevan a cabo casi exclusivamente en un contexto político más amplio.

Siendo el GRU una operación militar, todas las acciones siguen un conjunto de patrones. Booz Allen dice que analizó más de 200 incidentes cibernéticos únicos atribuidos públicamente al GRU y encontró ese patrón.

Según el contratista de inteligencia de Estados Unidos, ese patrón encaja perfectamente con los principios descritos en un documento del gobierno ruso llamado "La Doctrina Militar de la Federación de Rusia", que el Ejército ruso publica a intervalos regulares.

La última versión de este documento se publicó en 2014 y enumera 23 riesgos de seguridad para la Federación de Rusia a los que el Ejército ruso debe responder de una forma o forma.

gru-doctrine.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/27/e17742bf-2a3b-42ab-b00b-78d326afcaa1/gru-doctrine.png

Imagen: Booz Allen Hamilton

En un grueso informe de 80 páginas, Los analistas de Booz Allen clasificaron y organizaron los más de 200 ataques cibernéticos GRU anteriores en una de estas 23 categorías, mostrando cómo cada ataque cibernético era el mecanismo defensivo natural de Rusia para responder al entorno político cambiante a su alrededor.

La conclusión final de este informe es que se pueden predecir las operaciones cibernéticas ofensivas de GRU.

Las empresas o gobiernos que encuentran que sus agendas se cruzan con el gobierno ruso de una manera que el Kremlin podría interpretar como uno de los 23 riesgos enumerados en su doctrina de respuesta militar deberían anticipar un ataque de los famosos grupos de piratas informáticos de Rusia.

"Defender contra las operaciones cibernéticas, como las de GRU, exige comprender no solo cómo ocurren estas operaciones sino, lo que es más importante, por qué", dijeron los analistas de Booz Allen esta semana. "Al comprender por qué actúan los adversarios, los defensores pueden anticipar mejor cuándo, dónde y de qué forma pueden ocurrir esas acciones y tomar medidas deliberadas para mitigar su riesgo en función de esa información".

No enumeraremos todos los más de 200 ciberataques GRU conocidos del informe Booz Allen en este artículo, ya que terminaremos con una pieza igualmente larga.

Sin embargo, a continuación enumeramos algunos incidentes internacionales en los que Rusia respondió desatando sus unidades de piratería GRU. Luego correlacionamos cómo un ciberataque particular podría correlacionarse con uno o más de los 23 principios descritos en su doctrina militar.

Nos centraremos en los incidentes menos conocidos y no cubriremos los incidentes mayores.

Montenegro

Rusia intervino en los asuntos de Montenegro después de que el país quisiera unirse a la OTAN. Según su doctrina militar, Rusia considera que la expansión de la OTAN es el número 1 en su lista de riesgos de seguridad.

Las operaciones de GRU fueron cruciales en los intentos del Kremlin de elegir un gobierno pro-ruso y evitar que el país se uniera a la OTAN.

  • Tres días antes de las elecciones, los operadores de GRU llevaron a cabo ataques DDoS para perturbar los sitios de medios, la mayor empresa de telecomunicaciones del país, una ONG que supervisa las elecciones y los sitios del gobierno con el fin de interrumpir las próximas elecciones y sembrar la confusión.
  • Booz Allen señala que las operaciones de GRU también recibieron ayuda de fuerzas no militares, con Rusia canalizando fondos a grupos políticos opuestos y también "buscaron coordinarse con políticos, clérigos, ONG y medios de comunicación".
  • La operación GRU para evitar que Montenegro elija a un político favorable a Occidente también incluyó un componente sobre el terreno. En ese momento, la policía montenegrina arrestó a oficiales y agentes de GRU que supuestamente planeaban atacar el parlamento, asesinar al primer ministro y provocar disturbios civiles con ataques de falsa bandera contra civiles.
  • Después de que Montenegro se unió a la OTAN, las operaciones de GRU volvieron a sus unidades de piratería, que continuaron en línea con campañas de phishing.

Siria

GRU apoyó los esfuerzos de guerra de Rusia en Siria, ya que el Kremlin intentó preservar a un líder en el poder amigo de Putin. Este esfuerzo encaja con la doctrina militar de Rusia de mantener un clima político estable a su alrededor y evitar que las potencias extranjeras desestabilicen a sus aliados y vecinos (# 2 en su lista de doctrina militar).

  • Según Booz Allen, "el GRU probablemente respondió a estas circunstancias (intervención militar estadounidense en Siria) utilizando una identidad hacktivista del EIIL para hostigar e intimidar a las comunidades militares y policiales estadounidenses desde diciembre de 2014 hasta febrero de 2015".
  • Los operadores de GRU desfiguraron los sitios web de medios de comunicación en los Estados Unidos para dar la impresión de que ISIL controlaba considerables recursos cibernéticos.
  • Los operadores de GRU filtraron datos personales para miembros del servicio de EE. UU. Algunos de los datos se filtraron incluso a través de cuentas de redes sociales pirateadas para el Comando Central Militar de los EE. UU. (CENTCOM).
  • Los operadores de GRU piratearon el sistema de alerta de mensajes de texto de un canal de televisión de Maryland para enviar mensajes amenazantes a los suscriptores. Junto con los esfuerzos militares de Rusia dentro de Siria, los esfuerzos en línea de GRU parecen haber sido exitosos, ya que el apoyo del público estadounidense a una guerra en Siria disminuyó y los EE. UU. Finalmente retiraron sus fuerzas.

Polonia

Las operaciones de ciberespionaje de GRU desempeñaron un papel en la respuesta del gobierno ruso a la creación de una importante base de la OTAN en Polonia. Esto se ajusta a la respuesta obligatoria de Rusia a la presencia cada vez mayor de la OTAN en la región (# 1 en su doctrina militar) pero también al peligro de que potencias extranjeras desplieguen tropas cerca de las fronteras de Rusia (# 3 en su doctrina militar).

  • A partir del verano de 2014, GRU estuvo muy involucrado en el "monitoreo del gobierno polaco y los sectores de defensa".
  • Esto se hizo mediante ataques de "abrevadero". Los hackers vinculados a GRU comprometieron sitios web pertenecientes a un sitio web de registros públicos del gobierno polaco y una empresa de defensa polaca desde donde utilizaron exploits automatizados para instalar una puerta trasera en los sistemas de los visitantes.
  • Según Booz Allen, el uso de un abrevadero, a diferencia de la pesca submarina más específica, sugiere la desesperación por obtener la máxima visibilidad alrededor de muchos elementos polacos (es decir, formuladores de políticas, proveedores).
  • Cuando en 2018 Rusia propuso crear una base similar en Bielorrusia para contrarrestar la base de Polonia de la OTAN, Bielorrusia se negó. El mismo mes, los hackers de GRU comenzaron a atacar al gobierno de Bielorrusia con operaciones de phishing.

Rumania

Los hackers de GRU comenzaron a atacar a Rumania después de que el país aumentara sus gastos militares y operaciones militares. Al igual que en el caso de Polonia, Rusia respondió a un país extranjero que aumentó su presencia militar en un área de interés: el Mar Negro, en este caso (también # 3 en su doctrina militar).

  • En el mismo mes en que Rumanía propuso la creación de una unidad militar conjunta con el país vecino Moldavia, los operadores de GRU lanzaron ataques de phishing contra la embajada de Rumanía en Rusia para monitorear de cerca futuros desarrollos.
  • Después de que Rusia anexó Crimea en 2014, Rumania hizo pedidos de tres submarinos y cuatro buques de superficie para modernizar la presencia de su armada en el Mar Negro. Un mes después, varias operaciones de phishing dirigido a entidades rumanas, con muestras de malware asociadas con GRU que a menudo se cargan en el portal de detección de virus VirusTotal desde Rumania.

Dinamarca

Las operaciones de piratería de GRU se centraron en Dinamarca durante años después de que el país anunciara que se uniría al Sistema de Defensa de Misiles de la OTAN.

Aquí, Rusia respondió a los Estados Unidos minando sus capacidades de disuasión militar desplegando un sistema antimisiles cerca de su frontera (# 4 en su doctrina militar).

  • El 15 de marzo, el embajador de Rusia en Dinamarca advirtió en una entrevista en el periódico que Dinamarca se une a la "defensa antimisiles controlada por Estados Unidos (hace) buques de guerra daneses … objetivos para misiles nucleares rusos".
  • Diez días después, GRU lanza un esfuerzo de dos años para hackear cuentas de correo electrónico para empleados del Ministerio de Asuntos Exteriores y Defensa danés.

Reino Unido

Rusia desplegó sus hackers militares contra el Reino Unido después de que el país consideró desplegar tropas en Siria, un movimiento obvio que lo puso en desacuerdo con Rusia (# 2 y # 8 en su doctrina militar).

  • Los hackers del GRU establecieron cabezas de playa preventivas en una estación de televisión del Reino Unido el mismo mes en que el gobierno del Reino Unido estaba considerando enviar tropas a Siria, en julio de 2015.
  • El canal de televisión se llamaba Islam Channel, y se creía que GRU lo usaría para atacar a la comunidad islámica del Reino Unido con propaganda.
  • También se vieron ataques similares en estaciones de televisión en Francia y los EE. UU., Los socios del Reino Unido, todos bajo la apariencia de un grupo hacktivista alineado con el EIIL llamado CyberCaliphate.

NOSOTROS

Rusia desplegó APT28 para entrometerse en las elecciones presidenciales estadounidenses de 2016 después de que Estados Unidos rompió el riesgo de seguridad # 14 en su doctrina militar – actividades subversivas patrocinadas por el Estado dirigidas a Rusia – cuando EE. UU. Realizó una campaña de influencia extranjera patrocinada por el estado para apoyar al rival del presidente Putin durante las elecciones presidenciales rusas de 2012.

Lo que siguió fue el hack de DNC, APT28 haciéndose pasar por el hacktivista Guccifer 2.0, DCLeaks, y un ejército de trolls en línea y redes de sitios de noticias falsas dirigidos al público estadounidense.

Organizaciones deportivas internacionales

Rusia también desplegó sus piratas informáticos GRU para desacreditar a las organizaciones deportivas internacionales en todo el mundo después de que se prohibió a los atletas rusos participar en varios eventos deportivos.

En ese momento, parecía extraño que los piratas informáticos estatales rusos fueran tras las organizaciones deportivas, ya que este no es el objetivo habitual de un grupo de piratas informáticos patrocinado por el estado. Pero según Booz Allen, la AMA que prohibió a los atletas rusos de los Juegos Olímpicos equivalía a una vergüenza pública para el estado ruso, y efectivamente rompió el principio # 17 en la doctrina militar de Rusia, que vio la prohibición de la AMA como un ataque a la patria histórica, espiritual y patriótica rusa. valores y tradiciones.

Fiel a su doctrina militar, el ruso desató a sus piratas informáticos GRU, lo que llevó a algunas de las campañas de piratería no estándar respaldadas por el estado vistas en esta década, junto al pirateo de Sony de 2014.

  • El GRU pirateó la Agencia Mundial Antidopaje (AMA) en 2016 y se filtró a través de identidades hacktivistas proxy falsas: exenciones de uso terapéutico (TUE) de atletas extranjeros.
  • El objetivo era establecer un falso sentido de equivalencia moral entre los atletas rusos que se doparon y los atletas de otros países que usaban sustancias dopantes por razones médicas. Esta narrativa fue fuertemente impulsada por los medios estatales rusos, una vez que el GRU filtró los archivos TUE.
  • Los piratas informáticos de GRU también intentaron sabotear y estrellar la ceremonia de inauguración de los Juegos Olímpicos de Invierno de 2018, dos años después, también como una respuesta a los atletas rusos que aún tienen prohibido participar en los Juegos Olímpicos.

Decenas de otros estudios de casos se detallan más adelante en Informe Booz Allen.



Enlace a la noticia original