Seis miembros de la omnipresente pero esquiva operación de piratería militar rusa detrás de algunos de los ciberataques selectivos más destructivos del mundo (la pink eléctrica de Ucrania en 2015 y 2016, NotPetya y los Juegos Olímpicos de Invierno de 2018) han sido acusados por el Departamento de Justicia de EE. UU. estos y otros delitos informáticos.
Funcionarios del Departamento de Justicia y del FBI revelaron hoy una acusación official del 15 de octubre que nombra y acusa a oficiales de la Unidad 74455 de la Dirección de Inteligencia Principal de Rusia (GRU) de Rusia, también conocida como Sandworm, APT28, VooDoo Bear, en siete cargos de conspiración, piratería informática, fraude electrónico, robo de identidad agravado y registro falso de un nombre de dominio.
La acusación de amplio alcance detalla los presuntos delitos cibernéticos entre noviembre de 2015 y octubre de 2019 realizados a instancias del gobierno ruso, incluidos los ataques de diciembre de 2015 y diciembre de 2016 contra la red eléctrica, los departamentos de finanzas y tesorería de Ucrania utilizando el malware BlackEnergy, Industroyer y KillDisk ataques a las elecciones francesas de 2017 con malware y filtraciones de datos el infame ataque NotPetya de junio de 2017 que destruyó datos bajo la apariencia de ransomware, incluidos $ 1 mil millones en pérdidas para tres organizaciones estadounidenses y hacks de los Juegos Olímpicos de Invierno de 2018, incluido el malware Olympic Destroyer.
Los cargos también abarcan ataques de spear-phishing en abril de 2018 contra organizaciones que investigan el envenenamiento de Sergei Skripal y su hija en el Reino Unido, y ataques dirigidos contra una empresa de medios y agencias gubernamentales en la nación de Ga.
«Como muestra este caso, ningún país ha armado sus capacidades cibernéticas de manera tan maliciosa e irresponsable como Rusia, causando sin precedentes daños colaterales sin precedentes para perseguir pequeñas ventajas tácticas y arrebatos de rencor», dijo hoy el Secretario de Justicia Auxiliar de Seguridad Nacional, John Demers, en una prensa del Departamento de Justicia. conferencia anunciando la acusación.
La acusación nombra a Yuriy Sergeyevich Andrienko, de 32 años Sergey Vladimirovich Detistov, de 35 años Pavel Valeryevich Frolov, de 28 años Anatoliy Sergeyevich Kovalev, de 29 años Artem Valeryevich Ochichenko, 27 años y Petr Nikolayevich Pliskin, de 32 años.
Esta no es la primera vez que el GRU ha estado en la mira del Departamento de Justicia: en octubre de 2018, el Departamento de Justicia acusó a varios miembros de su Unidad Militar 26165 por esfuerzos de piratería y desinformación contra el antidopaje y otros esfuerzos. Kovalev fue nombrado en esa acusación por supuestamente irrumpir en las bases de datos de las elecciones estatales de votantes de EE. UU. durante las elecciones de 2016.
Y según la acusación, Kovalev supuestamente también estaba apuntando a organizaciones rusas, específicamente a empresas inmobiliarias, concesionarios de automóviles y proveedores de criptomonedas en su país. Si bien el gobierno ruso a menudo mira para otro lado cuando los ciberdelincuentes que contrata atacan los intereses de otras naciones, se sabe que el país emprende acciones legales contra los piratas informáticos que atacan los intereses rusos. No está claro si el GRU conocía el pluriempleo de Kovalev.
Los acusados de Sandworm son parte de uno de los grupos de piratería de estado-nación más activos y prolíficos. «Tienen una hoja de antecedentes penales que incluye muchos de los 10 principales éxitos» de los ciberataques, dice John Hultquist, director senior de análisis de Mandiant Threat Intelligence en FireEye. «Lo que separa a estos tipos de otros actores es que están llevando a cabo estos ataques más allá de los límites: no es un espionaje clásico. Es una interrupción de los sistemas».
Hultquist señala que, si bien la piratería electoral en Estados Unidos no es parte de la última acusación, Sandworm dirigió la operación de filtración durante los esfuerzos de Rusia de 2016 por entrometerse en las elecciones y pirateó la infraestructura electoral. «Definitivamente deberían estar en nuestro radar para las próximas elecciones», dice.
Matt Olney, director de inteligencia de amenazas e interdicción en Cisco Talos, que ayudó en la investigación del Departamento de Justicia que condujo a las acusaciones, dice que Sandworm es notoriamente «silencioso» y difícil de detectar. «Estos tipos operan muy silenciosamente en su mayor parte. Cuando los ve, yo diría que ellos eligen que usted los vea», dice, como con sus infames ataques destructivos detallados en la acusación.
No es probable que la acusación frene ninguna operación cibernética que Rusia haya lanzado contra esta elección estadounidense, señala Hultquist. «Si están haciendo algo en cuanto a elecciones, desafortunadamente, probablemente ya esté en proceso», y es possible que Sandworm filtre cualquier información robada, dice.
«Grandes Exitos
Justo antes de la Navidad de 2015, los atacantes Sandworm supuestamente piratearon las redes de tres empresas de distribución de energía en Ucrania y cortaron la electricidad a unos 225.000 clientes ucranianos. Lo mejoraron un año después, en diciembre de 2016, desatando un malware conocido como Industroyer que borró archivos en los sistemas de una compañía eléctrica y cortó la energía en Kiev durante aproximadamente una hora.
El 27 de junio de 2017, los atacantes presuntamente eliminaron el malware NotPetya a través de un programa de contabilidad popular utilizado en Ucrania, llamado M.E.Doc, al apoderarse del mecanismo de actualización del software package y cargar su malware a los usuarios del application. Disfrazado de ransomware, el malware era en realidad un limpiador que destruía los datos de las máquinas infectadas. Entre las víctimas radicadas en los EE. UU. Se encontraban Heritage Valley Well being Technique en Pensilvania TNT Express B.V., una subsidiaria de FedEx y una importante empresa farmacéutica, según se informa Merck, que en complete sufrió pérdidas por alrededor de mil millones de dólares por el ataque.
Posteriormente, los sospechosos supuestamente celebraron el ataque, según la acusación.
Sandworm lanzó una campaña de phishing de cola larga desde diciembre de 2017 hasta febrero de 2018 en el período previo a los Juegos Olímpicos de Invierno de 2018 después de que los atletas rusos fueran excluidos de los juegos debido a violaciones de dopaje. Los ataques se dirigieron a ciudadanos, funcionarios, atletas olímpicos y funcionarios del Comité Olímpico Internacional de Corea del Sur, y culminaron con los llamados ataques del Destructor Olímpico en las computadoras de los Juegos de Invierno, una combinación de ataques distribuidos de denegación de servicio y ataques de borrado de datos que desactivó los sistemas de TI de los Juegos Olímpicos, cerrando el Wi-Fi, los monitores y el sitio web de los Juegos Olímpicos, de modo que los compradores de boletos no pudieron imprimir sus boletos. El gusano destructivo también golpeó varias estaciones de esquí cercanas a los Juegos Olímpicos, donde inutilizó puertas y ascensores.
Los atacantes adoptaron una nueva táctica: crear una falsificación convincente de malware asociado con el grupo Lazarus, estado-nación de Corea del Norte, engañando a varios expertos que inicialmente culparon de los ataques a la RPDC.
Que sigue
Si bien es poco possible que los acusados pisen suelo estadounidense o el de países amigos de Estados Unidos, los cargos de piratería contra los seis oficiales de GRU conllevan algunas condenas de prisión considerables, de cinco a 27 años para algunos de los cargos. Aun así, las acusaciones ejercen presión sobre los acusados. «Son muy jóvenes y estas acusaciones reducen sus oportunidades en el futuro. Puede (también) afectar la capacidad del GRU para reclutar», dice Hultquist.
Y algo tiene que ceder, señala Olney de Cisco. «Ciertas actividades, acciones y objetivos simplemente no son aceptables por parte de un estado-nación. El primer camino para responsabilizar a las partes identificando su mal comportamiento debe tomarse», dice, como las acusaciones. «Depende de la comunidad internacional ver a dónde vamos desde aquí».
Kelly Jackson Higgins es la editora ejecutiva de Dim Studying. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Community Computing, Safe Organization … Ver biografía completa
Lectura recomendada:
Más información
