El día 27 de abril del presente año, Microsoft ha lanzado un reporte completo, donde ha revelado la verdadera escala de los ciberataques que ha estado llevando la Federación de Rusia contra Ucrania desde el mes de febrero, con cientos de intentos de múltiples grupos APT rusos dirigidos a la infraestructura crítica del país y también contra los mismos ciudadanos.
En palabras de Tom Burt, vicepresidente de Microsoft para la seguridad y confianza del cliente «Comenzando justo antes de la invasión, hemos visto al menos seis actores separados de estados-nación alineados con Rusia lanzar más de 237 operaciones contra Ucrania, incluidos ataques destructivos que están en curso y amenazan el bienestar civil… Los ataques también han ido acompañados de amplias actividades de espionaje e inteligencia. También hemos observado una actividad limitada de ataque de espionaje que involucra a otros estados miembros de la OTAN y alguna actividad de desinformación.«
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) agrego en su documento que grupos de amenazas vinculados a los servicios de inteligencia rusos cómo el GRU, SVR y FSB (incluidos APT28, Sandworm, Gamaredon, EnergeticBear, Turla, DEV-0586 y UNC2452/2652) pre-posicionándose para el conflicto e intensificando sus ataques contra Ucrania y sus aliados a partir de marzo de 2021.
Imagen: Microsoft
La empresa de Redmond también notó un vínculo directo entre los ataques y las operaciones militares, llegando a caer en las mismas fechas de registros de diferentes ciberataques contra Ucrania y las múltiples violaciones de lanzamientos de misiles y los asedios ataques coordinados por el ejercito ruso.
Imagen: Microsoft
Entre los ataques registrados por Microsoft, entre el 23 de febrero al 8 de abril, contra docenas de organizaciones en Ucrania, se estima que el 32% se dirigió directamente a organizaciones gubernamentales ucranianas, y más del 40% a organizaciones de infraestructura crítica.
Además, Microsoft ha obtenido múltiples muestras de familias de malware utilizadas por actores de amenazas rusos para actividades de sabotaje contra objetivos ucranianos, incluidos WhisperGate/WhisperKill, FoxBlade, SonicVote, CaddyWiper, DesertBlade, Industroyer2, Lasainraw y FiberLake.
El Centro de Inteligencia de Amenazas de Microsoft atribuyo 3 de estas familias de Malwares, es decir, FoxBlade, CaddyWiper e Industroyer2, al grupo APT Sandworm. Se sospecha de gran medida que sus miembros son hackers militares que forman parte de la Unidad 74455 del Centro Principal de Tecnologías Especiales (GTsST) del GRU ruso. Microsoft también descubrió que el malware «WhisperGate» fue utilizado en ataques que lograron borrar los datos en algunos departamentos de Ucrania a mediados de enero, antes de la invasión de febrero, disfrazado de ransomware.
La naturaleza y cronometrada precisión de los ciberataques respaldados por Rusia durante este año contra Ucrania tiene una estrecha similitud con los ataques indiscriminados de NotPetya, que afectó a diferentes países de todo el mundo (incluida Ucrania) en 2017. Ataque que fue vinculado directamente al grupo APT Sandworm.
Más Información
The hybrid war in Ukraine – Microsoft On the Issues
An overview of Russia’s cyberattack activity in Ukraine (microsoft.com)
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
