Los ciberataques rusos a Ucrania aumentan la preocupación por la seguridad informática
Los ataques destructivos se producen después de que el gobierno de Estados Unidos advirtiera de un "estado de alerta elevado" y de seguir los consejos de mitigación de amenazas patrocinados por el Estado.
Esta última semana se han producido un aluvión de notificaciones relativas a los esfuerzos, abiertos y encubiertos, de Rusia para preparar "su" escenario que le proporcione un pretexto para invadir Ucrania una vez más. La realpolitik de los esfuerzos rusos y el enfoque de los medios de comunicación se centran en la probabilidad de que Rusia tome este camino.
Estas acciones preparatorias incluyen un componente cibernético generalizado. Los CISOs de las entidades de defensa, inteligencia o infraestructuras críticas deberían vigilar lo que está ocurriendo en Ucrania y prestar atención a las advertencias que están emitiendo la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), Microsoft y otros.
Ciberataques en Ucrania
El 14 de enero comenzaron los ciberataques aproximadamente a las 02:00 horas. En una hora empezaron a aparecer noticias de los hackeos en los medios de comunicación rusos. Aproximadamente 70 sitios web del gobierno ucraniano vieron desfigurada su presencia en la red, y un mensaje estático publicado en ruso, ucraniano y polaco decía esencialmente a los ucranianos que su información personal estaba comprometida y que debían "tener miedo y esperar lo peor".
Ese mismo día, Oleksiy Danilov, secretario del Consejo de Seguridad Nacional y Defensa de Ucrania, declaró a Sky News: "Podemos rastrear claramente su firma. Estos son los especialistas rusos que realizan estas acciones. Estoy seguro al 99,9%" de que Rusia estaba detrás de estos ataques".
Posteriormente, Serhiy Demedyuk, vicesecretario del Consejo de Defensa, fue más preciso a la hora de asignar la atribución a UNC1151, al que identificó como "... un grupo de ciberespionaje afiliado a los servicios especiales de la República de Bielorrusia". Continuó diciendo que UNC1151 ha atacado en el pasado objetivos en Lituania, Letonia, Polonia y Ucrania.
Demedyuk también aseguró que las actividades de desfiguración eran una cortina de humo. "La desfiguración de los sitios no era más que una tapadera para acciones más destructivas, que se estaban llevando a cabo entre bastidores, y cuyas consecuencias sentiremos en un futuro próximo" explicó. Continuó describiendo que esos esfuerzos encriptaron algunos servidores gubernamentales, con un malware de características similares al utilizado por el grupo ATP-29.
"El grupo está especializado en el ciberespionaje, que está asociado a los servicios especiales rusos (Servicio de Inteligencia Exterior de la Federación Rusa) y que, para sus ataques, recurre al reclutamiento o al trabajo encubierto de sus infiltrados en la empresa adecuada", ha aclarado Demedyuk.
Los CISO atienden las advertencias de ataques de Estado
El 15 de enero, Microsoft dio un fuerte golpe de timón al sector en una entrada de su blog, "Ataques de malware dirigidos al gobierno de Ucrania", escrita por Tom Burt, vicepresidente de seguridad y confianza de los clientes. En él se hablaba del "malware destructivo en sistemas pertenecientes a varias agencias gubernamentales ucranianas y organizaciones que colaboran estrechamente con el gobierno ucraniano".
Burt continuó explicando que el malware se disfraza de ransomware, pero "si es activado por el atacante, deja inoperativo el sistema informático infectado". Las entidades objetivo, según Burt, incluyen "... agencias gubernamentales, que proporcionan funciones críticas del poder ejecutivo o de respuesta a emergencias, y una empresa de TI que gestiona sitios web para clientes del sector público y privado, incluyendo agencias gubernamentales cuyos sitios web fueron desfigurados recientemente".
El Centro de Inteligencia de Amenazas de Microsoft publicó simultáneamente una entrada en su blog técnico, "Malware destructivo dirigido a organizaciones ucranianas". En él se destacaba cómo el malware se detectó por primera vez el 14 de enero (diferencias horarias entre Ucrania y Estados Unidos) y contenía un llamamiento a la acción de: "Animamos encarecidamente a todas las organizaciones a que realicen inmediatamente una investigación exhaustiva y a que implementen defensas utilizando la información proporcionada en este post".
El aviso de Microsoft fue precedido por la CISA, el FBI y la NSA, donde señalaban que Rusia representa una ciberamenaza para las infraestructuras críticas de Estados Unidos, en una nota dirigida a la industria del sector el 11 de enero, en la que instaban "a la comunidad de la ciberseguridad —especialmente a los defensores de las redes de infraestructuras críticas— a adoptar un estado de concienciación elevado, llevar a cabo una caza proactiva de las amenazas y aplicar las mitigaciones identificadas en la alerta conjunta CSA conjunta —Alerta AA22-011A "Comprender y mitigar las amenazas cibernéticas patrocinadas por el estado ruso a las infraestructuras cíticas de EE.UU.".
La alerta conjunta contenía tres elementos de acción que, si se toman, pueden "reducir el riesgo de compromiso o la degradación severa del negocio".
1. Estar preparado: Confirma los procesos de información y minimica las lagunas de personal en la cobertura de seguridad de TI/OT. Se debe crear, mantener y poner en práctica un plan de respuesta a incidentes cibernéticos, un plan de resiliencia y un plan de continuidad de las operaciones, de modo que las funciones y operaciones críticas puedan seguir funcionando si los sistemas tecnológicos se interrumpen o deben desconectarse.
2. Mejorar la postura cibernética de tu organización: Sigue las mejores prácticas para la gestión de la identidad y el acceso, los controles y la arquitectura de protección, y la gestión de la vulnerabilidad y la configuración.
3. Aumenta la vigilancia de la organización: Mantenerse al día de los informes sobre esta amenaza.
El ciberataque ruso pone la mesa
La Casa Blanca declaró que la comunidad de inteligencia de Estados Unidos ha detectado esfuerzos rusos para desplegar activos individuales en el este de Ucrania, para llevar a cabo operaciones de sabotaje. La advertencia de la Casa Blanca fue explícita: "Los operativos están entrenados en la guerra urbana y en el uso de explosivos, para llevar a cabo actos de sabotaje contra las propias fuerzas proxy de Rusia".
Junto con el ciberataque que supuestamente se lanzó desde Bielorrusia, muestra al mundo el deseo del Kremlin de tener una negación plausible, mientras ponen las piezas de su rompecabezas ofensivo en su lugar, en apoyo de una posible invasión rusa en Ucrania, con acciones desde de Ucrania.
La llamada de atención, tanto de Ucrania como de Estados Unidos, sirve para eliminar esta cortina de humo y deja al descubierto los esfuerzos rusos, tanto para la comunidad internacional como, quizás más importante, para la propia ciudadania rusa. En una rueda de prensa, Jake Sullivan, asesor de Seguridad Nacional, reiteró la posición de EE. UU., en caso de que Rusia invada Ucrania: "Estados Unidos y nuestros aliados y socios están preparados para cualquier contingencia, cualquier eventualidad. Estamos preparados para seguir avanzando por la vía diplomática de buena fe, y estamos preparados para responder si Rusia actúa".
