El 11 de octubre, el grupo ruso de ciberespionaje Winter Vivren aprovechó una falla en el servicio de mensajería RoundCube para atacar a más de ochenta entidades europeas y de Asia Central. ¿El objetivo? Recopilar datos gubernamentales y militares de acuerdo con un declaración del grupo Insikt de la empresa Recorded Future. Los países más afectados son Ucrania, Georgia y Polonia.
Desde el inicio de la guerra en Ucrania, el número de ciberataques ha ido aumentando constantemente
El grupo de ciberespionaje ruso y bielorruso Winter Vivern atacó a más de ochenta organizaciones en Europa y Asia Central que utilizan el servidor de correo electrónico RoundCube. Aprovechando las vulnerabilidades XSS de secuencias de comandos entre sitios en el sistema de correo electrónico, pudieron obtener acceso no autorizado a servidores de correo electrónico y evadir los controles de seguridad. También se ven afectadas otras infraestructuras nacionales, en los sectores del transporte, la educación y la investigación en química y biología.
Los más afectados en Europa son Ucrania (31%), Georgia (14%) y Polonia (12%). En menor medida, también se vieron afectados Francia, Reino Unido, Alemania y República Checa. Además, entre las víctimas se encuentran las embajadas de Irán en Moscú y los Países Bajos, así como la embajada de Georgia en Suecia.
Estos ataques de día cero les permitieron inyectar códigos maliciosos para luego enumerar y filtrar información sobre las actividades políticas y militares de los países afectados. Según la empresa de ciberseguridad Recorded Future, se trataba de acceder a información relacionada con el esfuerzo bélico de Ucrania, sus relaciones diplomáticas y sus socios de coalición. En última instancia, el objetivo sería crear ventajas estratégicas o socavar las alianzas europeas.
Cinco días después de su descubrimiento, RoundCube desarrolló una actualización de seguridad para contrarrestar el ciberataque.
Recomendado por el Estado francés para sus administraciones, ya ha sido objeto de ataques en el pasado, en particular por los grupos rusos Blue Delta (APT28) y Sandworm.
Activo desde al menos diciembre de 2020, Winter Vivern no es su primer intento y también ataca el servidor de correo electrónico Zimbra con la intención de infiltrarse en administraciones con sede en Moldavia y Túnez desde 2022.
Ante esta amenaza y los problemas de fondo, los expertos recomiendan a los usuarios asegurarse de que el software de mensajería que utilizan esté actualizado y reforzar su ciberseguridad en estos tiempos de conflicto.