El Grupo de Análisis de Amenazas (TAG) de Google ha publicado un relación 19 de julio en una aplicación pro-ucraniana sospechosa. Se presenta como un medio para lanzar ciberataques contra sitios rusos, pero sería una pantalla para que el FSB, el servicio de inteligencia interno ruso, coloque virus en los dispositivos de sus usuarios.
CyberAzov, el petardo húmedo ruso
Desde el comienzo de la invasión rusa de Ucrania a fines de febrero, las autoridades ucranianas han estado alentando a los usuarios de Internet bien intencionados a atacar la web rusa. En este sentido han validado la creación de un “Ejército TI”, para coordinar ataques con gente más o menos amateur.
La CNIL advierte de los riesgos de desplegar «cámaras aumentadas»
Una de las principales armas de este ejército del ciberespacio son los ataques de denegación de servicio (DDoS). Consisten en sobrecargar un sitio objetivo con solicitudes para desconectarlo.
Este es el servicio que ofrece CyberAzov. Esta aplicación toma el nombre de un regimiento ucraniano tan famoso como polémico por su filiación con la extrema derecha. Propone simplemente enviar solicitudes continuas a una lista de sitios rusos.
Según Google, CyberAzov está directamente inspirado en otra aplicación, stopwar.apk, que apareció en marzo de 2022. Ambas se distribuyen no en Play Store, sino en sitios dedicados o mensajeros. En realidad, si stopwar.apk parece haber sido desarrollado por auténticos pro-ucranianos, este no es el caso de CyberAzov.
La portada del sitio DDoS auténticamente pro-ucraniano. Imagen: Google
La portada del sitio creado desde cero por el FSB, con la iconografía del regimiento Azov. Imagen: Google
Un verdadero petardo mojado, la aplicación envía solo una solicitud por sitio de destino, en gran medida insuficiente para un ataque DDoS. Por otro lado, el servicio sería un auténtico caballo de Troya para infiltrarse en los dispositivos en los que está instalado. el borde informa que el sitio que distribuye la aplicación todavía estaba en funcionamiento el 19 de julio.
El TAG lo considera obra de Turla. Se dice que este grupo conocido por varios nombres, Krypton, Venomous Bear, Waterbug y Uroburos, está afiliado al FSB. Supuestamente ha comprometido a organizaciones europeas y estadounidenses en el pasado, pero según Google “ Este es el primer caso conocido de Turla distribuyendo malware relacionado con Android «.
Persisten los ataques en el ciberespacio al margen de la guerra en Ucrania
El rango de daño de CyberAzov sería mínimo según Google, » Creemos que no hubo un gran impacto en los usuarios de Android y que la cantidad de instalaciones fue minúscula. «. Desde el inicio y antes de la guerra, Rusia ha multiplicado los ciberataques, para sabotear, espiar o desestabilizar Ucrania.
En el mismo informe, el TAG de la empresa estadounidense detectó o confirmó otros ataques informados por CERT-UA, encargado de la respuesta a los incidentes cibernéticos en Ucrania.
Entre ellos, la explotación de una falla en Windows, llamada Folline. Dos grupos que se sabe que están afiliados a la GRU, la inteligencia militar rusa, APT28 y Sandworm, están utilizando cuentas gubernamentales comprometidas para enviar documentos de Microsoft Office con trampas explosivas a los medios de comunicación ucranianos.
También hay intentos de phishing y otras operaciones realizadas por otros grupos no necesariamente dependientes oficialmente del Kremlin, como la Agencia de Investigación de Internet, más conocida con el sobrenombre de Troll Factory. Mientras los combates continúan en la región de Donbass, en el este de Ucrania, continúan los intentos rusos de desestabilizar el ciberespacio ucraniano.