Es probable que al menos tres supuestos grupos hacktivistas que trabajan en apoyo de los intereses rusos lo hagan en colaboración con actores de amenazas cibernéticas patrocinados por el estado, según Mandiant.
La empresa de inteligencia de amenazas y respuesta a incidentes propiedad de Google dijo con confianza moderada en que «los moderadores de los supuestos canales hacktivistas de Telegram ‘XakNet Team’, https://thehackernews.com/2022/09/»Infoccentr’ y ‘CyberArmyofRussia_Reborn’ están coordinando sus operaciones con la Dirección Principal de Inteligencia (GRU) de Rusia- actores de amenazas cibernéticas patrocinados».
La evaluación de Mandiant se basa en la evidencia de que la filtración de datos robados de organizaciones ucranianas ocurrió dentro de las 24 horas posteriores a los incidentes de limpieza maliciosos realizados por el grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear, Sofacy o Strontium).
Para ello, cuatro de las 16 filtraciones de datos de estos grupos coincidieron con Ataques de malware de limpieza de disco por APT28 que involucró el uso de una cepa denominada CaddyWiper.
APT28, activo desde al menos 2009, es asociado con la agencia de inteligencia militar rusa, la Dirección General de Inteligencia del Estado Mayor (GRU), y llamó la atención pública en 2016 por las infracciones del Comité Nacional Demócrata (DNC) en el período previo a las elecciones presidenciales de EE. UU.
Si bien los llamados grupos hacktivistas han llevado a cabo ataques distribuidos de denegación de servicio (DDoS) y desfiguraciones de sitios web para apuntar a Ucrania, hay indicios de que estas personas falsas son un frente para operaciones de información y actividades cibernéticas destructivas.
Dicho esto, se desconoce la naturaleza exacta de la relación y el grado de afiliación con el estado ruso, aunque sugiere una participación directa de los propios oficiales de GRU o a través de los moderadores que manejan los canales de Telegram.
Esta línea de razonamiento está respaldada por la filtración de XakNet de un artefacto técnico «único» que APT28 utilizó para comprometer una red ucraniana y el hecho de que las publicaciones de datos de CyberArmyofRussia_Reborn están precedidas por operaciones de intrusión de APT28.
La compañía de ciberseguridad señaló que también descubrió cierto nivel de coordinación entre el equipo XakNet e Infoccentr, así como el grupo prorruso KillNet.
«La guerra en Ucrania también ha presentado oportunidades novedosas para comprender la totalidad, la coordinación y la eficacia de los programas cibernéticos de Rusia, incluido el uso de plataformas de redes sociales por parte de los actores de amenazas», dijo Mandiant.