En un reportaje publicado el 23 de septiembre, Mandiant revela los probables vínculos entre tres grupos de hacktivistas supuestamente independientes y Moscú. Los expertos en ciberseguridad de la compañía americana estimar habiendo detectado signos reveladores de colaboración entre estos grupos y el GRU, la inteligencia militar rusa.
Los grupos hacktivistas han pululando desde el comienzo de la guerra en Ucrania
La guerra en Ucrania ha resultado en numerosos ciberataques, un nivel nunca visto según Mandiant. La empresa, recientemente adquirida por Google, parece casi sorprendida por » tal variedad de actores de amenazas y tal coordinación de esfuerzos «.
Uber acusa a Lapsus$ de estar detrás del reciente ciberataque
Se ha formado un gran número de grupos de hacktivistas, tanto pro-rusos como pro-ucranianos, para llevar la voz de su campo. Algunos, del lado ruso, no nacieron simplemente de un impulso patriótico, según Mandiant, » Aunque es casi seguro que algunos de estos actores operan independientemente del estado ruso, hemos identificado numerosos grupos llamados hacktivistas cuyos moderadores sospechamos que sirven como fachada para el estado ruso u operan en coordinación con él. «.
Tres han sido identificados específicamente. Se formaron alrededor de las páginas de Telegram, XakNet Team, después de la «declaración de guerra» de Anonymous a Rusia, Infoccentr y CyberArmyofRussia_Reborn, activos o detectados en marzo y abril.
Estos grupos realizan ataques más o menos sofisticados, fundamentalmente por denegación de servicio (DDoS). XakNet Team habría participado en el hackeo de un medio ucraniano, tras haber difundido, en marzo, un falso anuncio de la capitulación del presidente ucraniano Volodymyr Zelensky.
Lo que ha desconcertado especialmente a los investigadores de ciberseguridad es otra de sus actividades, la difusión de información extraída de ciberataques. Descubrieron que los hacktivistas publicaron datos recuperados por infracciones en 24 horas.
En cuatro casos, siguieron la instalación del software Wiper, malicioso, se utilizan para borrar la red de la víctima e interrumpir su funcionamiento. Su uso fue documentado temprano en el conflicto.
Las tres páginas de hacktivistas fueron especialmente reactivas tras los ataques de un grupo, apodado APT 28. Mandiant incluso afirma haber descubierto en los documentos de XakNet Team un “ artefacto técnico único de la intrusión APT28 «. Obviamente, se considera que APT 28 se une a la GRU.
Grupos prácticos para la inteligencia rusa
Mandiant, cauteloso, explica que no tiene pruebas irrefutables, » estimamos con confianza moderada que los moderadores detrás de XakNet Team, Infoccentr y CyberArmyofRussia_Reborn respectivamente están al menos coordinados con el GRU, actualmente nos reservamos el juicio sobre la composición de estos grupos y su grado exacto de afiliación con el GRU «.
Los grupos hacktivistas pro-rusos han estado activos durante mucho tiempo. la Wall Street Journalrecuerda una gran ciberofensiva llevada a cabo contra Estonia, tras la retirada de una estatua soviética de la capital, Tallin, en 2007. En ella habría participado un grupo, KillNet, se dice que es cercano a XakNet Team.
Estos grupos son convenientes para el Kremlin. Independientes, sirven a sus intereses, la narrativa del poder ruso. Manipulados, más o menos orientados por los servicios de inteligencia, representan una tapadera ideal para negar cualquier implicación en caso de complicación.