El ataque digital a un ministerio ucraniano comienza con un correo electrónico dirigido a un funcionario en algún momento del otoño de 2021. Dice algo sobre los presupuestos de los funcionarios gubernamentales. La esperanza es que el funcionario haga clic en el archivo adjunto. La persona que abre el documento no ve nada sospechoso: texto sin formato. Pero un enlace a un sitio web falso está oculto en segundo plano. Es un documento de Word o Excel con los llamados inyección de plantilla.
Es el comienzo de un movimiento alarmante de los piratas informáticos militares de Rusia, que deja en claro las intenciones de Moscú mucho antes de que se dispare el primer tiro: destruir digitalmente Ucrania en una serie de pasos para acelerar la invasión.
Los expertos en seguridad holandeses de la plataforma de seguridad Trellix lo vieron suceder en el ministerio ucraniano. Muestran cómo funcionan los piratas informáticos del servicio militar ruso GRU. El ministerio es cliente de Trellix, por lo que el jefe de investigación, Christiaan Beek, no quiere decir a qué ministerio se refiere. ‘Permítanme decirlo de esta manera, entiendo por qué un estado está interesado en este ministerio en particular. Tiene contactos con otros ministerios importantes.
expediente
El primer correo electrónico no es nada especial, así funcionan los hackers estatales en todo el mundo. A través del enlace se recibe un archivo que va a la memoria de la PC. Es la primera etapa del hack: recopilar información sobre el sistema pirateado: dónde estoy, cómo se ve la red, qué discos duros están conectados, qué nombres de usuario veo. «Una vez que esta primera fase tuvo éxito, se instalaron más programas», dice Beek, que estudió el software.
El malware de Fancy Bear, como se llama a los piratas informáticos militares rusos, se comunica con la computadora del ataque, que simplemente se encuentra en la nube de Microsoft. Muchas organizaciones gubernamentales se ejecutan en grandes servidores en la nube, como OneDrive de Microsoft. Los piratas informáticos estatales hacen uso de esto: al colocar su infraestructura de ataque allí también, parecen inspirar confianza. Las conexiones del malware a Onedrive no se notan fácilmente.
Los piratas informáticos rusos ahora están pasando a la siguiente etapa. Instalan dos programas que pueden ejecutar comandos y explorar la red, Empire y SharpHound, software de mapeo de red de código abierto disponible para todos. Los hackers trabajan con cuidado. Después de cada paso, verifican la comunicación con la computadora infectada. ¿Todavía está allí? ¿Se ha descubierto el malware o todavía tienen acceso al Ministerio?
Documentos confidenciales
Los piratas ahora tienen visibilidad en la red de un ministerio ucraniano. Buscan la información más valiosa: los datos de los funcionarios más importantes, los sistemas de respaldo, archivos, documentos sensibles. Están en el sistema durante algunas semanas. Espionaje corriente, como hacen tantos grupos de hackers.
Luego, a mediados de enero de 2022, su comportamiento cambia. «De repente, vimos que se estaba implementando un malware destructivo», dice Christiaan Beek. Los grupos de piratas informáticos a menudo permanecen ocultos en una red. Sacan documentos o se van de nuevo en silencio. Los piratas informáticos rusos hacen algo más, traicionando así su presencia: lanzan software malicioso.
El Master Boot Record, que controla el inicio de la computadora, se sobrescribe con una advertencia falsa. Después de encender la computadora, aparece el siguiente texto en la pantalla: ‘El disco duro está dañado. Si quieres recuperar archivos tienes que pagar 10 mil dólares.’ Beek: ‘Pero esa advertencia es falsa. No hay opción para recuperar archivos.’ En esta segunda fase del truco, los archivos existentes se sobrescriben con un código aleatorio.
campanas de alarma
El software de Trellix reconoce la intención maliciosa del malware y detiene el ataque. «Si utiliza software de sabotaje, los sistemas se colapsarán y se activarán las alarmas», dice Beek. Entonces debería ser bloqueado de inmediato y ya no tendrá acceso.’
El ministerio ucraniano no es la única víctima, según un análisis de Microsoft. “Nuestro equipo de investigación ha identificado malware en docenas de sistemas afectados”, escribió Microsoft el 15 de enero. «Estos sistemas incluyen varios gobiernos, organizaciones sin fines de lucro y tecnológicas, todos en Ucrania».
Un día antes de la invasión rusa de Ucrania, regresan los hackers militares. Es una indicación de que las acciones de los piratas informáticos están estrechamente vinculadas a las de los que están en el poder en el Kremlin. Unas horas más tarde, comienza la invasión. Una vez más, los piratas informáticos intentan romper los sistemas ucranianos, esta vez con el software de sabotaje HermeticWiper.
limpiaparabrisas
Es un virus destructivo que sobrescribe los datos y destruye las computadoras. En el malware ruso, los investigadores de la empresa de seguridad ESET encuentran evidencia de que este software fue escrito a fines de diciembre de 2021. Otra indicación de que los planes para la invasión estaban listos desde hacía algún tiempo.
Christiaan Beek: ‘En los años que he estado en la profesión, limpiaparabrisas utilizado para hacer una declaración política. En el período previo a la invasión, los piratas informáticos han tratado de interrumpir los ministerios para que la comunicación en Ucrania sea menos efectiva”.
Infunde miedo, afirma tu poder. Como un presagio de lo que vendrá. Mientras tanto, Beek, al igual que otros especialistas en seguridad, ha perdido el contacto con la mayoría de los clientes en Ucrania. La mitad de los negocios ahora están cerrados, estima. ‘El país está sobreviviendo y ya no se preocupa por la seguridad de las redes’.