Los ciberataques a sectores gubernamentales y militares de Ucrania han aumentado un 196%, según datos de Check Point Research. En el resto del mundo, no se observa un incremento similar en ese tipo de sectores.
Aunque el primero de los ciberataques masivos a infraestructuras ucranianas este año se registró en enero, Ucrania ha sufrido una larga historia de agresiones y espionaje online. Cuando las conversaciones diplomáticas entre Rusia y Occidente se rompían, muchos empezaron a darse cuenta cómo la amenaza híbrida rusa pasaría a estar dentro del contexto de una guerra contra Ucrania.
Gran parte de la actividad de una guerra híbrida sucede bajo el radar, por lo que sólo podemos dar cuenta de los ciberincidentes que dejan algún tipo de rastro o que alguien se atribuye. Un ataque limpiamente ejecutado busca sobre todo limpiar la huella del atacante, por lo que no es inusual que muchas intrusiones ni siquiera sean detectadas.
Aún así los ataques en las redes contra Ucrania nos permiten trazar una cronología con los ciberincidentes que por importancia, coste en pérdidas o relación con el conflicto que mantiene Rusia con Ucrania están dentro de la ciberguerra entre estos países.
2013: Operación Armageddon
Los primeros ataques en sistemas de información de compañías privadas e instituciones del Estado en Ucrania se registraron a mediados de 2013, y continuaron durante al menos dos años. Investigadores de LookingGlass, una compañía de seguridad online, revelaron los detalles de la llamada “Operación Armageddon”, una campaña de ciberespionaje dirigida contra el Gobierno de Ucrania, fuerzas de seguridad y oficiales militares, que utilizó tácticas de spearphishing, una especie de phishing más sofisticado y dirigido a su objetivo. El Servicio de Seguridad de Ucrania (SBU) atribuyó la campaña a ramas del Servicio Federal de Seguridad de Rusia (FSB).
El ataque estaba vinculado en el tiempo con la decisión de Ucrania de apoyar el Acuerdo de Asociación entre Ucrania y la Unión Europea (European Union–Ukraine Association Agreement), al que Rusia se oponía. Este acuerdo fue firmado finalmente en 2014 después de largas negociaciones.
2014: Snake o la serpiente griega Ouroboros
En marzo de 2014 se detectaron ciberataques masivos contra sistemas del Gobierno ucraniano en los que se colocaba un programa malicioso llamado Snake o Ouroboros. Un informe de la compañía británica de defensa y seguridad BAE Systems reveló que docenas de redes de ordenadores ucranianos habían sido infectados durante años por este malware, que parecía similar a un sistema que años anteriores había asolado el Pentágono, donde logró atacar sistemas clasificados.
También en marzo se registró un ataque masivo de denegación de servicio (DDoS) contra una red de ordenadores sin identificar, que duró 8 minutos y se originó en Rusia, según Arbor Networks.
Los ataques de Snake aparecieron muchas veces ese año a la par de las protestas en Kiev contra el expresidente Viktor F. Yanukovych, que fue finalmente forzado a dejar el cargo. Los manifestantes estaban enfadados por la decisión de Yanukóvich de no estrechar lazos comerciales y políticos con Europa. Aunque las sospechas recayeron sobre Rusia, no se pudo probar su implicación.
En ese año, Ucrania concurrió a elecciones para elegir al próximo presidente después de la salida de Yanukovych. En esa ocasión un grupo activista pro-ruso llamado CyberBerkut atentó contra el proceso electoral, cuando días antes de la votación lanzaron un ataque que hizo caer los sistemas de la Comisión Electoral Central de Ucrania, a través de una disrupción de su red interna. Los administradores del sitio recobraron el sistema a tiempo para la votación pero el día de las elecciones el sitio web había sido alterado mostrando falsamente una foto del candidato de extrema derecha como vencedor de las elecciones. La televisión pública difundió esta noticia falsa a causa de ello.
Fancy Bear y los obuses D-30 Howitzer
En los últimos años se han detectado acciones contra Ucrania por parte de grupos de piratas informáticos muy bien organizados que en ciberseguridad se conocen como APT (amenazas persistentes avanzadas) y son actores característicos de las guerras híbridas. Estos grupos disponen de recursos significativos ya que suelen tener apoyo extraoficial de Gobiernos como el ruso, según funcionarios de inteligencia occidentales.
Uno de ellos, Fancy Bear, (también conocido por APT28, un grupo de hackers que se cree que está vinculado al GRU), desde 2014 y hasta 2016 utilizó malware en una app de Android para atacar a las Fuerzas de Cohetes y la Artillería del Ejército Ucraniano, controlando los datos de puntería de la artillería D-30 Howitzer, un tipo de obús. Según Crowdstrike el ataque fue exitoso, con más del 80% de los obuses destruidos, aunque el ejército ucraniano desmintió esta cifra y dijo que las pérdidas que hubo no tenían que ver con esa causa.
2015: Contra la red eléctrica
Tres empresas energéticas ucranianas que suministran energía a las regiones de Kiev, Ivano-Frankivsk y Chernivtsi sufrieron un ataque masivo que dañó su red eléctrica y dejó a más de 230.000 personas sin electricidad en diciembre, en medio del invierno.
El primer ciberataque contra una red eléctrica reconocido públicamente en la historia, fue altamente sofisticado, según los expertos, y se repitió al año siguiente. El autor fue una APT llamada Sandworm, según la firma de seguridad estadounidense iSight Partners. La Justicia de Estados Unidos culpó a seis oficiales del GRU, la dirección general de inteligencia rusa, de estar detrás de estas acciones.
2016: Segundo ataque a la red de energía
El siguiente ataque contra una red eléctrica afectó a la subestación de Pivnichna, a las afueras de Kiev. Cortó el suministro eléctrico unos minutos antes de medianoche del 17 de diciembre y duró una hora. Aunque su alcance no fue tan grande como el de 2015, las implicaciones hicieron pensar que Ucrania podía estar siendo utilizada como banco de pruebas para perfeccionar armas cibernéticas que luego podrían ser utilizadas en todo el mundo contra infraestructuras críticas.
También ese diciembre de 2016, Ucrania sufrió 6.500 ciberataques contra sus ministerios de Finanzas, Defensa, y el Tesoro Público, que asigna el dinero en efectivo a las instituciones gubernamentales. Trabajadores y pensionistas no pudieron recibir salarios y pagos a tiempo. El entonces presidente Petro Poroshenko dijo que los incidentes mostraban que los servicios de seguridad rusos estaban llevando a cabo una ciberguerra contra su país.
2017: NotPetya, el más destructivo
NotPetya es considerado el ataque informático más destructivo y costoso de la historia. Hemos hablado de él antes en Newtral. Fue dirigido por Rusia hacia Ucrania, pero se expandió más allá de sus objetivos iniciales y provocó pérdidas por 10.000 millones de dólares, con impacto en el mundo entero. Empresas multinacionales de marcas como Maersk, FedEx y Merck sufrieron enormes pérdidas.
Detrás de NotPetya estaban expertos informáticos que trabajaban para el GRU, agencia de inteligencia militar de Rusia. Para su estrategia con NotPetya, el grupo había identificado un trozo de software, un programa conocido como MeDoc que tenía una cuota significativa de mercado, y era necesario para pagar impuestos. Se estima que más del 80% de las compañías nacionales lo usaban.
2021: COVID-19 como cebo
En abril de 2021 una serie de ataques de phishing reportados por FortiGuard Labs y luego por Intezer, apuntaron a organizaciones vinculadas a la seguridad en Ucrania y Georgia. Utilizaban cebos de ingeniería social en los asuntos de los emails, con frases como «Nueva variante de COVID-21» y «Actualización informática urgente».
Su objetivo era robar documentación confidencial, así como colocar el descargador de malware Saint Bot en los ordenadores de los targets. En Ucrania, los ataques iban dirigidos a una organización de veteranos militares y a la Operación Militar Antiterrorista (ATO), encargada de contrarrestar la intervención militar rusa en el Donbás.
Snorre Fagerland, investigador en conexión con Bellingcat, descubrió que los ciberataques de 2022 a Ucrania estaban vinculados a estos. La comunidad de ciberseguridad atribuyó estos ataques a un nuevo actor, (TA) 471. Intezer, entre otros investigadores, atribuyó provisionalmente el ataque al GRU, conocido como APT28 o Fancy Bear.
2022: Comienza la guerra híbrida
14 de enero
Dos días después de la ruptura de las conversaciones diplomáticas entre Rusia y Occidente para parar una invasión a Ucrania, unos 70 sitios web gubernamentales ucranianos sufrieron ciberataques masivos de tipo de denegación de servicio (DDoS). Entre ellos se encontraban el del Gabinete de Ministros, y los de los ministerios de asuntos exteriores, energía, educación, agricultura, y ecología.
Muchas páginas web de la administración pública no funcionaban, incluido el sitio más utilizado para gestionar los servicios gubernamentales en línea, Diia, que también es utilizado en la respuesta al COVID-19 y en el fomento de la vacunación en Ucrania.
“Tened miedo y esperad lo peor” fue el mensaje con el que amanecieron decenas de páginas web del gobierno ucraniano a mediados de enero. Las desfiguraciones (defacements) de webs son un tipo de ataque de baja intensidad cuyo efecto puede compararse al de un graffiti. Su impacto reside en lo llamativo de la acción y su impacto psicológico. Otros mensajes en ruso, ucraniano y polaco decían que los datos personales de 43 millones de ciudadanos ucranianos estaban comprometidos, aunque el servicio de seguridad ucraniano lo negó, según AFP.
Investigadores de Microsoft descubrieron un programa destructivo dentro de los servidores de agencias ucranianas, un malware conocido ahora como WhisperGate. Simulaba ser un ransomware, pero la contraseña no existía, porque su objetivo en realidad era la destrucción. Expertos citados por el MIT Technology Review señalaron que WhisperGate recuerda a NotPetya hasta en los procesos técnicos destructivos, pero que este ciberataque ha sido menos sofisticado y no estaba diseñado para diseminarse rápidamente.
14-15 de febrero
Un ciberataque masivo similar al de un mes antes dejó sin funcionar los sitios web de las Fuerzas Armadas, el Ministerio de Defensa; el Oschadbank, la caja de ahorros ucraniana; y el Privatbank, el banco privado más grande del país, que atiende a unos 20 millones de ciudadanos. Estas dos entidades son consideradas «sistémicamente importantes» para los mercados financieros de Ucrania.
El Ministro de Defensa ucraniano dijo en un tuit que habían recibido un volumen inusualmente alto de solicitudes para cargar la web, lo que sugiere que los atacantes estaban inundando los servidores con solicitudes ilegítimas en un intento de sobrecargarlos e impedir que los ciudadanos accedieran al sitio.
El viceprimer ministro, Mijaíl Fiódorov, calificó el asalto como “el mayor ataque de denegación de servicio en la historia de Ucrania contra los sitios web estatales y el sector bancario”, y dijo que su objetivo era “desestabilizar la situación y desatar el pánico”.
24 de febrero
Un ciberasalto masivo a infraestructura digital ucraniana ha coincidido con el bombardeo de varias ciudades y puntos estratégicos por parte de Rusia durante la madrugada del 24 de febrero, cuando varios sitios web gubernamentales clave, el del Gabinete de Ministros, los de los ministerios de Asuntos Exteriores, Infraestructuras, Educación y otros, han quedado fuera de funcionamiento.
Expertos de ESET y Symantec detectaron una segunda forma de ataque a los sistemas de ordenadores en el que se había usado un programa destructivo tipo “limpiador” (wiper), al que se ha denominado HermeticWiper.
Los investigadores dijeron que este programa había sido preparado con 3 meses de antelación. También afectó a cientos de ordenadores en las vecinas Letonia y Lituania.
25 de febrero
El parlamento ucraniano denunció la existencia de una campaña de phishing con el objetivo de robar información. En un tuit avisó a los ciudadanos ucrananianos que se están enviando correos electrónicos con archivos adjuntos, y les pide que no abran esos emails porque el enemigo intenta ganar acceso a los dispositivos para obtener información.
