Así opera APT28, el grupo de 'hackers' rusos que está sembrando el caos en el mundo

El nombre APT28 se ha convertido en sinónimo de 'hacking' gubernamental de élite, con acciones cada vez más atrevidas como el robo y difusión de información de los ordenadores del Partido Demócrata de Estados Unidos. Según múltiples expertos, este grupo de 'hackers' están a sueldo de los servicios de inteligencia del gobierno ruso. Pero, ¿qué se sabe realmente de ellos? ¿Son también rusos? ¿Son muchos o pocos? Y, sobre todo, ¿cómo trabajan?

TE PUEDE INTERESAR

Así reventaron los 'hackers' rusos las elecciones de Estados Unidos (según el FBI)

Mercè Molist

Si en el viejo Oeste tenían a los Dalton, en el ciberespacio tenemos a los APT28, bastante más numerosos y peligrosos porque su objetivo no es el dinero de los bancos sino el espionaje en las más altas esferas y la posterior publicación de la información robada, si conviene, para manipular el devenir de un país. "Es uno de los mejores grupos en Computer Network Operations y dudo que sean mercenarios", explica a Teknautas Antonio Villalón, director de seguridad de la compañía española de seguridad informática S2 Grupo.

Se sospecha que APT28 está adscrito a la Dirección de Inteligencia Militar (GRU) del gobierno ruso

Se sospecha que APT28 está adscrito a la Dirección de Inteligencia Militar (GRU) del gobierno ruso. Según Villalón, autor del reciente libro "Amenazas Persistentes Avanzadas", el GRU es "el más opaco de los servicios rusos. Rusia sería el país que más sofisticación aplica en sus ataques APT, dirigidos, sigilosos y técnicamente brillantes, con unos índices de persistencia muy elevados".

La persistencia es la "P" de las siglas APT, correspondientes en inglés a "Amenaza Persistente Avanzada". Villalón define APT como "amenaza orquestada por un grupo con una elevada capacidad para obtener la información que requiere, que utiliza varios vectores de intrusión y persistencia para obtener y mantener el acceso a la red de la organización, evitando su detección".

Esto significa que tienen que estudiar muy bien a la víctima o víctimas y crear ataques y virus a medida. Y, una vez dentro de la red deseada, descubrir los ordenadores estratégicos que permitan el espionaje y la extracción de información cuanto más tiempo posible, sin ser detectados. Esto puede llevar años y, explican en S2 Grupo, requerir "mucho tiempo, mucho dinero y muchos recursos, cuando se trata de objetivos 'duros'". En otras palabras: sólo actores con muchos recursos, como una mafia, corporación, un estado o un multimillonario pueden pagarlo.

Por su propia esencia, los grupos APT son secretos, no hay información demostrable y todo es susceptible de ponerse en duda. Sólo algunos destellos permiten suponer la verdad. Por ejemplo: ¿Son los miembros de APT28 de nacionalidad rusa, como el gobierno que les paga? "No se sabe. En esta guerra la atribución es compleja, si no imposible", afirman desde S2 Grupo. Pero algunos datos desvelados por otra firma de seguridad, FireEye, demostrarían que, como mínimo, trabajan en Rusia, pues los virus que escriben están hechos en horario laboral ruso y en el código usan el idioma ruso.

Caos en EEUU, Alemania, Francia...

FireEye es la empresa de seguridad que más ha estudiado al equipo APT28 y, a partir de coincidencias en su 'modus operandi' y herramientas usadas, puede detectar de forma más o menos fehaciente cuándo un ataque lleva su firma. Recientemente ha publicado un informe, "APT28: At the center of the storm" en el que se alinea con las tesis de los servicios de inteligencia de Estados Unidos, que atribuyen a APT28 los robos de información al Partido Demócrata.

FireEye avisa en este informe del peligro de que el grupo quiera repetir sus hazañas en las elecciones que durante 2017 habrá en Europa, especialmente en Alemania, Francia y Holanda, donde sus respectivos servicios de inteligencia están muy alerta. No es para menos, pues la lista de ataques de APT28, la mayoría dirigidos a la desinformación y desestabilización, empieza a dar miedo.

Según FireEye, APT28 empezó a operar en 2007 pero en los dos últimos años sus acciones se han multiplicado, usando diferentes nombres para despistar o porque así les han bautizado terceros: Sednit, Sofacy, Pawn Storm y Fancy Bear. Firmaron como "CyberCalifato" su devastador ataque a la cadena de televisión francesa TV5Monde, en febrero de 2015, que dejó durante horas a los diferentes canales de la cadena sin poder emitir. Negro total.

FireEye explica: "APT28, posiblemente formado por un grupo sofisticado y prolífico de desarrolladores y operadores, ha recolectado históricamente información de inteligencia sobre defensa y cuestiones geopolíticas". Sus actividades de espionaje, siempre alineadas con los intereses rusos, se han centrado en Estados Unidos, Europa y países de la ex-Unión Soviética, desde militares y medios de comunicación hasta disidentes.

Sus actividades de espionaje se han centrado en EEUU, Europa y países de la ex-Unión Soviética, desde militares a medios de comunicación

FireEye destaca, entre otros incidentes, el robo y difusión de información médica de atletas de los ordenadores de la Agencia Mundial Anti-Doping, en septiembre de 2016. Una intrusión en la Organización para la Seguridad y Cooperación en Europa, en noviembre de 2016. El espionaje del correo electrónico del Ministro de Exterior del Kirguistán. La introducción de malware en webs gubernamentales de Polonia. E intentos de intrusión en el partido alemán Unión Demócratacristiana, la OTAN, el Bundestag y los ordenadores del grupo de rock y disidentes rusos Pussy Riot.

Pero la víctima más frecuente de APT28 ha sido Ucrania. En mayo de 2014, la Comisión Electoral Central de Ucrania denunció diversos ataques consistentes en una intrusión, destrucción de información, difusión de datos robados, un ataque de Denegación Distribuida de Servicio y un intento de manipular su portada web para introducir resultados electorales falsos. La última atribuida a APT28 en Ucrania se conocía en diciembre de 2016: habrían infectado una 'app' para Android, usada por 9.000 artilleros en Ucrania para mejorar sus disparos, y la estarían utilizando para geolocalizarlos y atacarlos.

De todas formas, esta última acción no coincide mucho con las operaciones habituales de APT28, que suelen consistir en robar información a partir de "spearphishing", mandando un mail a su víctima para que visite una página web muy parecida a la auténtica y escriba allí sus credenciales. Su grupo hermano, APT29, presente también en el 'hackeo' al Partido Demócrata, es más de mandar mails con virus.

Poco más se conoce de APT29, perteneciente a otro organismo de la inteligencia rusa. Escribe Villalón que "en ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación y la seguridad de sus operaciones denotan que son grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas".

Pero también se pregunta lo siguiente: "Si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información coinciden con las rusas, ¿podemos confirmar al 100% que APT28 y APT29 tienen raíces rusas? Por supuesto que no". Y lo explica: "¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas. ¿Podrían ser estos grupos conquenses, entonces? Por supuesto".