Ciberataques "a otro nivel" contra Ucrania: la prueba que apunta a 'hackers' rusos

La chispa estaba en la red. Ucrania ha sufrido una oleada de ciberataques en las horas previas a que Vladimir Putin iniciara la invasión militar de Ucrania, incluyendo bombardeos selectivos de la capital, Kiev. Tanto las agencias de inteligencia occidentales como los especialistas en la materia llevan semanas alertando de que el ciberespacio era solo una antesala de los cañones. Y así ha sucedido, pero ahora hay algo más: tras muchas sospechas, se han hallado pruebas de que detrás de los ciberataques de ayer, que colapsaron webs gubernamentales, puede estar el servicio de inteligencia ruso.

Apenas 48 horas después de que el presidente ruso reconociera la independencia de las autoproclamadas repúblicas populares de Donetsk y Lugansk, las webs de la mayoría de instituciones ucranianas volvieron a recibir un ataque de denegación de servicio (también conocidos como DDoS). Entre los afectados, esta vez estaban todos los ministerios, el Parlamento y el Servicio de Seguridad del país. Todos ellos fueron inaccesibles durante un par de horas y, aún después de recuperar el servicio, siguieron dando problemas.

TE PUEDE INTERESAR

La chispa está en la red: cómo un ciberataque puede desencadenar la guerra Rusia-Ucrania

Mario Escribano

No son, ni de lejos, las únicas ofensivas digitales que han golpeado a Ucrania en las últimas semanas. Desde que la tensión comenzó en la zona, estos ataques se han producido de forma continua y tenían una intención similar. Esta vez ha sido distinto. Los ataques de ayer son de "un nivel completamente diferente", ha asegurado el Gobierno ucraniano, que por ahora no ha culpado oficialmente a Rusia.

Las pruebas que apuntan a 'hackers' rusos

En cambio, una investigación realizada por el analista independiente Snorre Fagerland, junto a Bellingcat y The Insider, asegura haber dado con el servidor que controlaba estos ataques y que "ya había jugado un papel en anteriores ciberataques vinculados a los intereses rusos". En ese mismo alojamiento, que ha sido borrado tras el descubrimiento, también habría "copias clonadas de varios sitios web del Gobierno ucraniano" que fueron creados, como pronto, en noviembre de 2021, fecha en la que se comenzó a desatar el conflicto.

Una de las webs copiadas ha sido la de la Oficina del Presidente, que fue de las pocas que no se vio afectada por el ciberataque del miércoles. En ella, había una falsa campaña de apoyo a Volodímir Zelensky. Si se pulsaba en ella, el usuario descargaba 'malware'. "Por el momento no se sabe con certeza cuál es el propósito de la carga útil del 'malware', ni si la carga útil era operativa o simplemente un marcador de posición para un 'malware' diferente que se desplegaría en un momento crucial", explican.

TE PUEDE INTERESAR

La desescalada no llega a la red: así son los ciberataques que colapsan Ucrania

Mario Escribano

Lo que sí parecen tener claro es de dónde proviene esta operativa, ya que el tipo de 'software' malicioso "muestra un vínculo con ciberataques contra el Gobierno ucraniano en abril de 2021". En aquella ocasión, el objetivo era el robo de información confidencial y, también, la instalación de 'malware'. Aquella campaña iba dirigida a "una organización de veteranos militares y a la Operación Militar Antiterrorista (ATO).

Entonces, se atribuyó a un nuevo actor (TA) 471, si bien algunos investigadores lo atribuyeron a 'hackers' de la inteligencia militar rusa (GRU) conocidos como APT28 o Fancy Bear. No solo lo probaban los objetivos, también señalaron que aquellos ataques compartían un enfoque similar con anteriores campañas confirmadas por este actor.

TE PUEDE INTERESAR

El contable que destapa masacres y corruptos desde el sofá de casa usando Google Earth

Manuel Ángel Méndez

"El dominio en el que se encontraron los sitios gubernamentales clonados de Ucrania parece estar vinculado al mismo actor", apuntan en Bellingcat. Según Fagerland, una prueba son los patrones de los nombres de dominio, pero "también por la similitud del 'malware' alojado en estos sitios y las similitudes en la información de registro del dominio". Eso sí, la diferencia es que el servidor era el destinatario final de los ataques, que esta vez iba enfocado al público general, y no tanto a un grupo de personas vinculadas con la seguridad que podrían manejar información sensible.

Estos hallazgos llegan apenas horas después que las agencias de inteligencia de Reino Unido y Estados Unidos atribuyeran un nuevo y especialmente dañino 'malware' (Cyclops Blink) a Sandworm, un conocido grupo de 'hackers' vinculado con Rusia. Si bien dijeron que por ahora no habían dado con una relación directa con la situación en Ucrania, sí destacaron la capacidad de este colectivo para provocar ataques a gran escala. Uno de ellos fue NotPetya, que se cebó especialmente con la exrepública soviética en 2017.