El 'virus' ruso que inutiliza miles de 'routers' en segundos e inquieta a Occidente
Ha costado casi tres meses reconstruir cómo Rusia llevó a cabo el que ya se define como el "mayor ciberataque de la invasión de Ucrania". Se hizo con AcidRain, un potente malware, y se cree que puede volver a entrar en acción
Jueves, 24 de febrero. El mundo contiene la respiración ante las imágenes de cientos de tanques, helicópteros y tropas rusas ejecutando la orden de Putin, invadir Ucrania. Lo que casi nadie sabía es que la guerra, en realidad, había comenzado unos minutos antes. Hackers rusos habían lanzado el que ahora se considera el mayor ciberataque del conflicto: dejaron fuera de servicio miles de routers conectados al satélite estadounidense Viasat que, entre otras cosas, ofrecía conexión de comunicación a las tropas ucranianas sobre el terreno. El ataque se les fue de las manos y acabó afectando a otros países, aunque eso no es lo que más preocupa a los especialistas de ciberseguridad. El verdadero dolor de cabeza se llama AcidRain, el 'malware' usado para la operación. Es uno de los más sofisticados creados hasta la fecha y se teme que Rusia lo pueda volver a utilizar en cualquier momento.
Hace una semana, EEUU, Reino Unido, Canadá, Estonia y la Unión Europea realizaron un inusual comunicado conjunto en el que señalaban a Rusia por estar detrás del ciberataque a la empresa estadounidense Viasat. La acusación confirmaba los análisis que habían venido realizado expertos en ciberseguridad las semanas previas. Uno de los primeros en adelantarse fue el español Rubén Santamarta, quien aseguró desde el inicio que estábamos ante un ataque sofisticado e imposible de detectar durante días.
Minutos antes de la invasión, decenas de miles de routers con conexión por satélite a la red KA-SAT, operada por Viasat, dejaron de funcionar de repente. El nodo más afectado se ubicaba en Ucrania, pero de ahí la incidencia se propagó a múltiples países: Alemania, Grecia, Italia, Hungría, Polonia... La primera consecuencia era preocupante, unidades del ejército de Ucrania ya no podían comunicarse entre sí o con sus respectivos mandos superiores. Luego llegó algo más inesperado aún: casi 6.000 turbinas eólicas ubicadas en Alemania, operadas por la empresa Enercon y conectadas también a la red KA-SAT, dejaron de funcionar. Además, miles de clientes residenciales de la empresa francesa Eutelsat, socia de Viasat, se quedaron sin conexión a internet. ¿Qué estaba pasando?
Ha costado casi tres meses reconstruir la foto completa de lo ocurrido, lo que da una idea de la complejidad de este tipo de ataques y lo difícil que es atribuirlos a un país o a un grupo independiente de 'hackers'. "La forma en la que funcionan estos routers es sencilla. Los pones en un punto, los orientas al cielo y se conectan a los satélites de Viasat. Lo interesante es que el vector de entrada fue la consola que gestiona estos dispositivos, operada por la empresa Skylogic, subsidiaria italiana de Viasat. Usaron este 'software' para colar AcidRain, lo propagaron a los routers como actualización, y al momento dejaron de funcionar. El problema es que necesitas acceder físicamente al router para reiniciarlo o reemplazarlo, no se podía hacer de forma remota. Imagina la empresa alemana de las 5.800 turbinas afectadas, con técnicos yendo en persona una por una para repararlas", explica en conversación telefónica Juan Andrés Guerrero-Saade, analista de ciberseguridad de SentinelLabs, profesor en la Universidad Johns Hopkins (Washington DC) y uno de los primeros en analizar el impacto de AcidRain en este ataque.
Investigadores como Guerrero-Saade y Rubén Santamarta descubrieron que AcidRain tiene muchas similitudes en su código con VPNFilter, otro 'malware' que el FBI atribuyó en 2018 a Fancy Bear, un grupo de 'hackers' asociado al GRU, el servicio de inteligencia del ejército ruso. AcidRain es un tipo de 'virus' conocido como 'wiper', algo así como 'limpiador': una vez se cuela en un sistema, borra todo lo que encuentra a su paso. "Se han identificado hasta 12 tipos de 'wipers' diferentes utilizados para atacar a Ucrania, pero ninguno hasta ahora era capaz de extenderse por sí mismo", explica Guerrero-Saade. AcidRain lo ha hecho y con una efectividad pasmosa.
"Se trata de un ataque muy preocupante, entre otras cosas porque se venía avisando durante años que podría ocurrir. Rubén Santamarta hizo en 2014 una presentación en la conferencia BlackHat de EEUU donde ya habló de las vulnerabilidades de las redes satelitales. Luego lo reiteró en 2018. Y ha ocurrido finalmente", explica a este diario Josep Albors, especialista en ciberseguridad de ESET, firma que ha descubierto uno de esos 12 'wipers' en acción en Ucrania, bautizado como CaddyWiper.
Se desconoce cuál fue el impacto real de AcidRain durante esas primeras horas de invasión. "Es muy difícil de medir, pero desde luego Rusia logró su objetivo, que era degradar la capacidad de respuesta y organización del ejército ucraniano en el arranque del conflicto", señala Guerrero-Saade. Lo que no está tan claro es por qué el ataque saltó a otros países y contagió miles de turbinas eólicas en Alemania. "Creo que los rusos tuvieron que cometer algún tipo de error, no es lógico que quisieran atacar Alemania u otro país en ese momento. Habría sido el error más grave de toda la invasión, darle una excusa a Alemania o a alguno de los otros países afectados para responder con otro ataque y extender la guerra a toda Europa".
La cuestión ahora no es si Rusia volverá a intentar un ataque de este tipo, sino cuándo. Y hay una particularidad de este tipo de malware que lo hace muy temible: es posible crear múltiples variantes que corrigen errores de las anteriores o los hacen más efectivos para evitar ser detectados. Igual que un virus biológico como el coronavirus va mutando en múltiples variantes para continuar infectando, los programadores añaden capas y capas de funciones para hacer los virus informáticos más destructivos. "El malware no es monolítico. En los últimos años se han ido creando con módulos que vas añadiendo para hacer una ataque conjunto: un módulo roba credenciales, otro borra archivos, otro los cifra... El daño acaba siendo mucho mayor", explica Albors.
Starlink has resisted Russian cyberwar jamming & hacking attempts so far, but they’re ramping up their efforts https://t.co/w62yCsDA5w
— Elon Musk (@elonmusk) May 11, 2022
Una prueba de que estos ciberataques se siguen produciendo cada día es Starlink, la empresa de conexión a internet por satélite de Elon Musk. El multimillonario ha enviado ya a Ucrania cientos de routers y antenas de conexión y ha reconocido recientemente que su compañía ha tenido que resistir múltiples ataques. "Rusia está redoblando su ofensiva", aseguró Musk la semana pasada. "Starlink tiene una ventaja, controla toda la cadena y es más difícil que le entren en el software que controla esos kits, que es lo que ocurrió con Viasat", señala Guerrero-Saade. Aunque avisa: "quien crea que el componente ciber en esta guerra no está siendo importante, se equivoca. Se han producido miles de ataques. Y vendrán más".
* Si no ves correctamente este formulario, haz clic aquí.
Jueves, 24 de febrero. El mundo contiene la respiración ante las imágenes de cientos de tanques, helicópteros y tropas rusas ejecutando la orden de Putin, invadir Ucrania. Lo que casi nadie sabía es que la guerra, en realidad, había comenzado unos minutos antes. Hackers rusos habían lanzado el que ahora se considera el mayor ciberataque del conflicto: dejaron fuera de servicio miles de routers conectados al satélite estadounidense Viasat que, entre otras cosas, ofrecía conexión de comunicación a las tropas ucranianas sobre el terreno. El ataque se les fue de las manos y acabó afectando a otros países, aunque eso no es lo que más preocupa a los especialistas de ciberseguridad. El verdadero dolor de cabeza se llama AcidRain, el 'malware' usado para la operación. Es uno de los más sofisticados creados hasta la fecha y se teme que Rusia lo pueda volver a utilizar en cualquier momento.