Es probable que la crisis internacional en desarrollo en Ucrania, en la que ya se han atacado los sitios web del gobierno, genere más ataques cibernéticos ofensivos a medida que se desarrolla, y crece la preocupación de que la actividad futura se extienda para abarcar objetivos fuera de Ucrania, según Mandiant, que advirtió hoy. Los equipos de seguridad de TI de toda Europa deben estar atentos a la actividad maliciosa.
Los ataques cibernéticos de la semana pasada vieron a un grupo de piratas informáticos supuestamente vinculado a Bielorrusia, un aliado clave de Rusia, usar múltiples técnicas para acceder a sus objetivos, incluido el compromiso de los sistemas de un proveedor de servicios de TI, exploits vinculados a la vulnerabilidad Log4Shell en Apache Log4j2 y denegación distribuida de ataques de servicio (DDoS). Estos fueron acompañados por una ola de ataques que desfiguraron los sitios web del gobierno ucraniano, supuestamente para distraer la atención de los intentos de inyectar manualmente malware en los sistemas gubernamentales.
Mandiant ahora cree que los grupos de amenazas persistentes avanzadas (APT) vinculados a Rusia y sus aliados llevarán a cabo más intrusiones cibernéticas, mientras continúa el enfrentamiento. Es probable que muchos de estos estén relacionados con la recopilación de información y el espionaje, pero no se debe descartar la posibilidad de ataques cibernéticos más agresivos o incluso destructivos, advirtieron los analistas de la firma.
En una publicación que expone la escala potencial de la amenaza para las organizaciones globales, John Hultquist, vicepresidente de Mandiant Threat Intelligence, dijo: “Las capacidades cibernéticas son un medio para que los estados compitan por ventajas políticas, económicas y militares sin la violencia y daños que es probable que se intensifiquen hasta convertirse en un conflicto abierto.
“Si bien las operaciones de información y los ataques cibernéticos, como las operaciones electorales de EE. UU. de 2016 y el incidente de NotPetya, pueden tener graves consecuencias políticas y económicas, Rusia puede favorecerlos porque puede esperar razonablemente que estas operaciones no conduzcan a una escalada importante del conflicto.
“Mandiant recomienda que los defensores tomen medidas proactivas para fortalecer sus redes contra [destructive attacks] y ha brindado una guía para este proceso… de forma gratuita para el público”, escribió Hultquist.
Hultquist dijo que las APT de espionaje cibernético respaldadas por el Kremlin, como UNC2452, Turla y APT28, “casi con certeza” habrían recibido la tarea de recopilar inteligencia sobre la crisis, aprovechando su experiencia en penetrar objetivos gubernamentales, militares y diplomáticos para recopilar inteligencia para Moscú. Otros grupos, incluidos algunos que operan fuera de la región separatista de Donbass en Ucrania y Crimea, que fue anexada por Rusia en 2014 y ha estado ocupada ilegalmente desde entonces, también pueden entrar en servicio.
Mientras tanto, es probable que ya estén ocurriendo operaciones de información, o más bien de desinformación, incluida la creación de contenido fabricado y la manipulación de plataformas de redes sociales, y se puede esperar ver más campañas de este tipo dirigidas a países de Europa del Este, como los miembros de la OTAN. Rumanía y Bulgaria, de los que Rusia exige ahora la retirada de la alianza.
Las campañas de información se han convertido en una característica regular de la actividad cibernética rusa, buscando controlar las narrativas e implantar otras nuevas que promuevan los intereses de Moscú al explotar las divisiones dentro y entre los estados nacionales a los que apunta, socavando la confianza en las instituciones democráticas y sembrando desconfianza dentro de bloques como La OTAN y la Unión Europea (UE).
Dichas campañas han incluido el uso de documentos falsificados y fotografías manipuladas, que se utilizaron con éxito contra Estonia en una campaña reciente denominada Infección secundaria. En otros casos, las operaciones informativas rusas se han apoyado en terceros, incluidos periodistas y activistas, para intentar “lavar” falsedades.
Ataques destructivos más infrecuentes
Históricamente, los ataques cibernéticos disruptivos y destructivos han sido elementos del arsenal cibernético de Rusia utilizados con menos frecuencia en comparación con las campañas de espionaje y desinformación, aunque cuando se usaron tuvieron impactos profundos y duraderos: NotPetya (que apuntó a Ucrania pero se extendió mucho más) por el so -llamado Sandworm APT siendo probablemente el más notable.
Dichos ataques toman una variedad de formas, desde los ataques DDoS ya vistos, hasta ataques más complejos en infraestructura nacional crítica (CNI), siendo los ataques más efectivos (NotPetya nuevamente un ejemplo muy relevante) que se enfocan en causar daño a objetivos críticos con extensas redes descendentes de usuarios, clientes y dependencias.
Sin embargo, tales ataques requieren más trabajo práctico y, por lo tanto, tienen un tiempo de espera más largo. En el contexto de la crisis actual en Ucrania, esto podría sugerir que tales ataques, si ocurren, se dirigirán a organizaciones que ya se han visto comprometidas con mucha anticipación. Alternativamente, dijo Mandiant, se podrían usar herramientas más destructivas contra un grupo más grande de objetivos simultáneamente, muy probablemente a través de compromisos web estratégicos y cadenas de suministro de software. Al mismo tiempo, advirtió Mandiant, tales atacantes probablemente tratarían de ofuscar sus acciones plantando banderas falsas, fabricando evidencia de culpabilidad, haciendo declaraciones engañosas para culpar a otros de los ataques, etc.
Más allá de las organizaciones gubernamentales y del sector público, los que corren mayor riesgo probablemente incluirían el transporte y la logística, los servicios financieros y los medios, y es posible que, en algunas circunstancias, los grupos de ransomware también se aprovechen, ya que el gobierno ruso tiene un “acceso inigualable” a los ciberdelincuentes. capacidades, señaló Hultquist.