Los actores de amenazas rusos se están hundiendo a nuevos mínimos de depravación en apoyo de la guerra ilegal y no provocada de Moscú contra Ucrania, según nueva inteligencia de Microsoft, que ha catalogado más de 230 operaciones cibernéticas distintas de al menos seis grupos de amenazas desde que comenzó la guerra en febrero.
Junto con más actividades de espionaje generalizado y recopilación de inteligencia que podrían esperarse durante una guerra cibernética, Rusia ha estado realizando ataques cibernéticos destructivos que están claramente diseñados para amenazar el bienestar de los civiles ucranianos al degradar los sistemas de las instituciones ucranianas, interrumpiendo el acceso a información confiable. información y servicios críticos, e intentar dañar la confianza de los ciudadanos en el gobierno ucraniano.
“Creemos que es importante compartir esta información para que los legisladores y el público de todo el mundo sepan lo que está ocurriendo, para que otros en la comunidad de seguridad puedan continuar identificando y defendiéndose de esta actividad”, dijo Tom Burt, vicepresidente corporativo de seguridad y confianza en Microsoft.
“Todo este trabajo se centra en última instancia en proteger a los civiles de los ataques que pueden afectar directamente sus vidas y su acceso a servicios críticos”.
Burt dijo que Microsoft ha visto cerca de 40 ataques destructivos dirigidos a cientos de sistemas, el 32% de los cuales se dirigieron a organizaciones gubernamentales ucranianas y el 40% a infraestructura nacional crítica (CNI).
Los atacantes están utilizando varias técnicas para obtener acceso, incluido el phishing, la explotación de vulnerabilidades sin parches y ataques a la cadena de suministro a través de proveedores de servicios comprometidos.
Microsoft dijo que el uso de técnicas de guerra cibernética por parte de Rusia está fuertemente correlacionado, y a menudo directamente cronometrado, con operaciones militares cinéticas. Uno de esos ataques cibernéticos contra una empresa de radiodifusión ucraniana el 1 de marzo tuvo lugar junto con una acción militar contra lo que Moscú describe como objetivos de “desinformación”, incluidos ataques con misiles en la torre principal de televisión en Kiev.
El 13 de marzo, Microsoft observó un ataque cibernético a una organización de seguridad nuclear que tuvo lugar junto con las acciones rusas contra la infraestructura de energía nuclear de Ucrania, lo que generó temores de posibles fugas de radiación a la par del desastre de Chernóbil de 1986. El propio sitio de Chernobyl, que estuvo ocupado durante un tiempo por las fuerzas rusas, fue devuelto al control ucraniano a fines de marzo.
En otro incidente muy preocupante, durante el asedio y la destrucción de la ciudad de Mariupol, que se cree que mató a miles de civiles y estuvo acompañada de denuncias de crímenes de guerra contra ciudadanos ucranianos, incluida la violación y la deportación forzada a Rusia, los ucranianos recibieron correos electrónicos de phishing. de un actor ruso que se hace pasar por residente de Mariupol, acusando a Kiev de “abandonar” a la gente común.
El informe completo de Microsoft, que se puede leer aquí, también revela por primera vez que los actores de amenazas alineados con Rusia comenzaron a posicionarse listos para apoyar un conflicto cinético ya en marzo de 2021.
Aproximadamente en ese momento, hubo un claro aumento de las operaciones cibernéticas contra organizaciones dentro o alineadas con Ucrania, lo que, en retrospectiva, ahora puede verse como un intento de afianzarse dentro de los sistemas ucranianos.
Cuando Rusia comenzó a trasladar tropas a la frontera con Ucrania, afirmando falsamente que estaba realizando ejercicios de entrenamiento, estos esfuerzos aparentemente se intensificaron, y se observaron acciones contra objetivos que podrían proporcionar inteligencia sobre las asociaciones militares y extranjeras de Ucrania. A mediados de 2021, los actores rusos se dirigieron a los proveedores de la cadena de suministro de todo el mundo para asegurar un acceso adicional a los objetivos en los estados de Ucrania y la OTAN.
A principios de 2022, a medida que se intensificaban los esfuerzos diplomáticos para evitar un ataque ruso, Microsoft, junto con muchos otros, observó los primeros ataques de malware de limpieza contra Ucrania, que ahora sabemos que fueron el preludio cibernético final de la invasión.
Desde entonces, los equipos de seguridad de Microsoft han estado trabajando en estrecha colaboración con las autoridades ucranianas para identificar y remediar varias campañas rusas, y ahora opera una línea directa segura con funcionarios cibernéticos clave en Kiev, a fin de actuar rápidamente para defenderse de nuevas intrusiones. Esta defensa incluye el intercambio de inteligencia sobre amenazas y el uso de contramedidas técnicas no reveladas.
Burt dijo que no cabía duda de que los ciberataques rusos continuarían aumentando en las próximas semanas.
“Los actores de amenazas del estado-nación ruso pueden tener la tarea de expandir sus acciones destructivas fuera de Ucrania para tomar represalias contra aquellos países que decidan brindar más asistencia militar a Ucrania y tomar más medidas punitivas contra el gobierno ruso en respuesta a la agresión continua”, dijo. dicho.
“Hemos observado que actores alineados con Rusia activos en Ucrania muestran interés o realizan operaciones contra organizaciones en los países bálticos y Turquía, todos los estados miembros de la OTAN que brindan activamente apoyo político, humanitario o militar a Ucrania.
“Las alertas publicadas por CISA [Cybersecurity and Infrastructure Security Agency] y otras agencias gubernamentales de EE. UU., y funcionarios cibernéticos en otros países, deben tomarse en serio y deben tomarse las medidas defensivas y de resiliencia recomendadas”.