Rusia moviliza a un grupo élite de guerreros cibernéticos

Desde el ataque a la cadena francesa TV5Monde en 2015, el grupo APT28 apoyado por el Kremlin ha elegido objetivos más ambiciosos.

A las 20.40 horas del 9 de abril de 2015, mientras estaba cenando en un restaurante de lujo de París, Yves Bigot se dio cuenta de que tenía numerosas llamadas perdidas, SMS y correos electrónicos en sus dos teléfonos móviles. El personal de la sede central de TV5Monde, la cadena francófona más grande del mundo de la que él es director general, había tratado frenéticamente de ponerse en contacto con él. Las pantallas de televisión donde se emitían sus programas se habían quedado en blanco una tras otra y sus servidores habían dejado de funcionar gradualmente. En lugar de su logotipo turquesa habitual, en su página web y en sus cuentas en las redes sociales aparecía la shahada (la declaración de fe islámica) escrita en blanco sobre un fondo negro. Y por encima de ella la frase: “CyberCaliphate. Je suIS IS”(Cibercalifato. Yo soy el Estado Islámico). Un equipo de ingenieros trabajó durante toda la noche para salvar la cadena. Lo consiguió de milagro. Pero el Estado Islámico nunca se responsabilizó del ataque. Dos meses después, ANSSI, la agencia francesa de seguridad cibernética, informó a Bigot de que creía que el ataque lo había llevado a cabo un grupo ruso llamado APT 28.

Un año después, en la primavera de 2016, el APT 28 lanzó un ataque cibernético contra el Comité Nacional Demócrata (CND) de EEUU durante la campaña electoral. Hiz públicos miles de archivos para desacreditar a Hillary Clinton y poner en duda la santidad del sistema democrático estadounidense. La magnitud del ataque y su objetivo demostraron que el APT 28 perseguía ahora objetivos más ambiciosos.

El Financial Times ha hablado con más de una docena de personas que conocen bien las actividades del APT 28, como agentes de inteligencia, militares y expertos civiles en seguridad cibernética. Funcionarios gubernamentales de EEUU, Reino Unido, Israel y Alemania creen que el APT 28 está dirigido por la agencia de inteligencia militar rusa GRU. Moscú ha negado sistemáticamente que tenga alguna conexión con el grupo.

Muchos temen que las actividades del APT28 no van a acabar aquí. Según personas conocedoras del tema, los ataques cibernéticos contra la OTAN aumentaron un 60% en el último año y los ataques contra instituciones de la UE un 20%. Las pruebas dejadas por estos ataques, aunque no son exhaustivas, indican en cierto modo la visión del mundo que tiene la Rusia de Vladimir Putin y cómo debe consolidar su posición en él.

Desde el ataque a la CND el ATP 28 ha iniciado varias operaciones importantes. Ha atacado a ordenadores de partidos políticos de Francia y Alemania, países donde habrá elecciones este año, y a redes informáticas de docenas de ONG responsables de la mayoría de los programas de ayuda humanitaria en Siria porque van en contra de los intereses de Rusia en el país.

Conexiones con el Kremlin

Los análisis de las actividades y de los principales ataques cibernéticos del APT 28 indican que el grupo lleva activo desde 2007, pero hasta 2014 no se sabía cuáles eran su infraestructura y el historial de sus actividades. La compañía de seguridad cibernética FireEye bautizó al grupo como APT (advanced persistent threat, amenaza avanzada persistente) 28 en 2014. Ha atacado a organizaciones militares y diplomáticas muy importantes de Occidente, como la compañía militar privada Academi, el contratista de defensa e inteligencia estadounidense SAIC, los ministerios de defensa francés y húngaro, la Organización para la Seguridad y la Cooperación en Europa y el Departamento de Estado de EEUU. Los datos de los análisis apuntan a Rusia.

Un experto en seguridad británico dice que sus sistemas de codificación y su capacidad técnica son de “alto nivel”. Pero lo más notable son sus ataques con correos electrónicos falsos que llevan archivos adjuntos realistas pero infectados. En 2010 envió a adjuntos militares de la OTAN en Ankara correos electrónicos que aparentemente eran de compañeros de la organización con archivos Excel adjuntos que contenían una lista de sus datos de contacto. El engaño funcionó. Dos años después envió una lista de los datos de altos cargos militares británicos a embajadas en Londres junto con los nombres y datos de sus cónyuges, para que parecieran más reales. Al abrir los archivos, los destinatarios instalaban sin querer el malware del APT 28 en sus ordenadores. Luego se infiltró en más redes donde consiguió acceso a material confidencial y oportunidades para causar daños inmensos. En 2015 llevó a cabo seis operaciones conocidas.

Leave a Reply

%d bloggers like this: