Durante casi una década, el grupo de hackers dentro de la agencia de inteligencia militar GRU de Rusia, conocido como Sandworm, ha lanzado algunos de los ataques cibernéticos más perturbadores de la historia contra las redes eléctricas, el sistema financiero, los medios de comunicación y las agencias gubernamentales de Ucrania. Ahora hay indicios de que el mismo sospechoso habitual es responsable de sabotear a un importante proveedor de telefonía móvil del país, cortar las comunicaciones a millones de personas e incluso sabotear temporalmente el sistema de alerta de ataques aéreos en la capital, Kiev.
El martes, un ciberataque afectó a Kyivstar, uno de los proveedores de Internet y telefonía móvil más grandes de Ucrania. Los detalles de cómo se llevó a cabo ese ataque aún no están claros. Pero «resultó en el bloqueo de servicios esenciales de la red tecnológica de la empresa», según un comunicado publicado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania, o CERT-UA.
El director general de Kyivstar, Oleksandr Komarov, dijo el martes a la televisión nacional ucraniana, según Reuters, que el incidente de piratería «dañó significativamente [Kyivstar’s] infraestructura [and] acceso limitado.» «No pudimos contrarrestarlo a nivel virtual, por lo que cerramos Kyivstar físicamente para limitar el acceso del enemigo», continuó. “La guerra también está ocurriendo en el ciberespacio. Desafortunadamente, hemos sido golpeados como resultado de esta guerra”.
El gobierno ucraniano aún no ha atribuido públicamente el ciberataque a ningún grupo de hackers conocido, ni tampoco ninguna empresa o investigador de ciberseguridad. Pero el martes, un funcionario ucraniano de su agencia de seguridad informática SSSCIP, que supervisa CERT-UA, señaló en un mensaje a los periodistas que un grupo conocido como Solntsepek se había atribuido el mérito del ataque en una publicación de Telegram, y señaló que el grupo ha vinculado a la notoria unidad Sandworm del GRU de Rusia.
“Nosotros, los hackers de Solntsepek, asumimos toda la responsabilidad por el ciberataque a Kyivstar. Destruimos 10 ordenadores, más de 4.000 servidores, todos los sistemas de almacenamiento y copia de seguridad en la nube”, se lee en el mensaje en ruso dirigido al presidente ucraniano Volodymyr Zelenskyy y publicado en la cuenta de Telegram del grupo. El mensaje también incluye capturas de pantalla que parecen mostrar el acceso a la red de Kyivstar, aunque esto no se pudo verificar. “Atacamos a Kyivstar porque la empresa proporciona comunicaciones a las Fuerzas Armadas de Ucrania, así como a agencias gubernamentales y fuerzas del orden de Ucrania. ¡El resto de las oficinas que ayudan a las Fuerzas Armadas de Ucrania, prepárense!”
Solntsepek ha sido utilizado anteriormente como fachada para el grupo de hackers Sandworm, la Unidad 74455 del GRU de Rusia con sede en Moscú, dice John Hultquist, jefe de inteligencia de amenazas en la firma de ciberseguridad Mandiant, propiedad de Google, y rastreador del grupo desde hace mucho tiempo. Sin embargo, se negó a decir cuáles de las intrusiones en la red de Solntsepek han estado vinculadas a Sandworm en el pasado, sugiriendo que algunas de esas intrusiones pueden no ser públicas aún. «Es un grupo que se atribuye el mérito de los incidentes que sabemos fueron llevados a cabo por Sandworm», dice Hultquist, y agrega que la publicación de Solntsepek en Telegram refuerza sus sospechas anteriores de que Sandworm era el responsable. «Dado su constante enfoque en este tipo de actividad, es difícil sorprenderse de que se les vincule otra perturbación importante».