Un año y medio después del lanzamiento de la invasión rusa de Ucrania, siguen surgiendo nuevos elementos sobre las actividades de las unidades cibernéticas de inteligencia rusas durante el conflicto. Un informe publicado el jueves 9 de noviembre por la empresa Mandiant (que hoy pertenece a Google) revela, en particular, que un ciberataque perturbó, en octubre de 2022, una infraestructura eléctrica en Ucrania, en un período muy cercano a los ataques aéreos rusos.
Este ciberataque fue atribuido por Mandiant a Sandworm, actor especializado en espionaje y operaciones ciberofensivas, e identificado como la unidad 74455 del GRU, el servicio de inteligencia militar ruso. Este grupo es, en particular, uno de los actores que atacó al partido En Marche!. en el momento de la campaña electoral de 2017 (“MacronLeaks”). Sandworm ya está acusado de estar detrás de dos grandes ataques llevados a cabo en 2015 y 2016 contra la infraestructura de la red eléctrica de Ucrania.
El nuevo informe técnico sobre el ataque de octubre de 2022 explica que los primeros rastros de actividad de piratas informáticos dentro de la red objetivo se remontan a junio, aunque no se sabe exactamente cuándo Sandworm logró penetrar en ella. Luego, los agentes de inteligencia rusos consolidaron su presencia y obtuvieron acceso a parte de la red que gestiona la infraestructura técnica, para poder ejecutar, el 10 de octubre, órdenes destinadas a interrumpir la red eléctrica. No se ha determinado con precisión el número de ciudadanos ucranianos afectados en aquel momento.
Un hack que coincide con las huelgas
Dos días después, según Mandiant, Sandworm implementó en la red un “wiper”, un malware diseñado para borrar datos. Este segundo ataque, sin embargo, no tuvo ningún impacto en las instalaciones físicas y podría haberse llevado a cabo simplemente para borrar rastros de actividad de los piratas informáticos.
Más preocupante: al mismo tiempo que la unidad GRU provocó un corte de energía, el ejército ruso lanzó una gran ola de ataques aéreos contra varias ciudades importantes de Ucrania, afectando notablemente infraestructuras críticas y generando cortes importantes en varias regiones. Aunque los investigadores explican que no pueden establecer un vínculo firme entre los dos acontecimientos, la ciudad en la que se encontraba la red eléctrica atacada por Sandworm, cerca de la frontera con Rusia, se encontraba entre las localidades afectadas por estos ataques. Si se demuestra, esta coordinación marcaría una primera vez en la historia de los ciberataques destinados a degradar o alterar la infraestructura física.
Te queda el 20% de este artículo por leer. El resto está reservado para suscriptores.