La unidad de inteligencia militar de Rusia conocida como Sandworm ha servido, durante la última década, como la fuerza de ciberataque más agresiva del Kremlin, provocando apagones en Ucrania y liberando códigos destructivos y autodifundibles en incidentes que siguen siendo algunos de los eventos de piratería informática más perturbadores de la historia. Sin embargo, en los últimos meses, un grupo de piratas informáticos vinculados a Sandworm ha intentado una especie de caos digital que, en algunos aspectos, va más allá incluso de su predecesor: se han atribuido la responsabilidad de atacar directamente los sistemas digitales de una presa hidroeléctrica en Francia y empresas de agua en Estados Unidos y Polonia, activando interruptores y cambiando la configuración del software en un aparente esfuerzo por sabotear la infraestructura crítica de esos países.
Desde principios de este año, un grupo hacktivista conocido como Cyber Army of Russia, o a veces Cyber Army of Russia Reborn, se ha atribuido el mérito en al menos tres ocasiones de operaciones de piratería informática dirigidas a empresas de agua e hidroeléctricas de Estados Unidos y Europa. En cada caso, los piratas informáticos han publicado vídeos en la plataforma de redes sociales Telegram que muestran grabaciones de pantalla de su caótica manipulación de las llamadas interfaces hombre-máquina, software que controla los equipos físicos dentro de esas redes objetivo. Las víctimas aparentes de ese pirateo incluyen varias empresas de servicios de agua estadounidenses en Texas, una planta de tratamiento de aguas residuales polaca y una planta hidroeléctrica francesa, aunque no está claro exactamente cuántas perturbaciones o daños pueden haber causado los piratas informáticos contra cualquiera de esas instalaciones.
Un nuevo informe publicado hoy por la firma de ciberseguridad Mandiant establece un vínculo entre ese grupo de hackers y Sandworm, que ha sido identificado durante años como la Unidad 74455 de la agencia de inteligencia militar rusa GRU. Mandiant encontró evidencia de que Sandworm ayudó a crear Cyber Army of Russia Reborn y rastreó múltiples casos en los que los datos robados de las redes que Sandworm había atacado fueron posteriormente filtrados por el grupo Cyber Army of Russia Reborn. Mandiant no pudo determinar, sin embargo, si Cyber Army of Russia Reborn es simplemente uno de los muchos personajes encubiertos que Sandworm ha adoptado para disfrazar sus actividades durante la última década o, por el contrario, un grupo distinto que Sandworm ayudó a crear y con el que colaboró, pero que es ahora opera de forma independiente.
De cualquier manera, el hackeo del Cyber Army of Russia Reborn se ha vuelto ahora, en algunos aspectos, aún más descarado que el propio Sandworm, dice John Hultquist, quien lidera los esfuerzos de inteligencia de amenazas de Mandiant y ha rastreado a los hackers de Sandworm durante casi una década. Señala que Sandworm nunca se ha dirigido directamente a una red estadounidense con un ciberataque disruptivo: solo plantó malware en redes estadounidenses en preparación para uno o, en el caso de su ataque de ransomware NotPetya de 2017, infectó indirectamente a las víctimas estadounidenses con código de autodifusión. El Cyber Army of Russia Reborn, por el contrario, no ha dudado en cruzar esa línea.
«Aunque este grupo opera bajo esta personalidad vinculada a Sandworm, parecen más imprudentes que cualquier operador ruso que hayamos visto apuntando a Estados Unidos», dice Hultquist. «Están manipulando activamente los sistemas de tecnología operativa de una manera muy agresiva, probablemente disruptiva y peligrosa».
Un tanque desbordado y un gallo francés
Mandiant no tenía acceso a las redes de servicios de agua y plantas hidroeléctricas objetivo, por lo que no pudo determinar cómo el Cyber Army of Russian Reborn obtuvo acceso a esas redes. Sin embargo, uno de los videos del grupo publicado a mediados de enero muestra lo que parece ser una grabación de pantalla que captura la manipulación por parte de los piratas informáticos de las interfaces de software para los sistemas de control de los servicios públicos de agua en las ciudades de Abernathy y Muleshoe en Texas. «Estamos comenzando nuestra próxima incursión en Estados Unidos», se lee en un mensaje que presenta el vídeo en Telegram. «En este vídeo hay un par de objetos de infraestructura críticos, a saber, sistemas de suministro de agua😋»
Luego, el video muestra a los piratas informáticos haciendo clic frenéticamente alrededor de la interfaz de destino, cambiando valores y configuraciones para los sistemas de control de ambas empresas de servicios públicos. Aunque no está claro qué efectos pudo haber tenido esa manipulación, el periódico de Texas El heraldo de Plainview informó a principios de febrero que los funcionarios locales habían reconocido los ataques cibernéticos y habían confirmado cierto nivel de interrupción. Según se informa, el administrador municipal de Muleshoe, Ramón Sánchez, dijo en una reunión pública que el ataque a los servicios públicos de la ciudad había provocado el desbordamiento de un tanque de agua. Los funcionarios de las ciudades cercanas de Abernathy y Hale Center, un objetivo no mencionado en el video de los piratas informáticos, también dijeron que habían sido alcanzados. Las empresas de servicios públicos de las tres ciudades, así como otra en Lockney, supuestamente desactivaron su software para evitar su explotación, pero los funcionarios dijeron que el servicio a los clientes de las empresas de agua nunca fue interrumpido. (WIRED se comunicó con funcionarios de Muleshoe y Abernathy, pero no recibió respuesta de inmediato).
Otro vídeo que los hackers del Cyber Army of Russia Reborn publicaron en enero muestra lo que parece ser una grabación de pantalla de un intento similar de sabotaje de una empresa de aguas residuales en Wydminy, un pueblo de Polonia, un país cuyo gobierno ha sido un firme partidario de Ucrania en los últimos años. en medio de la invasión rusa. “Hola a todos, hoy jugaremos con las plantas de tratamiento de aguas residuales polacas. ¡Disfruto ver!» dice una voz rusa automatizada al comienzo del vídeo. Luego, el video muestra a los piratas informáticos activando interruptores y cambiando valores en el software, con una banda sonora de Super Mario Bros.
En un tercer vídeo, publicado en marzo, los piratas informáticos también se graban manipulando el sistema de control de lo que describen como la presa hidroeléctrica de Courlon Sur Yonne en Francia. Ese video fue publicado justo después de que el presidente francés Emmanuel Macron hiciera declaraciones públicas sugiriendo que enviaría personal militar francés a Ucrania para ayudar en su guerra contra Rusia. El vídeo comienza mostrando a Macron en forma de gallo sosteniendo una bandera francesa. “Recientemente escuchamos cantar a un gallo francés”, dice el video. “Hoy echaremos un vistazo a la presa de Courlon y nos divertiremos un poco. Disfruten viendo, amigos. ¡Gloria a Rusia!»
En su publicación de Telegram, los piratas informáticos afirman haber bajado el nivel del agua de la presa francesa y haber detenido el flujo de electricidad que producía, aunque WIRED no pudo confirmar esas afirmaciones. Ni las instalaciones de Wydminy ni el propietario de la presa de Courlon, Energies France, respondieron a la solicitud de comentarios de WIRED.
En los videos, los piratas informáticos muestran cierto conocimiento de cómo funciona una empresa de agua, así como cierta ignorancia y cambios aleatorios de interruptores, dice Gus Serino, fundador de la firma de ciberseguridad I&C Secure y ex empleado de una empresa de agua y de la Dragos, empresa de ciberseguridad de infraestructuras. Serino señala que los piratas informáticos cambiaron, por ejemplo, el “nivel de parada” de los tanques de agua en las empresas de servicios públicos de Texas, lo que podría haber provocado el desbordamiento que mencionaron los funcionarios. Pero señala que también hicieron otros cambios aparentemente arbitrarios, en particular en la planta de aguas residuales de Wydminy, que no habrían tenido ningún efecto.