La notoria unidad de la agencia de inteligencia militar rusa GRU, conocida como Sandworm, sigue siendo el único equipo de piratas informáticos que ha provocado apagones con sus ciberataques, apagando las luces de cientos de miles de civiles ucranianos no una, sino dos veces en la última década. Ahora parece que en medio de la guerra a gran escala de Rusia en Ucrania, el grupo ha logrado otra distinción dudosa en la historia de la guerra cibernética: atacó a civiles con un ataque de apagón al mismo tiempo que atacaban con misiles su ciudad, un ataque brutal y sin precedentes. combinación de guerra digital y física.
La firma de ciberseguridad Mandiant reveló hoy que Sandworm, un nombre de la industria de ciberseguridad para la Unidad 74455 de la agencia de espionaje rusa GRU, llevó a cabo un tercer ataque exitoso a la red eléctrica contra una empresa de electricidad ucraniana en octubre del año pasado, provocando un apagón para un número desconocido de civiles ucranianos. . En este caso, a diferencia de cualquier apagón anterior inducido por piratas informáticos, Mandiant dice que el ciberataque coincidió con el inicio de una serie de ataques con misiles dirigidos a infraestructuras críticas de Ucrania en todo el país, que incluyeron víctimas en la misma ciudad que la empresa de servicios públicos donde Sandworm provocó su corte de energía. . Dos días después del apagón, los piratas informáticos también utilizaron un malware «limpiador» que destruye datos para borrar el contenido de las computadoras en la red de la empresa de servicios públicos, tal vez en un intento de destruir evidencia que podría usarse para analizar su intrusión.
Mandiant, que ha trabajado estrechamente con el gobierno ucraniano en defensa digital e investigaciones de violaciones de redes desde el inicio de la invasión rusa en febrero de 2022, se negó a nombrar la empresa eléctrica objetivo ni la ciudad donde estaba ubicada. Tampoco ofrecería información como la duración de la pérdida de energía resultante o el número de civiles afectados.
Mandiant señala en su informe sobre el incidente que tan solo dos semanas antes del apagón, los piratas informáticos de Sandworm ya parecían haber poseído todo el acceso y las capacidades necesarias para secuestrar el software del sistema de control industrial que supervisa el flujo de energía en las subestaciones eléctricas de la empresa de servicios públicos. . Sin embargo, parece haber esperado para llevar a cabo el ciberataque hasta el día de los ataques con misiles de Rusia. Si bien ese momento puede ser una coincidencia, lo más probable es que sugiera ataques físicos y cibernéticos coordinados, tal vez diseñados para sembrar el caos antes de esos ataques aéreos, complicar cualquier defensa contra ellos o aumentar su efecto psicológico sobre los civiles.
«El incidente cibernético exacerba el impacto del ataque físico», dice John Hultquist, jefe de inteligencia de amenazas de Mandiant, quien ha seguido a Sandworm durante casi una década y nombró al grupo en 2014. «Sin ver sus órdenes reales, es realmente difícil para nosotros». lado para determinar si eso fue o no a propósito. Diré que esto fue llevado a cabo por un actor militar y coincidió con otro ataque militar. Si fue una coincidencia, fue una coincidencia terriblemente interesante».
Cibersaboteadores más ágiles y sigilosos
La agencia de ciberseguridad del gobierno ucraniano, SSSCIP, se negó a confirmar completamente los hallazgos de Mandiant en respuesta a una solicitud de WIRED, pero no los cuestionó. El vicepresidente del SSSCIP, Viktor Zhora, escribió en un comunicado que la agencia respondió a la infracción el año pasado, trabajando con la víctima para «minimizar y localizar el impacto». En una investigación realizada durante los dos días posteriores al apagón y los ataques con misiles casi simultáneos, dice, la agencia confirmó que los piratas informáticos habían encontrado un «puente» entre la red informática de la empresa de servicios públicos y sus sistemas de control industrial y habían colocado allí malware capaz de manipular el red.
El desglose más detallado de la intrusión realizado por Mandiant muestra cómo el hackeo de la red del GRU ha evolucionado con el tiempo para volverse mucho más sigiloso y ágil. En este último ataque de apagón, el grupo utilizó un enfoque de «vivir de la tierra» que se ha vuelto más común entre los piratas informáticos patrocinados por el estado que buscan evitar ser detectados. En lugar de implementar su propio malware personalizado, explotaron las herramientas legítimas ya presentes en la red para propagarse de una máquina a otra antes de ejecutar finalmente un script automatizado que utilizó su acceso al software del sistema de control industrial de la instalación, conocido como MicroSCADA, para provocar el apagón. .
Por el contrario, en el apagón de Sandworm de 2017 que afectó a una estación de transmisión al norte de la capital, Kiev, los piratas informáticos utilizaron una pieza de malware personalizada conocida como Crash Override o Industroyer, capaz de enviar automáticamente comandos a través de varios protocolos para abrir disyuntores. En otro ataque a la red eléctrica de Sandworm en 2022, que el gobierno ucraniano describió como un intento fallido de provocar un apagón, el grupo utilizó una versión más nueva de ese malware conocida como Industroyer2.