\n<\/p>\n
La notoria unidad de la agencia de inteligencia militar rusa GRU, conocida como Sandworm, sigue siendo el \u00fanico equipo de piratas inform\u00e1ticos que ha provocado apagones con sus ciberataques, apagando las luces de cientos de miles de civiles ucranianos no una, sino dos veces en la \u00faltima d\u00e9cada. Ahora parece que en medio de la guerra a gran escala de Rusia en Ucrania, el grupo ha logrado otra distinci\u00f3n dudosa en la historia de la guerra cibern\u00e9tica: atac\u00f3 a civiles con un ataque de apag\u00f3n al mismo tiempo que atacaban con misiles su ciudad, un ataque brutal y sin precedentes. combinaci\u00f3n de guerra digital y f\u00edsica.<\/p>\n
La firma de ciberseguridad Mandiant revel\u00f3 hoy que Sandworm, un nombre de la industria de ciberseguridad para la Unidad 74455 de la agencia de espionaje rusa GRU, llev\u00f3 a cabo un tercer ataque exitoso a la red el\u00e9ctrica contra una empresa de electricidad ucraniana en octubre del a\u00f1o pasado, provocando un apag\u00f3n para un n\u00famero desconocido de civiles ucranianos. . En este caso, a diferencia de cualquier apag\u00f3n anterior inducido por piratas inform\u00e1ticos, Mandiant dice que el ciberataque coincidi\u00f3 con el inicio de una serie de ataques con misiles dirigidos a infraestructuras cr\u00edticas de Ucrania en todo el pa\u00eds, que incluyeron v\u00edctimas en la misma ciudad que la empresa de servicios p\u00fablicos donde Sandworm provoc\u00f3 su corte de energ\u00eda. . Dos d\u00edas despu\u00e9s del apag\u00f3n, los piratas inform\u00e1ticos tambi\u00e9n utilizaron un malware \u00ablimpiador\u00bb que destruye datos para borrar el contenido de las computadoras en la red de la empresa de servicios p\u00fablicos, tal vez en un intento de destruir evidencia que podr\u00eda usarse para analizar su intrusi\u00f3n.<\/p>\n
Mandiant, que ha trabajado estrechamente con el gobierno ucraniano en defensa digital e investigaciones de violaciones de redes desde el inicio de la invasi\u00f3n rusa en febrero de 2022, se neg\u00f3 a nombrar la empresa el\u00e9ctrica objetivo ni la ciudad donde estaba ubicada. Tampoco ofrecer\u00eda informaci\u00f3n como la duraci\u00f3n de la p\u00e9rdida de energ\u00eda resultante o el n\u00famero de civiles afectados.<\/p>\n
Mandiant se\u00f1ala en su informe sobre el incidente que tan solo dos semanas antes del apag\u00f3n, los piratas inform\u00e1ticos de Sandworm ya parec\u00edan haber pose\u00eddo todo el acceso y las capacidades necesarias para secuestrar el software del sistema de control industrial que supervisa el flujo de energ\u00eda en las subestaciones el\u00e9ctricas de la empresa de servicios p\u00fablicos. . Sin embargo, parece haber esperado para llevar a cabo el ciberataque hasta el d\u00eda de los ataques con misiles de Rusia. Si bien ese momento puede ser una coincidencia, lo m\u00e1s probable es que sugiera ataques f\u00edsicos y cibern\u00e9ticos coordinados, tal vez dise\u00f1ados para sembrar el caos antes de esos ataques a\u00e9reos, complicar cualquier defensa contra ellos o aumentar su efecto psicol\u00f3gico sobre los civiles.<\/p>\n
\u00abEl incidente cibern\u00e9tico exacerba el impacto del ataque f\u00edsico\u00bb, dice John Hultquist, jefe de inteligencia de amenazas de Mandiant, quien ha seguido a Sandworm durante casi una d\u00e9cada y nombr\u00f3 al grupo en 2014. \u00abSin ver sus \u00f3rdenes reales, es realmente dif\u00edcil para nosotros\u00bb. lado para determinar si eso fue o no a prop\u00f3sito. Dir\u00e9 que esto fue llevado a cabo por un actor militar y coincidi\u00f3 con otro ataque militar. Si fue una coincidencia, fue una coincidencia terriblemente interesante\u00bb.<\/p>\n
Cibersaboteadores m\u00e1s \u00e1giles y sigilosos<\/p>\n
La agencia de ciberseguridad del gobierno ucraniano, SSSCIP, se neg\u00f3 a confirmar completamente los hallazgos de Mandiant en respuesta a una solicitud de WIRED, pero no los cuestion\u00f3. El vicepresidente del SSSCIP, Viktor Zhora, escribi\u00f3 en un comunicado que la agencia respondi\u00f3 a la infracci\u00f3n el a\u00f1o pasado, trabajando con la v\u00edctima para \u00abminimizar y localizar el impacto\u00bb. En una investigaci\u00f3n realizada durante los dos d\u00edas posteriores al apag\u00f3n y los ataques con misiles casi simult\u00e1neos, dice, la agencia confirm\u00f3 que los piratas inform\u00e1ticos hab\u00edan encontrado un \u00abpuente\u00bb entre la red inform\u00e1tica de la empresa de servicios p\u00fablicos y sus sistemas de control industrial y hab\u00edan colocado all\u00ed malware capaz de manipular el red.<\/p>\n
El desglose m\u00e1s detallado de la intrusi\u00f3n realizado por Mandiant muestra c\u00f3mo el hackeo de la red del GRU ha evolucionado con el tiempo para volverse mucho m\u00e1s sigiloso y \u00e1gil. En este \u00faltimo ataque de apag\u00f3n, el grupo utiliz\u00f3 un enfoque de \u00abvivir de la tierra\u00bb que se ha vuelto m\u00e1s com\u00fan entre los piratas inform\u00e1ticos patrocinados por el estado que buscan evitar ser detectados. En lugar de implementar su propio malware personalizado, explotaron las herramientas leg\u00edtimas ya presentes en la red para propagarse de una m\u00e1quina a otra antes de ejecutar finalmente un script automatizado que utiliz\u00f3 su acceso al software del sistema de control industrial de la instalaci\u00f3n, conocido como MicroSCADA, para provocar el apag\u00f3n. .<\/p>\n
Por el contrario, en el apag\u00f3n de Sandworm de 2017 que afect\u00f3 a una estaci\u00f3n de transmisi\u00f3n al norte de la capital, Kiev, los piratas inform\u00e1ticos utilizaron una pieza de malware personalizada conocida como Crash Override o Industroyer, capaz de enviar autom\u00e1ticamente comandos a trav\u00e9s de varios protocolos para abrir disyuntores. En otro ataque a la red el\u00e9ctrica de Sandworm en 2022, que el gobierno ucraniano describi\u00f3 como un intento fallido de provocar un apag\u00f3n, el grupo utiliz\u00f3 una versi\u00f3n m\u00e1s nueva de ese malware conocida como Industroyer2.<\/p>\n<\/div>\n