[ad_1]
La tristemente célebre unidad GRU de la agencia de inteligencia militar rusa, conocida como Sandworm, sigue siendo el único equipo de hackers que ha provocado apagones con sus ciberataques, apagando las luces de cientos de miles de civiles ucranianos no una sino dos veces en la última década. Ahora parece que en medio de la guerra total de Rusia en Ucrania, el grupo ha logrado otro logro dudoso en la historia de la guerra cibernética: lanzó un ataque de apagón contra civiles al mismo tiempo que su ciudad fue alcanzada por ataques con misiles, un Operación brutal y sin precedentes Combinación de guerra física y digital.
La empresa de ciberseguridad Mandiant anunció hoy que Sandworm, el nombre de la industria de ciberseguridad para la Unidad 74455 de la agencia de espionaje rusa GRU, llevó a cabo con éxito un tercer ataque a la red eléctrica de una empresa eléctrica ucraniana en octubre del año pasado, lo que provocó un corte de energía para un número desconocido de personas. civiles ucranianos. En este caso, a diferencia de todos los demás cortes de energía causados por piratas informáticos, Mandiant dijo que el ciberataque coincidió con el inicio de una serie de ataques con misiles contra la infraestructura crítica de Ucrania en todo el país, lo que resultó en víctimas en la misma ciudad donde se encontraba la empresa de servicios públicos en la que Sandworm desencadenó el corte de energía. Dos días después del apagón, los piratas informáticos también utilizaron malware «limpiador» de destrucción de datos para borrar el contenido de las computadoras en la red de la empresa de servicios públicos, tal vez para destruir evidencia que podría usarse para analizar su intrusión.
Mandiant, que ha trabajado en estrecha colaboración con el gobierno ucraniano en defensa digital e investigaciones de violaciones de redes desde que comenzó la invasión rusa en febrero de 2022, se negó a nombrar la empresa eléctrica atacada ni la ciudad en la que estaba ubicada. Tampoco proporcionaría ninguna información sobre la duración del apagón resultante o el número de civiles afectados.
Mandiant señala en su informe sobre el incidente que dos semanas antes del apagón, los piratas informáticos de Sandworm parecían haber tenido todo el acceso y las capacidades necesarios para secuestrar el software del sistema de control industrial que monitorea el flujo de electricidad en las subestaciones de la empresa. Aún así, parece haber esperado hasta el día de los ataques con misiles rusos para llevar a cabo el ciberataque. Si bien este momento puede ser una coincidencia, es más indicativo de ataques físicos y cibernéticos coordinados, tal vez destinados a sembrar el caos antes de estos ataques aéreos, complicar cualquier defensa contra ellos o aumentar su impacto psicológico en los civiles.
«El incidente cibernético agrava el impacto del ataque físico», dijo John Hultquist, jefe de inteligencia de amenazas de Mandiant, quien siguió a Sandworm durante casi una década y nombró al grupo en 2014. «Sin ver sus órdenes reales, es muy difícil para nosotros determinar si fueron intencionales o no». Yo diría que esto lo llevó a cabo un actor militar y coincidió con otro ataque militar. Si fue una coincidencia, fue una coincidencia terriblemente interesante”.
Cibersaboteadores ágiles y sigilosos
La agencia de ciberseguridad del gobierno ucraniano, SSSCIP, se negó a confirmar completamente los hallazgos de Mandiant cuando WIRED se puso en contacto con ellos, pero no los cuestionó. El vicepresidente del SSSCIP, Viktor Zhora, escribió en un comunicado que la agencia respondió a la infracción el año pasado y trabajó con la víctima para «minimizar y localizar el impacto». En una investigación realizada en los dos días posteriores al corte de energía casi simultáneo y a los ataques con misiles, la agencia confirmó que los piratas informáticos habían encontrado un «puente» entre la red informática de la empresa eléctrica y sus sistemas de control industrial e inyectaron malware capaz de manipular esta red.
El desglose más detallado de la intrusión realizado por Mandiant muestra cómo el hackeo de la red del GRU ha evolucionado con el tiempo y se ha vuelto mucho más sigiloso y sofisticado. En este último ataque de apagón, el grupo utilizó el enfoque de “vivir de la tierra” que se está volviendo cada vez más común entre los piratas informáticos patrocinados por el estado que buscan evitar ser detectados. En lugar de implementar su propio malware personalizado, utilizaron herramientas legítimas que ya estaban en la red para propagarse de una máquina a otra antes de ejecutar finalmente un script automatizado que obtuvo acceso al software del sistema de control industrial de la planta, conocido como MicroSCADA, utilizado para activar la energía. corte.
Por el contrario, en el apagón de Sandworm de 2017 que afectó a una estación de radiodifusión al norte de la capital, Kiev, los piratas informáticos utilizaron un malware especialmente diseñado llamado Crash Override, o Industroyer, capaz de enviar automáticamente comandos para abrir disyuntores utilizando múltiples protocolos. En otro ataque de Sandworm a la red eléctrica en 2022, que el gobierno ucraniano describió como un intento fallido de provocar un apagón, el grupo utilizó una versión más nueva de este malware llamada Industroyer2.
[ad_2]