En junio de 2023 Microsoft afirmó haber identificado a una nueva unidad cibernética al servicio de la inteligencia militar de la Federación Rusa que ha tenido y tiene un papel importante en la dimensión cíber de los planes de campaña rusos, especialmente desde el comienzo de la invasión. Los invitos a conocerla.
Autor: equipo de The Political Room
Nota del Editor: dentro de mis áreas de interés están los temas de Defensa y por eso decidí suscribirme al Sitio Web "The Political Room". Ya publiqué un comentario de ellos sobre la legislación europea sobre IA (https://www.gestionenti.com/post/la-ue-establece-la-primera-legislación-del-mundo-sobre-ia).
Ahora los llevo al mundo de la "Cíber Guerra" con este breve comentario publicado hace unos meses bajo el sugestivo título de "Kadetskaya: la nueva unidad de guerra cíber del GRU en Ucrania".
Quiero destacar que el objetivo es compartir con ustedes la parte técnica y profesional del tema. Por esa razón no se emiten opiniones políticas ni apoyos o críticas a la invasión realizada por Rusia a Ucrania.
Dicho eso, comencemos.
Aparición de una unidad rusa de Cíber Guerra.
Tal como se mencionó, ya en junio de 2023 Microsoft detectó la presencia de esta nueva unidad de inteligencia militar. Lo dicho no debe llamarnos a sorpresa porque hace muchos años que este tipo de organizaciones existen dentro de todos los ejércitos más avanzados del mundo.
De hecho, en la comunidad de Ciberseguridad se conocen casos históricos como cuando Rusia interrumpió el sistema eléctrico de uno de sus vecinos bálticos haciendo un ataque a las centrales generadoras. Aún más famoso es el caso de los Servicios Secretos de Israel que lograron introducir un "virus cibernético" que ralentizó el equipamiento iraní para generar material necesario para construir bombas atómicas. Esto útimo tuvo un trágico fin ya que al ser descubierto lo sucedido (años después) hubo drásticos casticos realizándose algunos fusilamientos.
Como se puede constatar el tema, para los Profesionales de la Ciberseguridad, es de gran relevancia y por eso, la detección de esta nueva Unidad es algo muy importante en el contexto de la guerra que se aproxima a cumplir 2 años de existencia.
La Unidad se ha denominado como "Cadet Blizzard", es decir literalmente "ventisca de cadetes" ("kadetskaya metel" o Кадетская метель en ruso).
Microsoft lo ha catalogado como un grupo de "amenazas persistentes avanzadas" o APT por sus siglas en inglés y da fe de su existencia al menos desde 2020, lo que indica que fueron parte de los planes de la Federación Rusa cuando preparó su ya famosa "Operación Especial de 3 días".
Se ha detectado que esta Unidad empezó a actuar antes de la invasión física a Ucrania ya que se destacaron en la "disrupción de los sitios digitales del Estado ucraniano utilizando una cíberarma conocida como WhisperGate. WhisperGate es un virus de tipo "wiper" diseñado para efectuar ataques generalizados con la posibilidad de espiar, exfiltrar información y destruir bases de datos y sistemas informáticos".
Esta situación no es nada nueva ya que durante la segunda guerra mundial era muy común realizar acciones de propaganda, desinformación y saboteo (en esa época a instalaciones físicas) como paso previo a los ataques militares como tal. Como anécdota histórica: el ejército alemán armó un ataque falso de soldados disfrazados con uniformes polacos para justificar su invasión en 1939. El plan salió mal porque el ataque fue postergado sin que se les avisara a los soldados, los que terminaron siendo abatidos. El equivalente moderno a lo mencionado serían estos Ciber ataques previos.
Otro comentario a tener en cuenta es que Rusia se destaca mucho en estos temas debido al nivel técnico de su personal Informático asignado a estas actividades. Los otros dos países a señalar son China y Estados Unidos, además del mencionado Israel.
Como curiosidad les comparto este "script" redactado e inyectado por los operativos de Kadetskaya en un servidor del Estado ucraniano que estuvo activo desde febrero de 2022 hasta junio de 2023:
Sí, este "inocente" código es lo que se ve digitar en las películas cuando el Hacker trata penetrar la seguridad que se le ponga por delante. Obviamente ya lo tienen preparado y lo que muestran en el cine es solo un recurso para darle emoción a la escena 😊 (no, tampoco es cierto que las bombas de los terroristas tienen un temporizador para avisar cuando van a estallar. Ese también es un recurso cinematográfico).
¿Cómo son los ataques entonces?
Básicamente lo que ocurrió fue que: "Kadetskaya ejecutó diversas operaciones en enero de 2022, destacando la disrupción de los sitios digitales del Estado ucraniano utilizando una cíberarma conocida como WhisperGate. WhisperGate es un virus de tipo "wiper" diseñado para efectuar ataques generalizados con la posibilidad de espiar, exfiltrar información y destruir bases de datos y sistemas informáticos".
Es como un ataque de comandos ya que se accede al "servidor-objetivo, se saquea la información de oportunidad y/o se destruyen las bases de datos que contiene". Tal cual se ve en las películas de la Segunda Guerra Mundial donde los comandos van al puerto enemigo, destruyen/capturan todo lo que pueden y luego huyen.
El ataque en detalle
Según el comentario citado los pasos son:
Paso 1: Cadet Blizzard usa diversas técnicas para acceder a sus objetivos para ello explota vulnerabilidades conocidas en servidores web dedicados a proporcionar espacios de trabajo digitales para compartir información, intercambiar correos y poner en común reuniones y calendarios, caso de los servidores de Microsoft Exchange y Atlassian Confluence.
Paso 2: Una vez dentro de la red, el grupo se desplaza lateralmente, recopila credenciales de los administradores y datos técnicos de los equipos, asegura su persistencia en el objetivo introduciendo mecanismos de control remoto (webshell) y roba datos confidenciales, o en su lugar, despliegan un malware destructivo.
Paso 3: Los objetivos finales del grupo se pueden resumir en la interrupción, destrucción y recopilación de información, y se centra en organismos gubernamentales, proveedores de servicios informáticos, fabricantes relacionados con software, ONG, servicios de emergencia y fuerzas de seguridad.
Sin embargo ... Kadetskaya tiene un índice de éxito relativamente bajo y su modo de operar muestra un bajo grado de profesionalidad. Todo esto según Microsoft quien les considera menos eficaces y menos "prolíficos" que otras unidades del GRU (Servicio de Inteligencia Militar de la Federación Rusa), por lo que se trataría de una unidad de menor envergadura.
Se destaca también que "Antes de la guerra en Ucrania, Cadet Blizzard también realizó acciones sobre varias entidades de Europa del Este, afectando principalmente a entes gubernamentales y del ámbito tecnológico ya en abril de 2021. Si bien a partir de 2022 Ucrania es el epicentro de las actividades de nuestro protagonista, lo cierto es que sus atenciones también se han dirigido contra entidades de Europa, Asia Central y hasta América Latina".
Medidas de seguridad propuestas
Para finalizar Microsoft ofrece algunas sugerencias a aplicar:
Revisar toda la actividad de autenticación para la infraestructura de acceso remoto, con un enfoque particular en las cuentas configuradas con autenticación de factor único, para confirmar la autenticidad e investigar cualquier actividad anómala.
Habilitar la autenticación multifactor para mitigar las credenciales potencialmente comprometidas y garantizar que MFA se aplique a toda la conectividad remota. Microsoft recomienda encarecidamente a todos los clientes que descarguen y usen soluciones sin contraseña como Microsoft Authenticator para proteger las cuentas.
Comentario final
Para los que llevamos muchos años de profesión probablemente nos sorprenda ver a Microsoft tomar un rol activo en temas de seguridad ya que tradicionalmente no es una empresa asociada a este tipo de áreas.
Que lo haga muestra la importancia del tema tratado y nos lleva inevitablemente a pensar en que pie están nuestras propias Fuerzas Armadas al respecto.
Si alguien tiene información y la quiere compartir lo invitamos a hacerlo en los comentarios de esta entrada.