Desde que Rusia lanzó su invasión total de Ucrania a finales de febrero, una ola de ciberataques predecibles ha acompañado esa ofensiva, golpeando todo, desde las agencias gubernamentales ucranianas hasta las redes de satélites, con resultados mixtos.
Sin embargo, lo que menos se esperaba era la contraofensiva cibernética del gobierno de Estados Unidos, no en forma de represalias, sino en una amplia colección de agresivas medidas legales y políticas diseñadas para señalar a los grupos de ciberataque más descarados del Kremlin, acorralarlos e incluso interrumpir directamente sus capacidades de pirateo.
En los últimos dos meses, el poder ejecutivo del presidente Joe Biden ha tomado más medidas para disuadir e incluso desarmar temporalmente a los piratas informáticos más peligrosos de Rusia que quizás cualquier otra administración anterior en un espacio de tiempo tan breve.
Las contramedidas de Estados Unidos han ido desde culpar públicamente de los ataques de denegación de servicio distribuidos dirigidos a los bancos ucranianos a la agencia de inteligencia militar rusa GRU, pasando por la presentación de dos acusaciones contra los miembros de conocidos grupos de hackers estatales rusos, hasta la realización de una inusual operación del FBI para eliminar el malware de los dispositivos de red que los hackers de la GRU habían utilizado para controlar una red de bots global de máquinas pirateadas.
A principios de esta semana, el director general de la NSA y del Mando Cibernético, Paul Nakasone, también declaró ante el Congreso que el Mando Cibernético había enviado equipos de «caza avanzada» de personal de ciberseguridad estadounidense a Europa del Este para buscar y eliminar las vulnerabilidades de la red que los hackers podrían explotar tanto en Ucrania como en las redes de otros aliados.
En conjunto, se trata de «una campaña concertada y coordinada para utilizar todos los resortes del poder nacional contra un adversario», afirma J. Michael Daniel, que fue coordinador de ciberseguridad en la Casa Blanca de Obama, asesorando al presidente sobre las respuestas políticas a todo tipo de amenazas de piratería informática patrocinadas por el Estado.
«Están tratando tanto de interrumpir lo que el adversario está haciendo actualmente, como de disuadirlo potencialmente de llevar a cabo más acciones, más expansivas, en el ciberespacio como resultado de la guerra en Ucrania».
Daniel dice que, en comparación con la administración de Obama en la que sirvió, está claro que la Casa Blanca de Biden ha decidido adoptar un enfoque mucho más rápido y contundente para contrarrestar a los hackers del Kremlin.
Biden atribuye este cambio tanto a los años de experiencia del gobierno estadounidense en el trato con el régimen de Vladimir Putin como a la urgencia de la crisis ucraniana, en la que los hackers estatales rusos suponen una amenaza constante para las infraestructuras críticas ucranianas y también para las redes en Occidente, donde los hackers del Kremlin pueden arremeter en represalia por las sanciones contra Rusia y el apoyo militar a Ucrania.
«Los rusos han dejado bastante claro que las señales y los pequeños pasos no van a disuadirles», dice Daniels. «Hemos aprendido que tenemos que ser más agresivos«.
Las respuestas reforzadas de la administración Biden a los ciberataques rusos comenzaron a mediados de febrero, antes de que Rusia lanzara su invasión a gran escala.
En una conferencia de prensa en la Casa Blanca, la Viceconsejera de Seguridad Nacional, Anne Neuberger, acusó a la GRU rusa de una serie de ataques de denegación de servicio que habían golpeado a los bancos ucranianos durante la semana anterior.
«La comunidad mundial debe estar preparada para denunciar las actividades cibernéticas maliciosas y responsabilizar a los actores de cualquier actividad cibernética destructiva o perturbadora«, dijo Neuberger a los periodistas.
Esta reprimenda, que se produjo apenas unos días después de los ataques del GRU, representó uno de los períodos más cortos de tiempo entre una operación cibernética y una declaración del gobierno estadounidense atribuyéndola a una agencia concreta, un proceso que a menudo ha llevado meses o incluso años.
El mes pasado, el Departamento de Justicia hizo públicas las acusaciones contra cuatro individuos rusos de dos grupos de hackers vinculados al Estado. Una de las acusaciones se refería a tres presuntos agentes de la agencia de inteligencia rusa FSB, acusados de pertenecer a un infame grupo de hackers, conocido como Berserk Bear o Dragonfly 2.0, que participó en una oleada de hackeos de varios años de duración que tuvo como objetivo repetidamente las infraestructuras críticas de Estados Unidos, incluyendo múltiples violaciones de las redes eléctricas.
Una segunda acusación puso nombre a otra campaña de piratería informática muy peligrosa, que utilizó un programa malicioso conocido como Triton o Trisis para atacar los sistemas de seguridad de la refinería de petróleo saudí Petro Rabigh, poniendo potencialmente en peligro vidas humanas y provocando dos cierres de las operaciones de la refinería.
El Departamento de Justicia atribuyó ese ataque a un empleado del Instituto Central de Investigación Científica de Química y Mecánica (conocido como TsNIIKhM), vinculado al Kremlin, en Moscú, junto con otros conspiradores no identificados de la misma organización.
Al mismo tiempo, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, el Departamento de Justicia y el FBI se enfrentaban a un tercer grupo de hackers estatales rusos de forma aún más directa.
En febrero, la CISA emitió por primera vez una advertencia de que un grupo de hackers del GRU conocido como Sandworm -con un historial que incluye desde provocar apagones en Ucrania hasta la liberación del malware NotPetya que infligió 10.000 millones de dólares en daños en todo el mundo- había montado una red de bots de dispositivos de red hackeados, junto con una guía sobre cómo detectar y eliminar el malware, conocido como Cyclops Blink.
Cuando ese aviso sólo condujo a un descenso del 39% en el número de dispositivos secuestrados por la red de bots, el FBI dio el raro paso de suplantar las comunicaciones de los hackers con sus máquinas de mando y control, enviando órdenes para eliminar el malware de los hackers de esos dispositivos, y cortando así el acceso de Sandworm a al menos parte de su red de bots.
El objetivo específico de estos tres grupos de hackers -los hackers Berserk Bear, vinculados al FSB, los hackers TsNIIKhM, supuestamente detrás de Triton, y el grupo Sandworm, vinculado al GRU- muestra cómo el gobierno de Estados Unidos está tomando intencionadamente medidas para disuadir e inhabilitar a los hackers rusos que presentan la mayor amenaza, no sólo de espionaje o cibercrimen, sino de ciberguerra selectiva y disruptiva, dice John Hultquist, que dirige la inteligencia de amenazas en la empresa de ciberseguridad Mandiant y que ha rastreado a los tres grupos durante años.
«En un momento en que Estados Unidos se prepara para posibles ciberataques de Rusia, el Departamento de Justicia ha acusado específicamente a dos de estos actores y ha llevado a cabo una operación contra el tercero«, dice Hultquist.
«Esos son los actores que tienen el historial y la capacidad probada de realizar ataques disruptivos y destructivos. Por eso las operaciones se han centrado y deben centrarse en esos actores.»
0 comentarios