• Equipo de inteligencia de CrowdStrike

En las últimas semanas Ucrania está copando los titulares de la mayoría de los medios de información general debido a la presión que está ejerciendo Rusia en la zona. Si acercamos la lupa al ámbito de la ciberseguridad, esta situación se puede remontar al menos a 2014, cuando se empezaron a observar movimientos procedentes del gobierno ruso, o de grupos cercanos al gobierno ruso, y que han causado un importante impacto en diferentes sectores industriales ucranianos, entre los que destacan el energético, el de transportes o el financiero.

El laboratorio de CrowdStrike atribuye la mayoría de los incidentes a Voodoo Bear, un grupo controlado, parece ser, por el ejército ruso. El impacto de las acciones de este grupo no se circunscribe a las entidades objetivo, sino que ha causado importantes daños colaterales, ya que se ha atacado a redes informáticas y se han interrumpido servicios críticos sobre los que una gran parte de la población y las empresas ucranianas confían. Incluso, en algunos casos, ha causado impactos importantes en organizaciones fuera del país.

Las técnicas empleadas por Voodoo Bear han evolucionado a lo largo del tiempo, desde la distribución de malware hasta el uso de mecanismos con los que comprometer las cadenas de suministro o webs estratégicas simulando ataques de ransomware.

Las primeras operaciones atribuidas al grupo tenían un objetivo dirigido contra un grupo de sectores estratégicos y combinaban el malware BlackEnergy con KillDisk (también conocido como PassKillDisk). Muchos de estos incidentes se llevaron a cabo durante acontecimientos importantes para el país, hasta llegar a diciembre de 2016, en los que se sucedieron varios ataques persistentes con el objetivo de causar un efecto disruptivo en la economía ucraniana. Entre estas operaciones, destacan los ataques contra empresas de energía y transporte en mayo de 2014, incidentes contra medios de comunicación durante las elecciones locales de octubre de 2015 o las ofensivas contra un proveedor de energía en la zona occidental del país en los meses de diciembre de 2015 y 2016.

Las operaciones más destructivas de Voodoo Bear comenzaron, sin embargo, en 2017, con el uso de técnicas enmascaradas en familias de pseudoransomware lanzadas contra diferentes organizaciones ucranianas y con un alcance con un potencial amplificado. Por ejemplo, comprometiendo la cadena de suministro de importantes empresas.

En esta segunda oleada, destacan los ataques contra una organización tecnológica en enero de 2017, el compromiso de una actualización de un software de contabilidad muy utilizado tanto en Ucrania como en otros países (que se vieron también afectados) en mayo y junio de 2017 o los ataques a las redes de transporte en octubre de 2017. Si nos detenemos en esta campaña, los primeros ataques encontrados a principios de 2017 pudieron ser test para probar la capacidad de distribución del malware NotPetya, que parece ser que se quiso desplegar coincidiendo con el día de la Constitución del país. Sin embargo, el hecho de distribuir NotPetya a través del software de contabilidad M.E. Doc, junto con sus capacidades de propagación, tuvo un impacto global no intencionado.

Con todo esto llegamos a 2022. CrowdStrike encontró el pasado mes de enero cierta actividad en el grupo WhisperedDebate contra las redes gubernamentales ucranianas. Aunque este grupo no se considera aún un adversario, a pesar de los paralelismos que pueden llevar a ello por las operaciones que han llevado a cabo, todo hace pensar que tienen un objetivo en Ucrania y nexos con Rusia o grupos afines.

El propio gobierno de Ucrania ha minimizado el impacto de las actividades de WhisperedDebate, sobre todo si las comparamos con las de Voodoo Bear de 2017, pero no sabemos aún la intencionalidad que subyace. Todo parece indicar, en cualquier caso, que la distribución manual del malware y el foco en las redes gubernamentales muestra que el impacto limitado sea intencionado.

Desde CrowdStrike se han identificado varios intentos para distribuir datos conseguidos después de perpetrar ataques tras la campaña llevada a cabo por WhisperedDebate y, aunque no hay evidencias de ello, sí que se han encontrado fugas de información.

Las destructivas operaciones llevadas a cabo por Voodoo Bear contra Ucrania muestran un objetivo claro: desestabilizar la confianza que pueda tener la población hacia el gobierno. Todo esto busca complementar la estrategia de Rusia contra Ucrania, más allá de la ofensiva militar o diplomática, para conseguir que los ciudadanos desconfíen del acercamiento del gobierno a las potencias occidentales y crear una corriente de opinión favorable a Rusia, como una antesala a acciones militarles, como en 2014 cuando se anexionó Crimea.

Si echamos la vista atrás, los ciberataques futuros contra Ucrania tendrán mayores implicaciones, incluso contra organizaciones fuera del país. Es muy posible que compañías que operan en Ucrania, aunque tengan su sede fuera del país, sufran daños colaterales. Incluso es probable que algunas empresas que operan fuera del país pero que soportan la posición contra Rusia sufran algunos ataques.

En definitiva, la ciberguerra contra Ucrania puede no solo afectar a empresas locales sino a otras organizaciones internacionales, como se ha demostrado ya en el pasado.