Los piratas informáticos Sandworm provocan otro apagón en Ucrania durante un ataque con misiles

noviembre 9, 2023

0 0 3 minutos de lectura

Los piratas informaticos Sandworm provocan otro apagon en Ucrania durante

Sandworm, la notoria unidad de la agencia de inteligencia militar rusa GRU, sigue siendo el único equipo de piratas informáticos que provoca apagones mediante ciberataques, dejando sin electricidad a cientos de miles de civiles ucranianos dos veces en la última década. Ahora parece que, en medio de la guerra total de Rusia en Ucrania, el grupo ha logrado otro logro dudoso en la historia de la guerra cibernética: ha atacado sus ciudades con apagones y ataques simultáneos con misiles, un comportamiento cruel sin precedentes. Una combinación de guerra digital y física.

La firma de ciberseguridad Mandiant reveló hoy que Sandworm, el nombre de la industria de ciberseguridad para la Unidad 74455 de la agencia de espionaje GRU de Rusia, llevó a cabo su tercer ataque exitoso a la red eléctrica contra una compañía eléctrica ucraniana en octubre pasado, provocando que un número desconocido de civiles ucranianos se quedaran sin electricidad. . Mandiant dijo que a diferencia de cualquier apagón anterior causado por piratas informáticos, este ciberataque coincidió con el comienzo de una serie de ataques con misiles a infraestructuras críticas en toda Ucrania, incluidas las víctimas de la empresa de servicios públicos donde el gusano de arena provocó el apagón de la misma ciudad. . Dos días después de la interrupción, los piratas informáticos también utilizaron un tipo de malware «limpiador» que destruye datos para borrar el contenido de las computadoras en la red de servicios públicos, tal vez para destruir evidencia que podría usarse para analizar su intrusión.

Mandiant ha trabajado en estrecha colaboración con el gobierno ucraniano en defensa digital e investigaciones de violaciones cibernéticas desde que comenzó la intrusión rusa en febrero de 2022, y se negó a nombrar las compañías eléctricas objetivo o las ciudades en las que están ubicadas. Tampoco proporciona información como la duración del corte resultante o el número de civiles afectados.

El informe de Mandiant sobre el incidente señaló que tan solo dos semanas antes del apagón, los piratas informáticos de Sandworm parecían haber tenido todo el acceso y las capacidades necesarias para secuestrar el software del sistema de control industrial que monitorea el flujo de energía a las subestaciones de servicios públicos. . Sin embargo, parece haber esperado hasta el día del ataque ruso con misiles antes de lanzar su ciberataque. Si bien el momento podría ser una coincidencia, es más probable que indique un ataque cibernético y físico coordinado, tal vez diseñado para crear caos antes de un ataque aéreo, complicar las defensas contra un ataque aéreo o aumentar el impacto psicológico en los civiles.

«Los incidentes cibernéticos exacerban el impacto de los ataques físicos», dijo John Hultquist, director de inteligencia de amenazas de Mandiant, quien siguió a Sandworm durante casi una década y nombró al grupo en 2014. «Es realmente difícil para nosotros aceptar eso sin ver sus órdenes reales» para determinar si esto fue intencional. Lo que intento decir es que esto fue llevado a cabo por actores militares y coincidió con otro ataque militar. Si esto es una coincidencia, es muy interesante. «

Cibersaboteadores más flexibles y sigilosos

A petición de WIRED, la agencia de ciberseguridad del gobierno ucraniano, SSSCIP, se negó a confirmar completamente las conclusiones de Mandiant, pero no las cuestionó. El vicepresidente del SSSCIP, Viktor Zhora, escribió en un comunicado que la agencia respondió a la infracción el año pasado, trabajando con las víctimas para «minimizar y localizar el impacto». Dijo que durante una investigación de dos días que siguió al casi simultáneo apagón y ataque con misiles, la agencia confirmó que los piratas informáticos descubrieron un «puente» entre la red informática de la empresa de servicios públicos y el sistema de control industrial y colocaron allí un comando capaz de manipular la sistema software malicioso. red.

El análisis más detallado de la intrusión realizado por Mandiant muestra cómo el hackeo de la red del GRU ha evolucionado con el tiempo para volverse más sigiloso y ágil. En este último ataque de apagón, el grupo utilizó un enfoque de «vivir de la tierra» que se está volviendo más común entre los piratas informáticos patrocinados por el estado que buscan evitar ser detectados. En lugar de implementar su propio malware personalizado, aprovecharon herramientas legítimas que ya estaban en la red para propagarse de una máquina a otra y, finalmente, ejecutaron un script automatizado que aprovechó su acceso al software del sistema de control industrial de la instalación, conocido como MicroSCADA, para provocar un apagón. .

Por el contrario, cuando Sandworm atacó una estación de transmisión de energía al norte de la capital, Kiev, en 2017, los piratas informáticos utilizaron un malware personalizado llamado Crash Override, o Industroyer, que podía enviar automáticamente comandos a través de múltiples protocolos para abrir disyuntores. En otro ataque a la red eléctrica de Sandworm en 2022, el grupo utilizó una versión actualizada del malware, Industroyer2, que el gobierno ucraniano describió como un intento fallido de provocar apagones.