Un estudio apunta a posibles conexiones entre el gobierno ruso e importantes ciberataques
- Actualidad
Check Point y el especialista en análisis de malware Intezer han llevado a cabo una investigación sobre las operaciones cibernéticas de Rusia en torno a las APT, acrónimo de amenazas persistentes avanzadas. Ambas compañías aseguran haber encontrado más de 22.000 conexiones con organizaciones de ciberespionaje y presuntas entidades militares y gubernamentales rusas.
Según explican ambas firmas, durante esta investigación a gran escala, se analizaron aproximadamente 2.000 muestras de malware APT atribuidas a Rusia y se han encontrado más de 22.000 conexiones entre las muestras y 3,85 millones de piezas de código compartidas entre diferentes organizaciones. Estos actores forman parte de un panorama más amplio en el que Rusia es una de las potencias más fuertes en la guerra cibernética actual. “Sus herramientas avanzadas, enfoques únicos e infraestructuras sólidas sugieren operaciones enormes y complicadas que podrían involucrar a diferentes entidades militares y gubernamentales rusas”, sostienen.
Rusia ha sido reconocida como una de las principales potencias en el ámbito cibernético debido al amplio número de operaciones de espionaje y sabotaje que ha llevado a cabo durante las últimas tres décadas, y ejemplo no faltan: Moonlight Maze en 1996, la brecha de seguridad del Pentágono en 2008 o el hackeo de las elecciones americanas de 2016. Los ciberatacantes también estuvieron detrás de algunos de los mayores y más famosos ataques de la historia, indican las compañías cuando mencionan el ransomware NotPetya.
En su análisis, afirman haber encontrado indicios de que el código de algunos de los principales ciberataques fue presuntamente compartido entre diferentes entidades militares, gubernamentales y de inteligencia rusas, y sostienen que “refuerza la teoría de que Rusia podría estar invirtiendo un gran esfuerzo en desarrollar nuevas herramientas como ciberarmas”.
En concreto, Check Point subraya que las conexiones que ha analizado muestran “claramente” que piezas de código como funciones, módulos completos o parciales y esquemas de encriptación se compartían entre diferentes equipos y proyectos de un mismo actor, por lo que los equipos ahorraban cientos de horas de trabajo y mucho dinero ya que, en lugar de volver a implementar las capacidades ya existentes, podían centrarse en otras tareas y reutilizar el código.
Sin embargo, la investigación pone de manifiesto que ninguna de las conexiones compartía fragmentos de código entre más de dos organizaciones. “Este hecho refleja que Rusia cuenta con uno de los sistemas de herramientas cibernéticas más avanzadas y sólidas del mundo”, señalan Check Point e Intezer.
Al evitar que diferentes organizaciones reutilicen de forma excesiva las mismas herramientas en una amplia gama de objetivos, anulan el riesgo de que una operación comprometida exponga a otras aún activas, impidiendo así que se entorpezcan otras actividades.
Según este supuesto, Rusia estaría dispuesta a invertir una enorme cantidad de dinero y mano de obra para escribir código similar una y otra vez, en lugar de compartir herramientas, bibliotecas o marcos, lo que provocaría redundancia en esta actividad paralela. “Por tanto, la seguridad operacional tiene un significado inestimable para los actores rusos”, dice el estudio.
