Escrito por David E. Sanger
Microsoft advirtió el sábado por la noche que había detectado una forma de malware altamente destructiva en docenas de redes informáticas gubernamentales y privadas en Ucrania, que parecía estar esperando ser activada por un actor desconocido.
En una publicación de blog, la compañía dijo que el jueves, aproximadamente al mismo tiempo que las agencias gubernamentales en Ucrania descubrieron que sus sitios web habían sido desfigurados, los investigadores que vigilan las redes globales de Microsoft detectaron el código.
Microsoft identificó un malware destructivo único operado por un actor rastreado como DEV-0586 dirigido a organizaciones ucranianas. Actividad observada, TTP e IOC compartidos en este nuevo blog de MSTIC. Actualizaremos el blog a medida que se desarrolle nuestra investigación. https://t.co/wBB82gp6TX
— Inteligencia de seguridad de Microsoft (@MsftSecIntel) 16 de enero de 2022
“Estos sistemas abarcan múltiples organizaciones gubernamentales, sin fines de lucro y de tecnología de la información, todas con sede en Ucrania”, dijo Microsoft.
El domingo, el asesor de seguridad nacional del presidente Joe Biden, Jake Sullivan, dijo que el gobierno estaba examinando el código que Microsoft informó por primera vez. “Hemos estado advirtiendo durante semanas y meses, tanto en público como en privado, que los ataques cibernéticos podrían ser parte de un amplio esfuerzo ruso para escalar en Ucrania”, dijo Sullivan en “Face the Nation” de CBS, destacando la larga historia de Rusia de usando armas cibernéticas contra la red eléctrica de Ucrania, los ministerios gubernamentales y las empresas comerciales.
Pero advirtió que “aún no hemos atribuido específicamente este ataque” y que Microsoft y otras firmas tampoco lo han hecho. “Pero estamos trabajando duro en la atribución”, dijo, y agregó que “no me sorprendería ni un poco si termina siendo atribuido a Rusia”.
El código parece haber sido implementado en el momento en que los diplomáticos rusos, después de tres días de reuniones con Estados Unidos y la OTAN sobre la concentración de tropas rusas en la frontera con Ucrania, declararon que las conversaciones habían llegado esencialmente a un callejón sin salida.
Los funcionarios ucranianos inicialmente culparon a un grupo en Bielorrusia por la desfiguración de los sitios web de su gobierno, aunque dijeron que sospechaban de la participación rusa.
El domingo, The Associated Press informó que el Ministerio de Desarrollo Digital dijo en un comunicado que varias agencias gubernamentales habían sido atacadas por malware destructivo, presumiblemente el mismo código que informó Microsoft.
“Toda la evidencia indica que Rusia está detrás del ciberataque”, dijo el comunicado. “Moscú continúa librando una guerra híbrida y está acumulando activamente sus fuerzas en la información y los ciberespacios”.
Pero el ministerio no proporcionó pruebas, y la atribución temprana de los ataques con frecuencia es incorrecta o incompleta.
Microsoft dijo que aún no podía identificar al grupo detrás de la intrusión, pero que no parecía ser un atacante que sus investigadores hubieran visto antes.
El código, tal como lo describen los investigadores de la compañía, pretende parecerse a un ransomware: congela todas las funciones y datos de la computadora y exige un pago a cambio.
Pero no hay infraestructura para aceptar dinero, lo que lleva a los investigadores a concluir que el objetivo es infligir el máximo daño, no recaudar dinero.
Es posible que el software destructivo no se haya extendido demasiado y que la divulgación de Microsoft dificulte la metástasis del ataque. Pero también es posible que los atacantes ahora lancen el malware e intenten destruir tantas computadoras y redes como sea posible.
“Lo hicimos público para darle al gobierno, organizaciones y entidades en Ucrania la oportunidad de encontrar el malware y remediarlo”, dijo Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, quien dirige los esfuerzos de la compañía para detectar y evitar ataques
En este caso, dijo, los investigadores de la unidad de delitos cibernéticos de la empresa observaron una acción inusual en las redes que normalmente supervisa.
Las advertencias como la de Microsoft pueden ayudar a abortar un ataque antes de que suceda, si los usuarios de computadoras buscan eliminar el malware antes de que se active. Pero también puede ser arriesgado.
La exposición cambia el cálculo para el perpetrador, quien, una vez descubierto, puede no tener nada que perder al lanzar el ataque, para ver qué destrucción causa.
Hasta el momento no hay evidencia de que el malware destructivo haya sido desatado por los piratas informáticos que lo colocaron en los sistemas ucranianos. Pero Sullivan dijo que primero era importante obtener un hallazgo definitivo sobre la fuente del ataque, cuando se le preguntó si Estados Unidos comenzaría a invocar sanciones financieras y tecnológicas si los ataques de Rusia se limitaran al ciberespacio, en lugar de una invasión física.
“Si resulta que Rusia está golpeando a Ucrania con ataques cibernéticos”, dijo, “y si eso continúa durante el próximo período, trabajaremos con nuestros aliados en la respuesta adecuada”.
Sullivan dijo que Estados Unidos había estado trabajando con Ucrania para fortalecer sus sistemas y redes estadounidenses si la cadena de ransomware y otros ataques de Rusia se acelera en Estados Unidos.
Para el presidente Vladimir Putin de Rusia, Ucrania ha sido a menudo un campo de pruebas para las armas cibernéticas.
Un ataque a la Comisión Electoral Central de Ucrania durante las elecciones presidenciales de 2014, en el que Rusia intentó sin éxito cambiar el resultado, resultó ser un modelo para las agencias de inteligencia rusas; Estados Unidos descubrió más tarde que se habían infiltrado en los servidores del Comité Nacional Demócrata en Estados Unidos.
En 2015, el primero de dos grandes ataques a la red eléctrica de Ucrania cortó las luces durante horas en diferentes partes del país, incluida Kiev, la capital.
Y en 2017, las empresas y las agencias gubernamentales de Ucrania se vieron afectadas por un software destructivo llamado NotPetya, que explotaba los agujeros en un tipo de software de preparación de impuestos que se usaba ampliamente en el país.
El ataque cerró franjas de la economía y también afectó a FedEx y a la compañía naviera Maersk; Los funcionarios de inteligencia de EE. UU. luego lo rastrearon hasta los actores rusos.
Ese software, al menos en su diseño general, se parece un poco a lo que Microsoft advirtió el sábado.
El nuevo ataque limpiaría los discos duros y destruiría los archivos. Algunos expertos en defensa han dicho que tal ataque podría ser el preludio de una invasión terrestre por parte de Rusia.
Otros piensan que podría sustituir a una invasión, si los atacantes creyeran que un ataque cibernético no provocaría el tipo de sanciones financieras y tecnológicas que Biden prometió imponer en respuesta.
John Hultquist, un destacado analista de ciberinteligencia de Mandiant, dijo el domingo que su firma les había estado diciendo a sus clientes “que se prepararan para ataques destructivos, incluidos los ataques diseñados para parecerse al ransomware”.
Señaló que la unidad de piratería rusa conocida como Sandworm, que desde entonces ha estado estrechamente vinculada a la agencia de inteligencia militar rusa, GRU, ha pasado los últimos años desarrollando “medios más sofisticados de ataque a infraestructura crítica”, incluso en la red eléctrica de Ucrania.
“También perfeccionaron el ataque de ransomware falso”, dijo Hultquist, refiriéndose a los ataques que, al principio, parecen un esfuerzo de extorsión criminal, pero en realidad tienen la intención de destruir datos o paralizar una empresa de servicios públicos, un sistema de suministro de agua o gas. o un ministerio del gobierno.
“Estaban haciendo esto antes de NotPetya, y lo intentaron muchas veces después”, agregó.
