UCRANIA CYBERHUB

La mayor guerra en el continente europeo desde la Segunda Guerra Mundial continúa no solo en tierra y aire, sino también en el ciberespacio.

El Servicio Estatal de Comunicación Especial y Protección de la Información de Ucrania (SSSCIP) es responsable de los estándares de ciberseguridad en el país y participa activamente en la defensa. Las lecciones aprendidas durante esta guerra son sumamente importantes para fortalecer la defensa de los estados democráticos atacados por países agresivos como Rusia.

En este sentido, la SSSCIP comienza a brindar un informe sobre el estado y medios de la ciberdefensa de Ucrania. SSSCIP CyberHub hará públicos sus datos y hallazgos, que la comunidad cibernética puede utilizar para su propia defensa.

45 DÍAS DE FRENTE CIBERNÉTICO

Hitos

  • Un mes y medio de guerra: la situación empeora en el frente cibernético;
  • Tendencias del frente cibernético: Rusia utiliza piratas informáticos militares en un intento de perseguir sus ambiciones políticas; Los piratas informáticos militares rusos tienen como objetivo a civiles y países de la UE;
  • Los datos obtenidos como resultado de ataques de phishing incluso se utilizan con fines de agresión cibernética;
  • Defensa de la infraestructura crítica de Ucrania: cómo Ukrenergo repele los ataques cibernéticos y qué sucedió con Ukrtelecom el 28 de marzo;
  • Cinco consejos para empresas ucranianas e internacionales sobre cómo combatir la agresión de RF en el frente cibernético.

DESARROLLO

Estrategia y tácticas de guerra cibernética de Rusia

Rusia ha estado librando una guerra contra Ucrania durante ocho años, tanto en el terreno como en el ciberespacio. Todo este tiempo, hemos sido testigos de la escalada. Probablemente todos los expertos en ciberdefensa saben lo que son los ciberataques BlackEnergy, NotPetya y attack13.

Antes de la incursión militar de la Federación Rusa en nuestro país, también observamos una escalada en nuestras fronteras cibernéticas: el 15 de febrero, Ucrania sufrió el peor ataque DDoS de su historia. Sin embargo, debido a la acción coordinada de las entidades de ciberseguridad, neutralizamos rápidamente sus consecuencias. Pronto nos acostumbramos a vivir con ello mientras continuaban los ataques DDoS. Ha habido más de 3000 ataques DDoS con un pico de 100 Gbps.

Ha pasado un mes y medio desde la guerra. Nuestros aliados extranjeros son muy conscientes de la situación que tenemos por delante. El gobierno y los medios, a menudo arriesgando (y desafortunadamente perdiendo) sus vidas, están informando en detalle las acciones del “segundo ejército del mundo”. Incluyen el bombardeo con cohetes de zonas residenciales, la destrucción de infraestructura civil, el saqueo, la creación de catástrofes en los territorios ocupados y la comisión de atrocidades contra la población civil.

Sin embargo, no todo es obvio en el frente cibernético. A menudo decimos que la guerra cibernética es una parte oculta de la agresión de Rusia contra Ucrania, y es verdad. Algunas acciones de nuestro enemigo requieren identificación, recolección de evidencia, examen, asignación, etc.

Nos gustaría dedicar este informe a hacer un resumen del primer mes y medio de guerra en el frente cibernético así como incorporar recomendaciones para las instituciones ucranianas y nuestros aliados internacionales en la defensa contra la agresión rusa.

UN MES Y MEDIO DE GUERRA:

SITUACIÓN EN EL FRENTE CIBERNÉTICO

Durante el primer mes y medio de guerra, Ucrania sufrió 362 ciberataques. Cifra que representa tres veces más en comparación con el mismo período del año pasado (122 ataques cibernéticos).

Los ataques cibernéticos contra autoridades gubernamentales y locales, seguridad y defensa y organizaciones comerciales representaron la mitad del número total de agresiones. Más de la mitad de los ataques se realizaron con el fin de recopilar datos o distribuir malware.

Cada semana detectamos ataques de los mismos grupos que atacaron Ucrania durante muchos años.

CINCO TENDENCIAS DE CIBERGUERRA

Los piratas informáticos militares rusos utilizan los ataques cibernéticos para perseguir las ambiciones políticas de los líderes de su país

Los piratas informáticos utilizan los ataques cibernéticos para perseguir las ambiciones políticas de los líderes de la Federación Rusa.

Según el operador del sistema de transmisión nacional, Ukrenergo, el número de ciberataques se ha triplicado desde el inicio de la guerra. El pico se observó durante la conexión del sistema eléctrico ucraniano a ENTSO-E. Durante algunos de los ataques a Ukrenergo, los piratas informáticos rusos ni siquiera intentaron ocultar su origen y utilizaron direcciones IP rusas para escanear la red del operador de red de transporte nacional.

El ejército ruso no puede destruir la infraestructura de comunicaciones de Ucrania ya que nuestras redes están descentralizadas y no hay un «botón rojo» en Ucrania para desconectarlo de Internet. Los ataques a la infraestructura física son de naturaleza local y los proveedores eliminan rápidamente sus consecuencias.

Por eso, como podemos ver durante la guerra, los ataques de hackers a las redes de telecomunicaciones se hicieron más intensos. Triolan, Ukrtelecom y proveedores locales en Odessa sufrieron ciberataques. Es evidente que los piratas tienen como objetivo destruir la infraestructura o tomar el control de ella. Lo confirmó la encuesta publicada por Viasat, un proveedor de comunicaciones por satélite. Lo mismo también fue confirmado por la investigación del ciberataque a Ukrtelecom.

El ataque constó de dos fases: la primera fase incluyó el descubrimiento de la red del proveedor, durante la segunda fase hubo intentos de destruir la infraestructura y obtener el control sobre el acceso a la red y el equipo del proveedor.

Rusia también utiliza ciberataques para sembrar el pánico entre la gente y crear desconfianza con respecto a las autoridades gubernamentales. De la misma manera que intentan bloquear el acceso de las personas a la atención médica, la alimentación, la ayuda humanitaria y la evacuación en los
territorios temporalmente ocupados, utilizan piratas informáticos en el ciberespacio para bloquear el funcionamiento de los servicios para las personas.

Hace una semana hubo un ciberataque al Centro de Contacto del Gobierno. Es una herramienta para la interacción entre el ciudadano ucraniano y el gobierno. Como resultado del ataque, los servidores de virtualización se eliminaron parcialmente, lo que provocó interrupciones en el funcionamiento de la línea directa del gobierno y la ubicación de Internet.

Ciberataque a Ukrtelecom el 28 de marzo: ¿cuáles fueron los hechos?

Ukrtelecom ha visto un aumento en el número de ciberataques desde que comenzó la incursión en Ucrania. El ataque del 28 de marzo fue fuerte y complicado.
Constó de dos fases. La primera fase incluyó el descubrimiento. Se llevó a cabo desde territorio ucraniano, recientemente ocupado temporalmente por rusos. Con fines de reconocimiento, utilizaron una cuenta comprometida de un empleado de la empresa. El ciberataque fue rápidamente detectado y neutralizado por el equipo SOC de Ukrtelecom.

La segunda fase involucró un ataque cibernético el 28 de marzo, durante el cual los piratas informáticos intentaron deshabilitar los equipos y servidores de Ukrtelecom y obtener el control de su red y equipos.
La segunda fase del ciberataque se detectó a los 15 minutos de su inicio. Los expertos en TI de Ukrtelecom tomaron medidas inmediatas para neutralizar el ataque cibernético. Con el fin de proteger la infraestructura de información crítica y garantizar la prestación ininterrumpida de servicios a la infraestructura crítica y militar, Ukrtelecom ha limitado temporalmente el acceso a sus servicios a usuarios privados y empresas.
Comenzaron a restaurar el acceso a Internet a sus clientes en la noche del 28 de marzo. Al día siguiente, los servicios de Ukrtelecom estaban casi completamente disponibles para todos los consumidores.
Ukrtelecom notificó a la SSSCIP del ciberataque y se coordinó con los expertos de la SSSCIP durante su oposición. Tanto los socios proveedores nacionales como los internacionales se comprometieron a eliminar las consecuencias del ataque, incluidos Cisco, Microsoft e ISSP.

Según los hallazgos de la investigación actual, los datos de los usuarios no se vieron afectados por el ataque y no se vieron comprometidos. Ukrenergo en guerra: se triplicó el número de ataques para romper la conexión con el sistema energético europeo.
Según CERT-UA, el sector energético de Ucrania ha sido uno de los objetivos más populares para los piratas informáticos militares rusos durante la guerra. A pesar de esto, el suministro de electricidad es estable en Ucrania. El presidente de la Junta de NEC, Ukrenergo, Volodymyr Kudrytskyi, le dijo a Interfax cómo se organiza la defensa en Ukrenergo y cómo funciona durante la guerra.
Ukrenergo es el corazón del sistema de transmisión en Ucrania. La empresa une generadores de electricidad, interactúa con los sistemas energéticos de los países y garantiza la exportación e importación de electricidad.
Desde el comienzo de la incursión, el número de ataques en el perímetro de la empresa se ha triplicado en comparación con el período anterior a la guerra. Febrero y marzo vieron el mayor número de ataques, y el pico se observó antes del enlace a ENTSO-E y antes de la incursión.
Todos los ciberataques fracasaron. Sin embargo, todavía continúan. Los piratas informáticos rusos ni siquiera intentan esconderse. Durante algunas fases, escanearon el sistema utilizando direcciones IP rusas. El objetivo principal de los piratas informáticos era evitar el sistema energético de Ucrania desde que se vincularon a ENTSO-E. Ucrania no puede ni va a permitir que eso suceda.
El hecho de que, antes y durante la incursión, Ukrenergo no sufriera ciberataques se puede atribuir a los dos últimos años de trabajo durante los cuales la empresa construyó un sólido sistema de ciberdefensa. El sistema de ciberdefensa protege tanto la red de gestión relacionada con Internet como el servicio de red, siendo el corazón del sistema energético. El nivel de seguridad de este último es varias veces superior.
“Todos nuestros sistemas cumplen con los más altos estándares globales, al igual que el desempeño de nuestro equipo, que solo es superado por el equipo SSSCIP en competencia cibernética en defensa e inversión en equipos, en particular en Centro. Pudimos defendernos porque nos preparamos de la manera correcta”, dijo. Volodymyr Kudrytskyi.


Fuerte ciberataque al sector energético de Ucrania
El 12 de abril, CERT-UA informó un ciberataque de Sandworm (UAC-0082) en el procesamiento de infraestructura de energía de Ucrania Industroyer2 y CaddyWiper malware.

Los atacantes intentaron derribar varios componentes de la infraestructura de su objetivo, a saber:
– Subestaciones eléctricas: utilizando el malware Industroyer2. Cada archivo ejecutable contiene un conjunto de parámetros únicos configurados estáticamente para una de las subestaciones de destino.
– Sistemas informáticos operados por Windows (computadoras de usuario, servidores, estaciones de trabajo APCS): utilizando el limpiador de datos destructivo CaddyWiper.
– Equipo de servidor operado por Linux: uso de scripts destructivos maliciosos.
-Equipo de red activo.

La organización objetivo sufrió dos oleadas de ataques. El enfrentamiento inicial tuvo lugar a más tardar en febrero de 2022. Y en la noche del viernes 8 de abril de 2022, los atacantes planearon cerrar las subestaciones eléctricas y derribar la infraestructura de la empresa. Sin embargo, la intención maliciosa fue frustrada.
Para determinar si existe una amenaza similar para otras organizaciones ucranianas, la información, incluidas muestras de software malicioso, se compartió con los socios internacionales y las empresas del sector energético de Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania CERT-UA expresa su agradecimiento especial a Microsoft y ESET.

Los ciberataques como otra forma de difundir información falsa en la publicidad

Para difundir desinformación, los piratas informáticos comprometen los medios de comunicación, los sitios web de las autoridades locales y los de los proveedores de Internet y publican información falsa al respecto. Sin embargo, los ucranianos no confían en el gobierno ruso que ha mostrado su verdadera cara.

Según Meta, los piratas informáticos militares bielorrusos de Ghostwriter (UNC1151) también atacan las cuentas de Facebook e Instagram del personal militar ucraniano. Comprometen las cuentas utilizando enlaces de phishing que envían a la dirección de correo electrónico y los instan a deponer las armas en nombre de estos usuarios. Meta bloquea estas publicaciones.

Ataques de phishing contra civiles

Casi 200 niños fueron asesinados por los invasores rusos, más de 100 instalaciones de atención médica y ambulancias se vieron afectadas. Hay una catástrofe humanitaria en algunas ciudades. Los ataques de Rusia contra civiles son cada vez más agresivos.

Según varios informes de testigos presenciales, en las ciudades ocupadas, verifican el contenido de los teléfonos inteligentes y pueden detener a personas inocentes debido al contenido de sus dispositivos.

Asimismo, Rusia utiliza sus armas contra civiles en el ciberespacio. Antes del inicio de la acción militar, las actividades de los piratas informáticos rusos que trabajaban para o bajo la dirección de las fuerzas armadas estaban dirigidas principalmente a las autoridades públicas y la infraestructura de información crítica.

Sin embargo, actualmente detectamos el envío de correos electrónicos de phishing a civiles. Es probable que los rusos estén tratando de obtener al menos cualquier información para usarla contra el ejército, el gobierno, las organizaciones comerciales y voluntarias.

El 18 de marzo, CERT-UA alertó sobre correos electrónicos maliciosos supuestamente enviados por autoridades. Estaban relacionados con el pago de beneficios y contenían un enlace al peligroso recurso.

El 30 de marzo, CERT-UA publicó información sobre el envío masivo de correos electrónicos que contenían un archivo malicioso que activaba malware clasificado como MarsStealer y podía dañar la computadora. Recopila información de la computadora, roba credenciales de navegadores, complementos de billetera criptográfica y aplicaciones de autenticación de múltiples factores, roba archivos y descarga archivos tomando capturas de pantalla.

El 5 de marzo, CERT-UA informó sobre el envío de correos electrónicos a ucranianos que contenían un enlace malicioso al supuesto sitio web de Telegram, lo que permitía a los piratas informáticos obtener acceso no autorizado a las cuentas, con la posibilidad de capturar un código único de un SMS. Los expertos en ciberseguridad ucranianos bloquearon el alojamiento desde donde se realizaron los ataques, pero los atacantes tienden a trasladarse a los hosts de RF.

Los piratas informáticos que atacan a funcionarios públicos en Ucrania también atacan a los estados miembros de la UE

Fue confirmado repetidamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), actuando en el marco del SSSCIP.

Por ejemplo, se enviaron correos electrónicos que contenían enlaces a archivos RAR maliciosos llamados «Assistance.rar», «Necessary_military_assistance.rar» a la dirección de correo electrónico de una de las autoridades públicas de Letonia. Cada uno de esos archivos contenía archivos de acceso directo maliciosos con nombres en inglés relacionados con la ayuda humanitaria para nuestro país.

El ataque se atribuye al grupo UAC-0010 (Armageddon), el mismo grupo que envió correos electrónicos maliciosos a las autoridades públicas ucranianas.

Los piratas informáticos rusos utilizan los datos obtenidos a través de correos electrónicos de phishing para realizar más ataques a la infraestructura de información crítica.

Los ataques de phishing destinados a robar los detalles de la cuenta del usuario son parte de la guerra cibernética. Los piratas informáticos pueden utilizar los detalles de la cuenta de usuario robados para realizar otros ataques con el objetivo de robar información pública o interferir con el funcionamiento del sistema.

Por ejemplo, durante el último ataque al Ministerio de Relaciones Exteriores, los piratas informáticos utilizaron credenciales que supuestamente fueron robadas durante el ataque de phishing.

CONCLUSIONES Y RECOMENDACIONES

Teniendo en cuenta la experiencia adquirida por Ucrania en la lucha contra las máquinas de guerra rusas, el SSSCIP está dispuesto a compartir sus recomendaciones con los estados que planean fortalecer su defensa contra la influencia perniciosa de la RF.

Invierta en las defensas más simples

En los últimos años, las técnicas de ciberataque de piratería militar más populares de Rusia han incluido:

  • correos electrónicos de phishing a través de los cuales pueden obtener credenciales para acceder a los sistemas de información;
  • difundir malware con el objetivo de robar datos o destruir infraestructura;
  • utilizando vulnerabilidades conocidas.

Es posible prevenir estos ciberataques y minimizar sus riesgos mediante el cumplimiento de las normas de ciberhigiene, una política de contraseñas responsable y actualizaciones de software oportunas. Por lo tanto, el nivel más alto de defensa se logra invirtiendo en las defensas cibernéticas más simples.

Identifique sus debilidades de ciberdefensa y fortalézcalas

Los piratas informáticos están continuamente haciendo reconocimiento en Ucrania. Si te atacan, encontrarán tus debilidades y atacarán usándolas.

No hay sistemas 100% protegidos. Sin embargo, cuanto más fácil sea piratear su sistema, más motivados estarán los piratas informáticos. El mencionado cumplimiento de las normas de ciberhigiene aumenta la ciberresiliencia de las instituciones. Por lo tanto, hace la vida más difícil para los piratas informáticos.

Todos los ucranianos están en riesgo

Durante el primer mes de la guerra, la infraestructura de información crítica de Ucrania logró evitar daños. Esto demuestra tanto que nos hemos vuelto más fuertes y que la capacidad de piratería podría haber sido sobreestimada. Parece que tanto en la guerra cibernética como en la acción militar en tierra y aire, Rusia utiliza mucha fuerza poco calificada que no es capaz de infligir daños graves.

Sin embargo, tratamos la amenaza con la mayor seriedad y esperamos una probable escalada en el frente cibernético.

Cada institución debe darse cuenta de que está en riesgo ya que los piratas informáticos rusos atacan incluso a la gente común para robar sus datos. Representa una amenaza tanto para los usuarios comunes como para los empleados de algunas instituciones.

El personal militar y los estadistas corren un riesgo particular. La ciberhigiene debe convertirse en no. 1 hábito para estas personas.

La seguridad física de los usuarios críticos de la infraestructura de la información es tan importante como la protección de sus cuentas.

Como mostró uno de los ataques cibernéticos recientes, los piratas informáticos rusos pueden usar las credenciales de los usuarios que permanecen en los territorios temporalmente ocupados. Las empresas, especialmente aquellas insertas en infraestructura crítica, tienen que darse cuenta de que la seguridad física de sus empleados es, entre otras, una inversión en su ciberdefensa.

Además, nos gustaría recordarle que el Centro Estatal de Ciberseguridad SSSCIP y el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), junto con los equipos de los mejores expertos en empresas de ciberseguridad ucranianas y los mayores productores de soluciones del mundo, brindan soluciones integrales. asistencia en el establecimiento de sistemas de infraestructura de TI de defensa cibernética de múltiples niveles para instituciones y organizaciones, independientemente de su derecho.

Todos nosotros debemos permanecer resistentes a los desafíos externos, continuar brindando servicios a las personas y garantizar el funcionamiento de los negocios y la economía en su conjunto.

Descarga el Informe Original en este enlace

Traducción al portugués: Richard Guedes

Con información de expertos y analistas del Servicio Estatal de Especialidades – Comunicación y Protección de la Información de Ucrania

Reproducción autorizada en castellano del Artículo publicado por DCiber de Brasil.-