Según nueva información de Microsoft, que ha catalogado más de 230 operaciones cibernéticas separadas por parte de al menos seis grupos de amenazas desde que comenzó la guerra en febrero, los actores de amenazas rusos están cayendo en picado a nuevos mínimos en apoyo de la guerra ilegal y no provocada de Moscú contra Ucrania.
Además de las actividades más amplias de espionaje y recopilación de inteligencia que se esperarían durante una guerra cibernética, Rusia ha llevado a cabo ataques cibernéticos destructivos que claramente tienen como objetivo amenazar el bienestar de los civiles ucranianos al interrumpir los sistemas de las instituciones ucranianas e interrumpir el acceso a información confiable. y servicios importantes y un intento de dañar la confianza de los ciudadanos en el gobierno ucraniano.
«Creemos que es importante compartir esta información para que los legisladores y el público de todo el mundo sepan lo que está sucediendo para que otros en la comunidad de seguridad puedan seguir reconociendo y denunciando estas actividades», dijo Tom Burt, vicepresidente corporativo de Seguridad y Confianza. en Microsoft.
«Todo este trabajo se centra en última instancia en proteger a los civiles de los ataques que pueden afectar directamente sus vidas y el acceso a servicios críticos».
Burt dijo que Microsoft ha visto casi 40 ataques destructivos en cientos de sistemas, 32% en organizaciones gubernamentales ucranianas y 40% en Infraestructura Nacional Crítica (CNI).
Los atacantes utilizan varias técnicas para obtener acceso, incluido el phishing, la explotación de vulnerabilidades sin parches y los ataques a la cadena de suministro a través de proveedores de servicios comprometidos.
Microsoft dijo que el uso de técnicas de guerra cibernética por parte de Rusia está altamente correlacionado con las operaciones militares cinéticas y, a menudo, directamente cronometradas. Uno de esos ataques cibernéticos contra una emisora ucraniana el 1 de marzo se produjo en paralelo con acciones militares contra lo que Moscú llama «objetivos de desinformación», incluidos ataques con cohetes contra la torre principal de televisión en Kiev.
El 13 de marzo, Microsoft observó un ataque cibernético contra una organización de seguridad nuclear que fue paralelo a las acciones rusas contra la infraestructura de energía nuclear de Ucrania, lo que generó temores de posibles fugas de radiación comparables al desastre de Chernóbil de 1986. El propio sitio de Chernobyl, ocupado temporalmente por las fuerzas rusas, volvió al control ucraniano a fines de marzo.
En otro incidente extremadamente preocupante, los ucranianos recibieron correos electrónicos de phishing durante el asedio y la destrucción de la ciudad de Mariupol, que se cree que mató a miles de civiles y estuvo acompañado de denuncias de crímenes de guerra contra ciudadanos ucranianos, incluida la violación y la deportación forzada a Rusia por un actor ruso que se hace pasar por residente de Mariupol y acusa a Kiev de «abandonar» a la gente común.
El informe completo de Microsoft, que se puede leer aquí, también revela por primera vez que los actores de amenazas aliados a Rusia acordaron apoyar un conflicto cinético en marzo de 2021.
Alrededor de este tiempo hubo un aumento notable en las operaciones cibernéticas contra organizaciones dentro o con Ucrania, lo que en retrospectiva puede verse como un intento de afianzarse en los sistemas ucranianos.
A medida que Rusia comenzó a trasladar tropas a la frontera de Ucrania, afirmando falsamente que estaba realizando ejercicios de entrenamiento, esos esfuerzos aparentemente se intensificaron, y se observaron acciones contra objetivos que podrían proporcionar inteligencia sobre las asociaciones militares y extranjeras de Ucrania. A mediados de 2021, los actores rusos se dirigían a los proveedores de la cadena de suministro de todo el mundo para asegurar un acceso adicional a objetivos en Ucrania y los países de la OTAN.
A principios de 2022, a medida que se intensificaban los esfuerzos diplomáticos para frustrar un ataque ruso, Microsoft, junto con muchos otros, observó los primeros ataques de malware de limpieza en Ucrania, que ahora sabemos que fueron el preludio cibernético final de la invasión.
Desde entonces, los equipos de seguridad de Microsoft han estado trabajando en estrecha colaboración con las autoridades ucranianas para identificar y remediar varias campañas rusas, y ahora operan una línea directa segura con funcionarios cibernéticos clave en Kiev para actuar rápidamente y defenderse de más intrusos. Esta defensa incluye compartir inteligencia de amenazas y desplegar contramedidas técnicas no reveladas.
Burt dijo que no cabía duda de que los ciberataques rusos continuarían aumentando en las próximas semanas.
«Los actores de la amenaza del estado-nación ruso podrían recibir la tarea de expandir sus acciones destructivas fuera de Ucrania para tomar represalias contra aquellos países que decidan proporcionar más ayuda militar a Ucrania y tomar más medidas punitivas contra el gobierno ruso en respuesta a la agresión en curso», dijo. llamado.
“Hemos observado a actores alineados con Rusia activos en Ucrania que muestran interés o realizan operaciones contra organizaciones en los países bálticos y Turquía, todos los estados miembros de la OTAN que brindan activamente apoyo político, humanitario o militar a Ucrania.
“Las alertas publicadas por CISA [Cybersecurity and Infrastructure Security Agency] y otras agencias gubernamentales de EE. UU., así como funcionarios cibernéticos en otros países, deben tomarse en serio y deben tomarse las medidas recomendadas de mitigación y resiliencia”.