La invasión de Ucrania por Rusia comenzó en diciembre de 2015, cuando se produce un ciberataque sobre la empresa UKrainian Kyivoblenergo que provoca un corte de suministro para más de 225.000 clientes de hasta seis horas en pleno invierno. En junio de 2017 un ‘malware’ provoca fallos de funcionamiento generalizados en todo tipo de empresas e instituciones ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad.

Para la tecnológica española Seresco, estos ataques se han redoblado desde que las tropas de Putin entraron en Ucrania, desatando una guerra cibernética sin precedentes. Desde los días previos se han sucedido multitud de campañas maliciosas dirigidas a organizaciones de Ucrania, tanto con el fin de realizar ciberespionaje, como corromper dispositivos y dejar sistemas inoperables. Y desde el 24 de febrero, inicio de la invasión, se produce una escalada de ciberataques.

Seresco recopila multitud de incidencias sobre sistemas y empresas ucranianas: ataques a dispositivos de Internet de las Cosas (routers, grabadoras digitales, cámaras de vigilancia), o robos de archivos o datos. El 1 de marzo se detectaron campañas maliciosas de correo electrónico relacionadas con supuestas donaciones de “Ayuda a Ucrania”. Del mismo modo, se detectaron campañas dirigidas al personal de la UE involucrado en la administración de refugiados que huyen de Ucrania.

Detrás de muchos de estos ataques se encuentran grupos de hackers rusos. Uno de los más activos en este conflicto está siendo el grupo Gamaredon, también conocido como Primitive Bear, Armageddon o Shuckworm; un grupo de piratas informáticos, supuestamente vinculados al Servicio Federal de Seguridad ruso (FSB).

Desde el año 2013, justo antes de la anexión rusa de la península de Crimea en Ucrania, el grupo ha centrado principalmente sus campañas contra funcionarios y organizaciones del Gobierno de Zelenski. Se han descubierto tres grandes clústeres de su infraestructura, utilizados para diferentes propósitos de phishing y malware, a través de más de 700 dominios maliciosos, 215 direcciones IP y más de 100 muestras de malware.

Sandworm es otro grupo, vinculado al Departamento Central de Inteligencia (GRU), el servicio de inteligencia militar de Rusia. Además de los ciberataques de 2015 y 2017 a instalaciones de Ucrania, ya citados, a este grupo se le atribuyen los ciberataques a los Juegos Olímpicos de invierno del 2018.

Los ciberataques al gobierno ruso registrados hasta la fecha han sido atribuidos a Anonymous, un grupo de “hacktivistas” que supuestamente opera sin líder y sin jerarquía. Mientras la ciberguerra rusa se centra en bloquear sistemas informáticos críticos, los ataques de Anonymous parecen más orientados a ganar la batalla de la comunicación y propaganda en el pueblo ruso.

El día que inicia de la invasión, Anonymous se declara oficialmente en ciberguerra contra el gobierno ruso y tira múltiples portales web del gobierno y de medios de noticias de propaganda rusa. Dos días después, Rusia restringe el acceso a Twitter en su país para impedir a su ciudadanía visualizar contenido de los ataques en Ucrania.

Los nuevos ataques de Anonymous interceptan comunicaciones militares rusas y logran, el 26 de febrero, hackear canales de televisión estatales para proyectar contenido de los ataques a Ucrania. De nuevo el 7 de marzo hackean servicios de streaming rusos con el mismo propósito.

Otro de los ataques a Rusia se produce por parte de TheAnonleaks, grupo afiliado a Anonymous, que el 26 de febrero logró hackear el Sistema de Identificación Automática (AIS) del yate de lujo de Putin, haciendo creer que se había estrellado en Ucrania y cambiando su destino a posteriori. Otro grupo de hackers afiliado a Anonymous logró el 1 de marzo deshabilitar el centro de control de la Agencia Espacial Rusa “Roscosmos”.

Aumento del 116% de ciberataques desde China a paises de la OTAN

Check Point Research detecta un aumento de los ciberataques dirigidos a los países de la OTAN que procedían de direcciones IP chinas. Desde la invasión de Ucrania, la procedencia de direcciones IP chinas se han incrementado un 116% en los países de la OTAN y en un 72% en todo el mundo. Los investigadores del grupo de ciberseguridad  no pueden atribuir los ciberataques a entidades chinas, ni a ningún hackers chino conocido. Pero sí que los ciberdelincuentes, probablemente dentro y fuera de China, están utilizando cada vez más las IP chinas como recurso para lanzar ataques tras la llegada de la guerra entre Rusia y Ucrania.

La semana pasada, la media semanal de ataques mundiales originados desde China por organización fue un 72% más alta que antes de la invasión y un 60% superior a las tres primeras semanas del conflicto.

En los últimos 7 días, la media semanal de amenazas originadas desde China a redes corporativas de la OTAN fue un 116% mayor que antes de la invasión, y un 86% mayor que en las tres semanas iniciales de la guerra. El aumento es significativamente mayor que el crecimiento global de los ciberataques observados durante el mismo período.

Los ciberataques desde IPs chinas a España la semana pasada fueron un 120% mayor que antes de la invasión, y un 124% mayor que las tres primeras semanas del conflicto.

“A medida que se intensifica la guerra entre Rusia y Ucrania se ha ampliado nuestra curiosidad por los ciberataques originados en China. Estamos observando un significativo incremento de las amenazas que se originan en direcciones IP chinas. Es importante subrayar que no podemos hacer una atribución a las entidades chinas sin más pruebas. Pero lo que está claro es que los ciberdelincuentes están usando IP chinas para lanzar los ataques en todo el mundo, especialmente en los países de la OTAN. Es probable que las IP las utilicen atacantes dentro y fuera de China”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal.