Estados Unidos acusa agentes rusos de atacar servicios globales

Cuatro empleados del gobierno ruso acusados de accionar dos campañas de piratería informática separada, dirigidas a la infraestructura crítica mundial

Tres Acusados en Campaña Cibernética Dirigida al Sector Energético

Oipol operando en el mundo | Nota / fotos del Departamento de Justicia de los Estados Unidos (DoJ) y FBI, 24 de marzo de 2022 | Traducción y edición Oipol, 28 de marzo de 2022 – El Departamento de Justicia reveló el 24 de marzo de 2022 acusaciones contra tres rusos presuntamente responsables de una campaña persistente y de larga duración para atacar e infiltrarse en las redes de infraestructura crítica en los Estados Unidos y en todo el mundo.

Los cargos alegan que Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov y Marat Valeryevich Tyukov formaban parte de una unidad operativa de inteligencia rusa que los expertos en seguridad denominaron «Dragonfly», «Berserk Bear», «Energetic Bear» y «Crouching Yeti». La unidad es parte de una entidad llamada Centro 16, en el Servicio de Seguridad Federal de Rusia (FSB), una agencia sucesora de la KGB soviética.

La supuesta operación se produjo en dos fases. El primero involucró la implementación de un implante de malware personalizado, conocido por los expertos en seguridad cibernética como Havex, que infectó a una cantidad significativa de organizaciones en el sector energético global. La segunda fase incluyó compromisos específicos de entidades del sector energético, individuos, ingenieros que trabajaron con sistemas de control industrial (ICS), sistemas de control de supervisión y adquisición de datos (SCADA). En conjunto, estas intrusiones podrían haber tenido un impacto devastador en el suministro de energía en todo el mundo.

La primera fase se extendió entre al menos 2012 y 2014, dando como resultado que Havex se descargara en más de 17.000 dispositivos únicos en los Estados Unidos, como también de otras naciones. Un analista de inteligencia del FBI que trabajó en el caso dijo que el grupo había utilizado una combinación de técnicas para implementar Havex, incluidos amplios esfuerzos para lanzar una red amplia en todo el sector energético mundial, pero también técnicas bien investigadas y específicas para llegar a empresas e individuos específicos.

Entre las técnicas más alarmantes utilizadas con Havex estaba el compromiso de conspiración de una empresa que fabrica equipos y software utilizados por los sistemas ICS/SCADA. Son los mecanismos de control y seguridad que existen dentro de las instalaciones de producción de energía, además de otros entornos operativos. Por razones de seguridad, estos son típicamente sistemas cerrados. Pero debido a que el grupo había obtenido acceso a los sistemas de una empresa que proporciona un componente de estos sistemas, pudieron ocultar su malware dentro de las actualizaciones de software ofrecidas por la empresa, una técnica conocida como ataque a la cadena de suministro.

Independientemente de cómo se implementó el malware Havex, el analista dijo que podría adaptarse para una variedad de usos, incluida la recopilación de credenciales y el escaneo de interfaces hombre-máquina. “Eso significa las formas en que un humano puede interactuar con el sistema para decirle qué hacer”, explicó. “Si esa interfaz está conectada a una red, existe la posibilidad de que un actor remoto envíe instrucciones a una red crítica”. En 2014, el grupo dejó de usar Havex, después que se expusiera públicamente y comenzaron a desarrollar la operación.

La segunda fase involucró intrusiones dirigidas a empresas del sector energético, incluida una intrusión en 2017 de la red comercial de una planta de energía nuclear en Kansas. Esta red empresarial no estaba conectada directamente a ningún dispositivo ICS/SCADA. Un agente especial del FBI que investigó el caso dijo que no encontró evidencia de que los piratas informáticos tomaran datos confidenciales de valor de inteligencia, aparentemente el objetivo era simplemente obtener y mantener el acceso. “Lo que significa que, en una fecha posterior, podrían haber utilizado este acceso para afectar o dañar la red de energía u otras operaciones críticas dentro de los Estados Unidos”, explicó el agente.

La intrusión de Kansas en 2017 fue parte de un ataque múltiple. “Cuando pelamos la cebolla, descubrimos que se trataba de una campaña mucho más grande dirigida al sector energético mundial con una suma de alrededor de 500 empresas en todo el mundo”, señaló el agente. “Creemos que se dirigieron a casi 3.300 personas, a través de una campaña de phishing de meses de duración”. Como parte de esta fase, el grupo también está acusado de violar la red de una empresa constructora estadounidense. El acceso a esa red permitió al grupo enviar correos electrónicos que parecían legítimos con el currículum de una persona que afirmaba tener habilidades específicas de la industria. El currículum contenía un código malicioso que las víctimas podían descargar sin darse cuenta cuando revisaban el documento.

El grupo también había comprometido varios sitios web, incluidos los de publicaciones de la industria leídas por ingenieros en el sector energético. Esos sitios se convirtieron en lo que los expertos en ciberseguridad llaman pozos de agua, donde el sitio en sí está sembrado de código malicioso que los visitantes pueden descargar sin darse cuenta.

Los investigadores llegaron a comprender que los esfuerzos del grupo en 2017 eran una continuación de la actividad que se remontaba a su uso de Havex años antes, lo que demuestra los esfuerzos concertados de Rusia durante muchos años para obtener acceso a la infraestructura crítica de Estados Unidos. Este grupo todavía está en funcionamiento y continúa evolucionando.

El analista dijo que algunos de los elementos más inquietantes en este caso eran señales que, a medida que evolucionaban los esfuerzos del grupo, buscaban formas de volver a acceder a estos sistemas sin dejar evidencia detectable. “Esencialmente, querían robar las llaves de la puerta, por lo que ya no necesitaban clavar algo en el marco de la puerta o dejar algo más atrás”, afirmó. “Es una forma más sigilosa de mantener el acceso a largo plazo y una clara indicación de que la intención era tener ese acceso disponible si lo necesitaran en el futuro”.

Todo esto destaca por qué la acción de aplicación de la ley es tan importante. Al nombrar a estas personas, limitamos su capacidad para viajar fuera de Rusia, limitamos su utilidad futura para su reclutador, que es el servicio de inteligencia ruso, y limitamos las opciones de empleo futuro en entidades del sector privado que respetan la ley. Todo esto también puede hacer que otros ciudadanos rusos con habilidades cibernéticas elijan un camino laboral más respetable que no limite sus oportunidades futuras. También pone más atención, impulsando presión en la comunidad internacional sobre los estados / naciones para que los ciberdelincuentes que patrocinan estas acciones que exponer la actividad rusa contra los sectores energéticos, la infraestructura crítica de países de todo el mundo muestran la voluntad, como además la intención de Rusia de participar en acciones perturbadoras, desestabilizadoras y, a menudo, contraproducentes. -actividad normativa, incluso en tiempo de paz.

Este caso también es un recordatorio que indica el imperativo: la seguridad cibernética debe ser una prioridad para todas las organizaciones, incluso aquellas que no trabajan con materiales sensibles o en infraestructura crítica. “En este caso y muchos otros, [en] las empresas víctimas brindan un punto de entrada más fácil, pueden proporcionar a los delincuentes una forma de llegar a objetivos más críticos y de mayor nivel”, aseveró el agente del FBI. “La seguridad cibernética está simplemente en el corazón de nuestra seguridad nacional”.

Científico ruso acusado de peligrosos ataques de malware Triton

El Departamento de Justicia también acusó a un empleado de una entidad de investigación dentro del Ministerio de Defensa de Rusia, por cargos de infiltración y compromiso de equipos de seguridad críticos dentro de una instalación de energía en un país del ámbito internacional identificado y como parte de la misma conspiración, intentó hacer lo mismo al equipo de instalaciones similares en los Estados Unidos.

Evgeny Gladkikh está acusado de utilizar el malware Triton para obtener el control de los sistemas utilizados para garantizar el funcionamiento seguro de una refinería de gas natural en el ámbito global. Los conspiradores diseñaron el malware para, entre otras cosas, deshabilitar los controles de seguridad en el equipo físico sin alertar a los empleados que monitorean esa instalación. El malware hizo que el sistema de seguridad se apagara brevemente en dos ocasiones, con la finalidad potencial de provocar una explosión o la liberación de un gas tóxico, al afectar los esfuerzos de recuperación de azufre de la planta y los mecanismos de gestión de quemadores.

Los intentos de intrusión similares posteriores de Gladkikh dirigidos a una empresa estadounidense que operaba plantas similares en los Estados Unidos no tuvieron éxito.

Un agente especial de la División Cibernética del FBI que trabajó en el caso dijo que la agencia tiene varios objetivos importantes relacionados con este anuncio. El primero es ayudar al público estadounidense a comprender mejor la amenaza constante de los actores cibernéticos, apoyados por Rusia. La desactivación de los controles de seguridad en una planta de energía no sólo podría cortar la energía, sino que también podría causar daños físicos a la planta, la liberación de sustancias químicas tóxicas o lesiones físicas o la muerte.

La entidad del Ministerio de Defensa ruso detrás de Triton tiene una historia de más de un siglo en el desarrollo de armas de vanguardia, tanto cibernéticas como físicas. “Hemos visto ataques de ransomware y otro malware que puede cerrar una instalación”, reportó el agente. “El impacto potencial aquí es más peligroso. En realidad, esto podría permitir que un actor engañe a los operadores de una planta para que piensen que la planta está funcionando normalmente, mientras que el actor aprovecha el acceso al sistema de planta para lograr un efecto destructivo, con consecuencias para la vida humana y la seguridad tanto en la planta como en las áreas a las que sirve”.

El segundo objetivo clave es sensibilizar al sector energético sobre los riesgos de los ciberataques. “Estamos viendo que se está desarrollando malware, específicamente para esta industria”, alertó el agente. El malware Triton se creó para atacar los sistemas de control industrial de estas plantas, que están diseñados específicamente para respaldar su operación segura. “La industria necesita tomar los riesgos en serio”.

“El tiempo de inactividad es algo realmente preocupante para estas instalaciones”, explicó el agente. Es una razón común por la que las empresas se resisten a abordar una amenaza cibernética creciente. El tiempo y los recursos necesarios no son algo fácil de absorber para ninguna empresa u organización y para una empresa de energía o un proveedor de servicios críticos, es aún más difícil.

La nota del Departamento de Justicia de los Estados Unidos y replicada por el FBI asegura que: El objetivo final es seguir imponiendo consecuencias a los ciberdelincuentes y a los estados-nación que apoyan esta actividad. “Nuestra intención es desalentar a los actores que han realizado o están considerando ciberataques similares”, avisó el agente del FBI. “Si alguna vez quisieran participar en la comunidad internacional, a través del trabajo, los viajes o de otra manera, esas oportunidades desaparecerán”, como consecuencia de delitos como los que se detalla.