Home Ciberguerra EE.UU. acusa a ciberdelincuentes rusos de los ataques a NotPetya, KillDisk y...

EE.UU. acusa a ciberdelincuentes rusos de los ataques a NotPetya, KillDisk y OlympicDestroyer

El Departamento de Justicia de EE.UU. abrió cargos contra seis ciudadanos rusos, que se cree que son miembros de una de las unidades de élite de Rusia de hacking y guerra cibernética, conocida como Sandworm.

En documentos judiciales, funcionarios de EE.UU. aseguraron que los seis sospechosos son oficiales de la Unidad 74455 de la Dirección Principal de Inteligencia Rusa (GRU), una agencia de inteligencia militar que forma parte del ejército ruso.

Como parte de esta unidad, los funcionarios estadounidenses dijeron que los seis llevaron a cabo ciberataques “destructivos” en nombre y bajo las órdenes del gobierno ruso, con la intención de desestabilizar a otros países, interferir en su política interna y causar estragos y pérdidas monetarias.

Sus ataques abarcan la última década e incluyen a algunos de los mayores ciberataques conocidos hasta la fecha:

El gobierno ucraniano y la infraestructura crítica: Desde diciembre de 2015 hasta diciembre de 2016, el grupo orquestó ataques destructivos de malware contra la red eléctrica de Ucrania, el Ministerio de Finanzas de Ucrania y el Servicio del Tesoro de Ucrania, utilizando malware que alteraba el equipo industrial (BlackEnergy en 2015 e Industroyer en 2016) o borraba los discos duros (KillDisk).

Elecciones francesas: En abril y mayo de 2017, Sandworm orquestó campañas de pesca submarina y otros esfuerzos de hackeo y fuga dirigidos a “La République En Marche” del Presidente francés Macron. (“En Marche!”) del presidente francés Macron, políticos franceses y gobiernos locales franceses antes de las elecciones francesas de 2017.

El brote de NotPetya Ransomware: El 27 de junio de 2017, Gusano de Arena publicó el rescate de NotPetya. Inicialmente dirigido a las empresas ucranianas, el rescate se extendió rápidamente e impactó a las empresas de todo el mundo, causando daños de más de 1.000 millones de dólares a sus víctimas.

Anfitriones, participantes, socios y asistentes de los Juegos Olímpicos de Invierno de PyeongChang: Entre diciembre de 2017 y febrero de 2018, Sandworm lanzó campañas de pesca submarina y aplicaciones móviles maliciosas dirigidas a ciudadanos y funcionarios surcoreanos, atletas olímpicos, socios y visitantes, y funcionarios del Comité Olímpico Internacional (“COI”). Los ataques tuvieron lugar después de que se prohibiera la participación de los atletas rusos en el evento deportivo debido a un plan de dopaje patrocinado por el Estado.

Sistemas informáticos de las Olimpiadas de Invierno de PyeongChang (Destructor Olímpico): Desde diciembre de 2017 hasta febrero de 2018, Sandworm orquestó intrusiones en las computadoras que apoyaban los Juegos Olímpicos de Invierno de PyeongChang de 2018, que culminaron el 9 de febrero de 2018 con el lanzamiento de Olympic Destroyer, una cepa de malware destructivo que intentó borrar servidores cruciales durante la ceremonia de apertura.

Investigaciones sobre envenenamiento de Novichok: En abril de 2018, el grupo Sandworm orquestó campañas de pesca submarina dirigidas a las investigaciones de la Organización para la Prohibición de las Armas Químicas (OPAQ) y del Laboratorio de Ciencia y Tecnología de la Defensa del Reino Unido (DSTL) sobre la intoxicación por agentes nerviosos de Sergei Skripal, su hija y varios ciudadanos del Reino Unido.

Empresas y entidades gubernamentales de Georgia: En 2018, Sandworm llevó a cabo campañas de pesca submarina dirigidas a una importante empresa de medios de comunicación en el país de Georgia. Estos ataques fueron seguidos en 2019 por los esfuerzos para comprometer la red del Parlamento de Georgia, y una campaña masiva de desfiguración del sitio web en 2019.

Aunque estos son sólo los ataques documentados en la acusación del Departamento de Justicia. Representan una fracción de las vastas operaciones cibernéticas del grupo, que se remontan a 2010.

Con información de: Info Security Magazine.