Microsoft ha afirmado que ha tenido un éxito parcial en la desarticulación de un prolífico grupo ruso de APTs que ha tenido como objetivo entidades ucranianas esta semana, pero ha advertido de una “ofensiva a gran escala” en el ciberespacio.
Strontium (también conocido como APT28) ha sido vinculado a la principal agencia de inteligencia rusa, el GRU, y estuvo involucrado en muchos ataques por motivos políticos, incluyendo el hackeo y la filtración de correos electrónicos de funcionarios del Partido Demócrata antes de las elecciones presidenciales de 2016 en Estados Unidos.
Se observó que el grupo tenía como objetivo instituciones ucranianas, incluidas organizaciones de medios de comunicación, así como organismos gubernamentales de política exterior y grupos de reflexión en Estados Unidos y Europa, según el vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, Tom Burt.
“Creemos que Strontium intentaba establecer un acceso a largo plazo a los sistemas de sus objetivos, proporcionar apoyo táctico para la invasión física y exfiltrar información sensible”, añadió. “Hemos notificado al gobierno de Ucrania la actividad que detectamos y la acción que hemos tomado”.
Esa acción implicó la interrupción de la infraestructura utilizada por APT28 para lograr sus fines.
Microsoft ha establecido un proceso legal acelerado para obtener la aprobación de los tribunales para sus esfuerzos de desmantelamiento. Antes de esta semana, utilizó este proceso 15 veces para tomar el control de más de 100 dominios controlados por Strontium, dijo Burt.
Sin embargo, se trata de un juego constante de “whack-a-mole”, en el que APT28 se asegura de cambiar a una infraestructura alternativa para continuar su campaña.
Curiosamente, Burt afirmó que “casi todos los actores de los estados-nación rusos” están ahora comprometidos en un ataque a gran escala contra las infraestructuras críticas y el gobierno de Ucrania. No está claro qué fines persiguen estos ataques, pero se han descubierto múltiples variantes de malware destructivo desde el inicio de la guerra.
Sin embargo, este relato está ligeramente en desacuerdo con la opinión del GCHQ sobre las operaciones cibernéticas de Rusia. El director del servicio de espionaje, Jeremy Fleming, dijo la semana pasada que el Kremlin no busca lograr un evento catastrófico tipo “Cyber Pearl Harbor”.
Con información de Info Security Magazine.