Más de 5000 páginas de documentos ofrecen un vistazo inusual de la planificación y capacitación de los servicios de seguridad, incluido el notorio grupo de hackers “Sandworm”
Las agencias de inteligencia rusas trabajaron con un contratista de defensa con sede en Moscú para fortalecer su capacidad de lanzar ataques cibernéticos, sembrar desinformación y vigilar secciones de Internet, según miles de páginas de documentos corporativos confidenciales.
Los documentos detallan un conjunto de programas informáticos y bases de datos que permitirían a las agencias de inteligencia y grupos de piratería de Rusia encontrar mejor las vulnerabilidades, coordinar ataques y controlar la actividad en línea. Los documentos sugieren que la empresa estaba apoyando operaciones que incluían tanto la desinformación de las redes sociales como la capacitación para interrumpir de forma remota los objetivos del mundo real, como los sistemas de control marítimo, aéreo y ferroviario.
«Fuente anónima»
Estos funcionarios y expertos no pudieron encontrar pruebas definitivas de que los sistemas hayan sido desplegados por Rusia o se hayan utilizado en ataques cibernéticos específicos, pero los documentos describen pruebas y pagos por el trabajo realizado por Vulkan para los servicios de seguridad rusos y varios institutos de investigación asociados. La empresa tiene clientes gubernamentales y civiles.
Conclusiones de la investigación de Vulkan Files
La documentación ofrece una rara ventana a los tratos corporativos secretos de las agencias militares y de espionaje de Rusia, incluido el trabajo para el notorio grupo de piratería del gobierno Sandworm. Las autoridades estadounidenses acusaron a Sandworm de provocar dos apagones en Ucrania, interrumpir las ceremonias de apertura de los Juegos Olímpicos de Invierno de 2018 y lanzar NotPetya, el malware económicamente más destructivo de la historia.
Uno de los documentos filtrados menciona la designación numérica de la unidad de inteligencia militar de Sandworm, 74455, lo que sugiere que Vulkan estaba preparando un software para que lo usara el escuadrón de piratería de élite. El documento de 11 páginas sin firmar, fechado en 2019, mostraba a un funcionario de Sandworm aprobando el protocolo de transferencia de datos para una de las plataformas.
Más de 5.000 páginas de documentos
El caché de más de 5.000 páginas de documentos, fechados entre 2016 y 2021, incluye manuales, hojas de especificaciones técnicas y otros detalles del software que Vulkan diseñó para el establecimiento militar y de inteligencia ruso. También incluye correos electrónicos internos de la empresa, registros financieros y contratos que muestran tanto la ambición de las operaciones cibernéticas de Rusia como la amplitud del trabajo que Moscú ha estado subcontratando.
Esto incluye programas para crear páginas de redes sociales falsas y software que puede identificar y almacenar listas de vulnerabilidades en los sistemas informáticos de todo el mundo para posibles objetivos futuros.
Varias maquetas de una interfaz de usuario para un proyecto conocido como Amezit parecen representar ejemplos de posibles objetivos de piratería, incluido el Ministerio de Relaciones Exteriores de Suiza y una planta de energía nuclear en esa nación. Otro documento muestra un mapa de los Estados Unidos con círculos que parecen representar grupos de servidores de Internet.
Una ilustración de una plataforma Vulkan llamada Skan hace referencia a una ubicación de EEUU, etiquetada como “Fairfield”, como un lugar para encontrar vulnerabilidades de red para usar en un ataque. Otro documento describe un “escenario de usuario” en el que los equipos de piratería identificarían enrutadores inseguros en Corea del Norte, presumiblemente para su uso potencial en un ataque cibernético.
Sin embargo, los documentos no incluyen listas de objetivos verificados, código de software malicioso o evidencia que vincule los proyectos con ataques cibernéticos conocidos. Aún así, ofrecen información sobre los objetivos de un estado ruso que, al igual que otras grandes potencias, incluido Estados Unidos, está ansioso por crecer y sistematizar su capacidad para realizar ataques cibernéticos con mayor velocidad, escala y eficiencia.
“Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como una y la misma misión, que es esencialmente un ataque a la voluntad de luchar del enemigo”, dijo John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del documento a pedido de The Post y sus socios.
“Un pilar crítico”
El papel de los contratistas en la guerra cibernética rusa es “muy significativo”, especialmente para la agencia de inteligencia militar rusa comúnmente llamada GRU, dijo un analista de inteligencia occidental. “Son un pilar crítico de la investigación y el desarrollo cibernético ofensivo de GRU. Proporcionan la experiencia que la GRU puede carecer sobre un tema determinado. Los servicios de espionaje pueden realizar operaciones cibernéticas sin ellos, pero probablemente no tan bien”.
Los expertos en inteligencia y seguridad cibernética dijeron que los detalles en los documentos también coinciden con la información recopilada sobre los programas de piratería de Rusia, incluso en una filtración anterior más pequeña, y parecen describir nuevas herramientas para permitir operaciones cibernéticas ofensivas. Vulkan, dijeron, es una de las docenas de empresas privadas conocidas por proporcionar capacidades cibernéticas personalizadas a los servicios de seguridad rusos.
Los expertos advirtieron que no estaba claro cuál de los programas se había completado y desplegado, en lugar de ser simplemente desarrollado y ordenado por el ejército ruso, incluidas las unidades vinculadas al GRU. Sin embargo, los documentos se refieren a pruebas exigidas por el estado, cambios deseados por los clientes y proyectos terminados, lo que sugiere fuertemente que al menos se activaron versiones de prueba de algunos de los programas.
“No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es algo muy complicado. Esto no estaba destinado a ser visto públicamente”, dijo uno de los funcionarios de inteligencia occidentales, hablando bajo condición de anonimato para compartir evaluaciones sinceras de hallazgos confidenciales. “Pero tiene sentido prestar atención. Porque es mejor que entiendas lo que el GRU está tratando de hacer”.
Vulkan
Vulkan se fundó en 2010 y tiene alrededor de 135 empleados, según los sitios web rusos de información comercial. El sitio web de la compañía dice que su sede principal está en el noreste de Moscú.
Un video promocional en el sitio web de la compañía retrata a Vulkan como una empresa tecnológica emergente que “resuelve problemas corporativos” y tiene un “ambiente de trabajo cómodo”. Termina declarando que el objetivo de Vulkan es “hacer del mundo un lugar mejor”.
El video promocional no menciona el trabajo de contratación militar o de inteligencia. “El trabajo fue divertido. Usamos las últimas tecnologías”, dijo un ex empleado en una entrevista. “La gente era muy inteligente. Y el dinero era bueno”. Algunos ex empleados de Vulkan trabajaron más tarde para las principales empresas occidentales, incluidas Amazon y Siemens. Ambas compañías emitieron comunicados que no cuestionaron que los ex empleados de Vulkan trabajaron para ellos, pero dijeron que los controles corporativos internos protegían contra el acceso no autorizado a datos confidenciales.
Los documentos también muestran que Vulkan tenía la intención de utilizar una variedad de hardware estadounidense para configurar sistemas para los servicios de seguridad rusos. Los documentos de diseño se refieren repetidamente a productos estadounidenses, incluidos los procesadores Intel y los enrutadores Cisco, que deben usarse para configurar los sistemas de “hardware-software” para las unidades militares y de inteligencia rusas.
Hay otras conexiones con empresas estadounidenses. Algunas de esas empresas, incluidas IBM, Boeing y Dell, trabajaron en algún momento con Vulkan, según su sitio web, que describe el trabajo de desarrollo de software comercial sin vínculos obvios con las operaciones de inteligencia y piratería. Los representantes de IBM, Boeing y Dell no cuestionaron que esas entidades trabajaron anteriormente con Vulkan, pero dijeron que ahora no tienen ninguna relación comercial con la empresa.
Unidades de piratería
Entre las miles de páginas de documentos Vulkan filtrados hay proyectos diseñados para automatizar y permitir operaciones en las unidades de piratería rusas.
Amezit
Amezit, por ejemplo, detalla tácticas para automatizar la creación de cantidades masivas de cuentas de redes sociales falsas para campañas de desinformación. Un documento en el caché filtrado describe cómo usar bancos de tarjetas SIM de teléfonos móviles para anular los controles de verificación de nuevas cuentas en Facebook, Twitter y otras redes sociales.
Los reporteros de Le Monde, Der Spiegel y Paper Trail Media, trabajando desde las cuentas de Twitter enumeradas en los documentos, encontraron evidencia de que estas herramientas probablemente se habían utilizado para numerosas campañas de desinformación en varios países.
Los reporteros también encontraron evidencia de que el software se usa para crear cuentas falsas en las redes sociales, dentro y fuera de Rusia, para impulsar narrativas en línea con la propaganda estatal oficial, incluidas las negaciones de que los ataques rusos en Siria mataron a civiles.
Amezit tiene otras características diseñadas para permitir que los funcionarios rusos monitoreen, filtren y vigilen secciones de Internet en las regiones que controlan, según muestran los documentos. Sugieren que el programa contiene herramientas que dan forma a lo que los usuarios de Internet verían en las redes sociales.
El proyecto se describe repetidamente en los documentos como un complejo de sistemas para la “restricción de información del área local” y la creación de un “segmento autónomo de la red de transmisión de datos”.
Un borrador de manual de 2017 para uno de los sistemas de Amezit ofrece instrucciones sobre la “preparación, colocación y promoción de materiales especiales”, probablemente propaganda distribuida utilizando cuentas de redes sociales falsas, llamadas telefónicas, correos electrónicos y mensajes de texto.
Una de las maquetas en un documento de diseño de 2016 permite a un usuario pasar el cursor sobre un objeto en un mapa y mostrar direcciones IP, nombres de dominio y sistemas operativos, así como otra información sobre “objetos físicos”.
Uno de esos objetos físicos, resaltado en verde fluorescente, es el Ministerio de Relaciones Exteriores en Berna, Suiza, que muestra una dirección de correo electrónico hipotética y el “objetivo del ataque” para “obtener privilegios de usuario raíz”. El otro objeto resaltado en el mapa es la central nuclear de Muhleberg, al oeste de Berna. Dejó de producir energía en 2019.
Dmitri Alperovitch, quien cofundó la firma de inteligencia de amenazas cibernéticas CrowdStrike, dijo que los documentos indican que Amezit está destinado a permitir el descubrimiento y mapeo de instalaciones críticas como ferrocarriles y centrales eléctricas, pero solo cuando el atacante tiene acceso físico a una instalación. “Con acceso físico, puede conectar esta herramienta a una red y mapeará las máquinas vulnerables”, dijo Alperovitch, ahora presidente de Silverado Policy Accelerator, un grupo de expertos en Washington.
Los correos electrónicos sugieren que los sistemas Amezit fueron al menos probados por las agencias de inteligencia rusas en 2020. Un correo electrónico de la empresa con fecha del 16 de mayo de 2019 describe los comentarios del cliente y los deseos de cambios en el programa. Una hoja de cálculo marca qué partes del proyecto se han terminado.
SKAN
Skan, el otro proyecto principal descrito en los documentos, permitió a los atacantes rusos analizar continuamente Internet en busca de sistemas vulnerables y compilarlos en una base de datos para posibles ataques futuros.
Joe Slowik, gerente de inteligencia de amenazas de la empresa de seguridad cibernética Huntress, dijo que Skan probablemente fue diseñado para funcionar en conjunto con otro software. “Este es el sistema de fondo que lo permitiría todo: organizar y potencialmente asignar tareas y orientar las capacidades de una manera que se pueda administrar de forma centralizada”, dijo.
Slowik dijo que es probable que Sandworm, el grupo de hackers militares rusos al que se culpa de numerosos ataques disruptivos, quiera mantener un gran depósito de vulnerabilidades. Un documento de 2019 dice que Skan podría usarse para mostrar “una lista de todos los posibles escenarios de ataque” y resaltar todos los nodos de la red que podrían estar involucrados en los ataques.
El sistema también parece permitir la coordinación entre las unidades de piratería rusas, lo que permite “la capacidad de intercambiar datos entre posibles unidades especiales geográficamente dispersas”, según los documentos filtrados.
“Skan me recuerda a las viejas películas militares donde la gente se para y coloca su artillería y tropas en el mapa”, dice Gabby Roncone, otra experta en seguridad cibernética de Mandiant. “Y luego quieren entender dónde están los tanques enemigos y dónde deben atacar primero para atravesar las líneas enemigas”.
Hay evidencia de que al menos una parte de Skan fue entregada al ejército ruso.
Con información de Esta investigación fue una colaboración entre periodistas de ocho países que trabajan en 11 organizaciones de noticias, incluido The Washington Post.
1 comentario en «Ataques online, desinformación y vigilancia: una filtración revela cómo Rusia lleva adelante una guerra cibernética»
Para guerra informática y favorecimiento de la desinformación la que se hace en Europa y especialmente en España, donde están bloqueadas páginas de información que permitiría constrastar las «noticias» que nos dan para que las traguemos como hacen los bebés con sus papillas.