Amenazas Persistentes Avanzadas. Análisis de grupos APT. Objetivo: Rusia

Autor: Iván Carlo Alcañiz Bautista

Abstract: Abordaremos a Rusia como objetivo de nuestro análisis de grupos APT, intentaremos arrojar algo de luz a las acciones de los ataques APT atribuidos a grupos de este país.

Etiquetas: Ciberseguridad, ciberdelincuencia, APT, Amenaza, Rusia

Rusia es considerada (y se considera) una potencia mundial y debido a su forma de actuar y a sus actividades de SIGINT (Signal Intelligence) a lo largo de la historia, se le suelen atribuir bastantes acciones de grupos APT, es por ello por lo que destaca como uno de los países con más cantidad de estos grupos, teniendo 49 atribuciones en ThaiCERT a día de hoy.

Abarcar todos los aspectos de Rusia relacionados con sus grupos APT es imposible en un solo artículo, ya que las acciones de estos grupos no incluyen solo ataques informáticos si no también acciones de HUMINT (Human Intelligence), además de una larga historia que comienza con la disolución del KGB hasta nuestros días, con varias acciones de contraespionaje en el trayecto. Se destaca la participación de parte de los antiguos integrantes de esta organización en el crimen organizado y en la política del país, por lo que no es de extrañar que estos dos ámbitos se vean relacionados.

De organizaciones de inteligencia…

Partiendo de esta base, podemos asumir que algunas acciones de grupos APT de atribución rusa están respaldadas por el estado. Aunque esa afirmación pueda parecer una nimiedad, no lo es si contamos con que Rusia es la potencia mundial con más medios a su alcance para lograr sus objetivos, no en vano es el país de los 11 husos horarios y además durante 2020, se han observado acciones de 17 grupos de los 49 que ThaiCERT tiene registrados.

De esos 17 grupos APT, al menos 7 están marcados directamente como “State-Sponsored” por ThaiCERT y al menos 10 es posible que tengan relaciones con algún organismo de inteligencia, a saber FSB (Federal’nya Sluzhba Bezopasnosti), especializado en inteligencia, contrainteligencia , vigilancia social y vigilancia electrónica,  SVR (Sluzhba Vneshney Razvedki), con capacidades HUMINT y SIGINT, FSO (Federal’naya Sluzhba Okhrani), con capacidades SIGINT y por último pero no menos importante, GRU (Glavnoye Razvedyvatelnoye Upravlenie) el cual posee todas las capacidades de inteligencia atribuibles (OSINT, SIGINT,HUMINT, IMINT).

… a Grupos APT ¿Rusos?

De estos 7 grupos APT restantes, podemos destacar:

APT28 y APT29

Según ThaiCERT, con acciones desde 2011 hasta 2020 (que sepamos), APT28 resulta de ser la unión de las unidades 26165 y 74455 del GRU, mientras que APT29 puede trabajar en conjunto con éste último. ¿Quiere decir esto que es un grupo separado? Puede que sí, o puede que no. Podría ser una de las dos unidades, una tercera unidad del organismo implicada, una unidad de un organismo externo (quizá del FSB) o una unidad independiente.

Lo que sí sabemos es que sus objetivos abarcan los sectores:

Automotriz, aviación, química, construcción, defensa, educación, embajadas, ingeniería, finanzas, gobierno, salud, industrial, TI, medios de comunicación, ONG, Petróleo y gas, Think Tanks (Gabinetes estratégicos) y organizaciones de inteligencia.

Si los sectores objetivos son tan variopintos, atrás no se quedan los países y organizaciones que han sufrido los ataques de esta dupla APT, a saber:

Afganistán, Armenia, Australia, Azerbaiyán, Bielorrusia, Bélgica, Brasil, Bulgaria, Canadá, Chile, China, Croacia, Chipre, Francia, Georgia, Alemania, Hungría, India, Irán, Irak, Japón, Jordania, Kazajstán, Letonia, Malasia, México, Mongolia, Montenegro, Países Bajos, Noruega, Pakistán, Polonia, Rumania, Eslovaquia, Sudáfrica, Corea del Sur, España, Suecia, Suiza, Tayikistán, Tailandia, Turquía, Uganda, Emiratos Árabes Unidos, Reino Unido, Ucrania, Estados Unidos, Uzbekistán, OTAN (Organización del Tratado del Atlántico Norte), APEC (Foro de Cooperación Económica Asia-Pacífico), OSCE (Organización para la Seguridad y la Cooperación en Europa)

En pocas palabras, los objetivos de estos grupos de atribución rusa, es todo el mundo, y de cualquier sector que les permita obtener información.

Últimamente a APT28 se le ha acusado de hacer ataques de phishing relacionados con el COVID-19 para distribuir el malware Zebrocy y a APT29 se le ha atribuido ataques a diversos  organismos encargados de desarrollar vacunas contra el COVID-19.

Turla

Grupo APT activo desde 1996, Turla al igual que APT28 y APT29 se señala que es “State-Sponsored” aunque no se ha señalado directamente a ningún organismo asociado. Se enfoca en el robo de información y espionaje en los sectores aeroespacial, defensa, energía, tecnología, medios de comunicación, Investigación… y cuentan 45 países como víctimas de sus ataques. En Enero de 2020 un informe de ESET descubrió dos Ministerios de Relaciones Exteriores de Europa del Este y un parlamento nacional en la región del Cáucaso como objetivos del malware ComRAT v4 y en Junio de 2020 la compañía Accenture descubrió que una organización del gobierno europeo fue comprometida por Turla.

Gamaredon

ThaiCERT apunta a los centros 16 y 18 del FSB como sus integrantes. A diferencia de los anteriores, este grupo se caracteriza por atacar a sectores concretos de Ucrania como Defensa, Gobierno, Fuerzas de la ley, ONG, diplomáticos y periodistas. Al igual que APT28, a Gamaredon se le acusa de haber usado phishing con motivo del COVID-19 para llevar a cabo sus acciones.

Doppel Spider

Últimamente famoso por haber atacado Banijay Group (MasterChef) y Foxconn, al que le pedían 34 millones de dolares. Sus objetivos son meramente financieros. Cabe destacar que no se han mostrado indicios de que este grupo APT esté respaldado por el estado o alguna de sus organizaciones de inteligencia.

Dejando a un lado los grupos APT, el departamento de justicia de Estados Unidos ha presentado cargos contra seis oficiales del GRU por tener relación con despliegue mundial de malware y diversas acciones disruptivas. Según ellos, estas personas estarían relacionadas con la distribución de NotPetya, Olympic Destroyer y KillDisk, lo que daría lugar a conexiones con los grupos APT Telebots y Hades, también con atribución rusa, aunque éste último dio lugar a un ataque con falsa bandera ya que aunque algunas de sus características parecían del grupo APT Lazarus con atribución Norcoreana del que ya hablamos en un artículo anterior, su modus operandi se parecía más al usado por APT28, abordado anteriormente.

Conclusión

Si bien, como siempre, no podemos afirmar que Rusia esté realmente detrás de ataques de grupos APT. Si es cierto que este país ha sido señalado por varias organizaciones como creadores y distribuidores de malware y en última instancia, beneficiarios de los resultados de las acciones de estos grupos.

También hay que destacar que son distintas organizaciones de inteligencia que afirman que Rusia está detrás de muchos grupos APT pero casi todas comparten un denominador común. Son de Estados Unidos. ¿Está la inteligencia rusa detrás de esos grupos APT? ¿Son acusaciones falsas y realmente hay otras organizaciones o países haciéndose pasar por rusos? Si bien puede que haya indicios, nada es concluyente. La polémica está servida.

Iván Carlo Alcañiz Bautista

Bibliografía