Durante el preludio a la invasión rusa de Ucrania y la invasión rusa de Ucrania , se registraron múltiples ciberataques contra Ucrania , así como algunos ataques a Rusia . El primer ciberataque importante tuvo lugar el 14 de enero de 2022 y derribó más de una docena de sitios web del gobierno de Ucrania . [1] Según funcionarios ucranianos, alrededor de 70 sitios web gubernamentales, incluidos el Ministerio de Asuntos Exteriores , el Gabinete de Ministros y el Consejo Nacional y de Defensa (NSDC), fueron atacados. La mayoría de los sitios fueron restaurados pocas horas después del ataque. [2] El 15 de febrero, otro ciberataque derribó varios servicios gubernamentales y bancarios. [3] [4]
El 24 de febrero, Rusia lanzó una invasión a gran escala de Ucrania. Los funcionarios de inteligencia occidentales creían que esto iría acompañado de un importante ciberataque contra la infraestructura ucraniana, pero esta amenaza no se materializó. [5] Los ciberataques contra Ucrania han continuado durante la invasión, pero con un éxito limitado. Grupos de piratas informáticos independientes, como Anonymous , han lanzado ciberataques contra Rusia en represalia por la invasión. [5] [6]
El gobierno canadiense, en un libro blanco sin fecha publicado después del 22 de junio de 2022, consideró que "el alcance y la gravedad de las operaciones cibernéticas relacionadas con la invasión rusa de Ucrania han sido casi con certeza más sofisticadas y generalizadas de lo que se ha informado en fuentes abiertas". [7]
En el momento del ataque, las tensiones entre Rusia y Ucrania eran altas, con más de 100.000 tropas rusas estacionadas cerca de la frontera con Ucrania y conversaciones en curso entre Rusia y la OTAN . [1] El gobierno de Estados Unidos afirmó que Rusia se estaba preparando para una invasión de Ucrania, incluidas "actividades de sabotaje y operaciones de información". Estados Unidos también supuestamente encontró evidencia de "una operación de falsa bandera" en el este de Ucrania, que podría usarse como pretexto para la invasión. [2] Rusia niega las acusaciones de una invasión inminente, pero ha amenazado con "acciones técnico-militares" si no se cumplen sus demandas, especialmente una solicitud de que la OTAN nunca admita a Ucrania en la alianza. Rusia se ha pronunciado firmemente contra la expansión de la OTAN a sus fronteras. [2]
Los ataques del 14 de enero de 2022 consistieron en que los piratas informáticos reemplazaron los sitios web con texto en ucraniano , polaco erróneo y ruso , que dicen "tenga miedo y espere lo peor" y alegan que se ha filtrado información personal a Internet. [8] Alrededor de 70 sitios web gubernamentales se vieron afectados, incluido el Ministerio de Asuntos Exteriores , el Gabinete de Ministros y el Consejo de Seguridad y Defensa . [9] El SBU ha declarado que no se filtró ningún dato. Poco después de que apareciera el mensaje, los sitios fueron desconectados. La mayoría de los sitios se restauraron en unas pocas horas. [1] El subsecretario del NSDC, Serhiy Demedyuk, declaró que la investigación ucraniana del ataque sospecha que se utilizaron los derechos de administración de una empresa de terceros para llevar a cabo el ataque. El software de la empresa anónima se había utilizado desde 2016 para desarrollar sitios gubernamentales, la mayoría de los cuales se vieron afectados en el ataque. [9] Demedyuk también culpó a UNC1151, un grupo de hackers supuestamente vinculado a la inteligencia bielorrusa, por el ataque. [10]
En la misma fecha, se produjo otro ataque de malware destructivo, que apareció por primera vez el 13 de enero. Detectado por primera vez por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), el malware se instaló en dispositivos pertenecientes a "varias organizaciones gubernamentales, sin fines de lucro y de tecnología de la información" en Ucrania. [11] Más tarde, se informó que esto incluía al Servicio de Emergencia Estatal y la Oficina de Seguros de Transporte Motorizado. [12] El software, designado DEV-0586 o WhisperGate, fue diseñado para parecerse a un ransomware, pero carece de una función de recuperación, lo que indica una intención de simplemente destruir archivos en lugar de cifrarlos para pedir un rescate. [11] El MSTIC informó que el malware estaba programado para ejecutarse cuando se apagara el dispositivo atacado. El malware sobrescribía el registro de arranque maestro (MBR) con una nota de rescate genérica. A continuación, el malware descarga un segundo archivo .exe , que sobrescribía todos los archivos con ciertas extensiones de una lista predeterminada, eliminando todos los datos contenidos en los archivos atacados. La carga útil del ransomware difiere de un ataque de ransomware estándar en varios aspectos, lo que indica una intención exclusivamente destructiva. [13] Sin embargo, evaluaciones posteriores indican que el daño fue limitado, probablemente una elección deliberada de los atacantes. [12]
El 19 de enero, la amenaza persistente avanzada (APT) rusa Gamaredon (también conocida como Primitive Bear ) intentó comprometer una entidad gubernamental occidental en Ucrania. [14] El espionaje cibernético parece ser el objetivo principal del grupo, [14] que ha estado activo desde 2013; a diferencia de la mayoría de las APT, Gamaredon se dirige ampliamente a todos los usuarios en todo el mundo (además de centrarse también en ciertas víctimas, especialmente organizaciones ucranianas [15] ) y parece proporcionar servicios para otras APT. [16] Por ejemplo, el grupo de amenazas InvisiMole ha atacado sistemas seleccionados que Gamaredon había comprometido y rastreado anteriormente. [15]
Rusia negó las acusaciones de Ucrania de que estaba vinculada a los ciberataques. [17]
Instituciones gubernamentales ucranianas, como el Centro de Comunicaciones Estratégicas y Seguridad de la Información y el Ministerio de Asuntos Exteriores , sugirieron que la Federación Rusa fue la autora del ataque, señalando que esta no sería la primera vez que Rusia ataca a Ucrania . [8] [18]
El Alto Representante de la Unión Europea, Josep Borrell, dijo sobre el origen del ataque: “Se puede imaginar muy bien, con cierta probabilidad o con un margen de error, de dónde puede venir”. [19] El Secretario General de la OTAN, Jens Stoltenberg, anunció que la organización aumentaría su coordinación con Ucrania en materia de ciberdefensa ante posibles ciberataques adicionales . La OTAN anunció más tarde que firmaría un acuerdo que otorgaría a Ucrania acceso a su plataforma de intercambio de información sobre malware . [2] [8]
El 15 de febrero, un gran ataque DDoS derribó los sitios web del Ministerio de Defensa, el ejército y los dos bancos más grandes de Ucrania, PrivatBank y Oschadbank . [3] [20] [4] El monitor de ciberseguridad NetBlocks informó que el ataque se intensificó a lo largo del día, afectando también a las aplicaciones móviles y los cajeros automáticos de los bancos. [3] El New York Times lo describió como "el mayor asalto de este tipo en la historia del país". Los funcionarios del gobierno ucraniano declararon que el ataque probablemente fue llevado a cabo por un gobierno extranjero y sugirieron que Rusia estaba detrás de él. [21] Aunque existían temores de que el ataque de denegación de servicio pudiera ser una tapadera para ataques más graves, un funcionario ucraniano dijo que no se había descubierto ningún ataque de ese tipo. [12]
Según el gobierno del Reino Unido [22] y el Consejo de Seguridad Nacional de los EE. UU., el ataque fue llevado a cabo por la Dirección Principal de Inteligencia de Rusia (GRU). La funcionaria de ciberseguridad estadounidense Anne Neuberger afirmó que se ha observado que la infraestructura conocida de la GRU transmite grandes volúmenes de comunicaciones a direcciones IP y dominios con sede en Ucrania. [23] El portavoz del Kremlin, Dmitry Peskov, negó que el ataque se originara en Rusia. [24]
El 23 de febrero, un tercer ataque DDoS derribó varios sitios web del gobierno, el ejército y bancos ucranianos. Aunque se dijo que los sitios web militares y bancarios habían tenido una “recuperación más rápida”, el sitio web del SBU estuvo fuera de línea durante un período prolongado. [25]
Poco antes de las 5 p. m. del 23 de febrero, se detectó un malware de borrado de datos en cientos de computadoras pertenecientes a varias organizaciones ucranianas, incluidas las de los sectores financiero, de defensa, de aviación y de servicios de TI. ESET Research denominó al malware HermeticWiper, llamado así por su certificado de firma de código genuino de la empresa Hermetica Digital Ltd. con sede en Chipre. Según se informa, el limpiador se compiló el 28 de diciembre de 2021, mientras que Symantec informó de actividad maliciosa ya en noviembre de 2021, lo que implica que el ataque se planeó con meses de anticipación. Symantec también informó de ataques de limpiadores contra dispositivos en Lituania, y que algunas organizaciones se vieron comprometidas meses antes del ataque de limpiadores. De manera similar al ataque WhisperGate de enero, el ransomware a menudo se implementa simultáneamente con el limpiador como señuelo, y el limpiador daña el registro de arranque maestro del dispositivo. [26] [27]
Un día antes del ataque, la UE había desplegado un equipo de respuesta rápida contra ataques cibernéticos integrado por unos diez expertos en ciberseguridad de Lituania, Croacia, Polonia, Estonia, Rumanía y los Países Bajos. Se desconoce si este equipo ayudó a mitigar los efectos del ciberataque. [28]
El ataque coincidió con el reconocimiento por parte de Rusia de las regiones separatistas en el este de Ucrania y la autorización del despliegue de tropas rusas en esas regiones. Estados Unidos y el Reino Unido culparon a Rusia del ataque, que negó las acusaciones y las calificó de “rusófobas”. [25]
El ataque a Viasat , que ocurrió entre las 5 am y las 9 am EEST del 24 de febrero, [29] podría haber tenido como objetivo interrumpir las redes militares ucranianas, que usaban la red de Viasat para proporcionarles servicios de comunicaciones. [30] [31] El ataque podría haber tenido como objetivo atacar "aspectos del comando y control militar en Ucrania". [32] [33] El ataque "dejó inoperativos miles de módems de banda ancha satelitales Viasat KA-SAT en Ucrania, incluidos los utilizados por agencias militares y otras agencias gubernamentales, causando una pérdida importante en la comunicación por Internet". [34] [30] [35] [36]
En una comunicación conjunta realizada el 10 de mayo de 2022, muchos gobiernos occidentales aportaron pruebas de que Rusia era responsable del ataque debido a su invasión. [37] [38] [39] [40] [41]
El 26 de febrero, el ministro de Transformación Digital de Ucrania, Mykhailo Fedorov, anunció la creación de un ejército de TI , que incluirá especialistas en ciberseguridad, redactores, diseñadores, especialistas en marketing y especialistas en objetivos. Como resultado, numerosos sitios web del gobierno ruso y bancos fueron atacados. [42] Se han hecho públicos decenas de números de estrellas y funcionarios rusos, y en algunos canales de televisión se han transmitido canciones ucranianas, incluida " Oración por Ucrania ". [43] [44]
Para defenderse y mantener la conectividad a Internet durante la guerra, los funcionarios ucranianos consideraron que un acceso a Internet Starlink en su país sería una posible solución. [45]
A diferencia de Internet por satélite convencional como Viasat, el acceso a Internet de Starlink funciona en una red fragmentada en partes individuales. [46] [47] Internet se transmite a través de una antena específica que tiene un alcance limitado, lo que proporciona acceso a Internet en el área limitada de la antena, como un punto de acceso a Internet personal. [47] [48] Todo el sistema evita que Starlink pueda ser eliminado por un solo ataque de Rusia. [49]
El 26 de febrero, el gobierno ucraniano y el ministro ucraniano Mykhailo Fedorov pidieron a Elon Musk en Twitter que brindara asistencia Starlink a Ucrania. [50] [51] Musk estuvo de acuerdo, y SpaceX respondió activando el servicio en todo el país, y el primer envío de terminales Starlink llegó dos días después, el 28 de febrero. [50]
A partir del 6 de marzo, Rusia comenzó a aumentar significativamente la frecuencia de sus ciberataques contra civiles ucranianos. [52]
Sólo el 9 de marzo, el solucionador recursivo de bloqueo de malware Quad9 interceptó y mitigó 4,6 millones de ataques contra ordenadores y teléfonos en Ucrania y Polonia, a un ritmo diez veces superior al promedio europeo. El experto en ciberseguridad Bill Woodcock de Packet Clearing House señaló que las consultas DNS bloqueadas procedentes de Ucrania muestran claramente un aumento de los ataques de phishing y malware contra los ucranianos, y señaló que las cifras polacas también eran más altas de lo habitual porque el 70%, o 1,4 millones, de los refugiados ucranianos estaban en Polonia en ese momento. [53] Al explicar la naturaleza del ataque, Woodcock dijo que "los ucranianos están siendo objeto de una enorme cantidad de phishing, y gran parte del malware que se está instalando en sus máquinas está intentando ponerse en contacto con la infraestructura de comando y control maliciosa". [52]
El 28 de marzo, RTComm.ru, un proveedor de servicios de Internet ruso, BGP secuestró el bloque de direcciones IPv4 104.244.42.0/24 de Twitter durante un período de dos horas y quince minutos. [54] [55]
Si bien nuestro tráfico general disminuyó en Kiev (y aumentó levemente en Varsovia debido a las interrupciones de la infraestructura dentro de Ucrania), la proporción de "consultas correctas" con respecto a las "consultas bloqueadas" se disparó en ambas ciudades. El aumento en la proporción de bloqueos el miércoles (9 de marzo de 2022) por la tarde en Kiev fue aproximadamente 10 veces el nivel normal en comparación con otras ciudades de Europa. Este salto de orden de magnitud no tiene precedentes.