Ir al contenido

Ciberataque en Ucrania de 2022

De Wikipedia, la enciclopedia libre
La página web del Ministerio de Relaciones Exteriores de Ucrania, en la imagen, fue saboteada por piratas informáticos.

El 14 de enero de 2022, un ciberataque derribó más de una docena de sitios web gubernamentales de Ucrania,[1]​ en el marco de la crisis ruso-ucraniana. Según las autoridades de Kiev, unos 70 sitios web gubernamentales, entre ellos el Ministerio de Asuntos Exteriores, el Consejo de Ministros y el Consejo de Seguridad y Defensa, fueron atacados. La mayoría de los sitios fueron restaurados a las pocas horas del ataque.[2]​ Un mes después, los días 15 y 23 de febrero, a escasos días de la invasión rusa del país, otros dos ciberataques derribaron múltiples servicios gubernamentales y bancarios.[3][4][5]​ Después de la invasión rusa, el país sufrió un cuarto ciberataque.

Antecedentes

[editar]

En el momento del ataque, las tensiones entre Rusia y Ucrania eran muy elevadas, con más de 100 000 tropas rusas estacionadas cerca de la frontera con Ucrania y Bielorrusia y conversaciones entre Rusia y la OTAN en curso.[1]​ El gobierno estadounidense alegó que Rusia estaba preparando una invasión de Ucrania, incluyendo "actividades de sabotaje y operaciones de información". Estados Unidos también habría encontrado pruebas de "una operación de bandera falsa" en el este de Ucrania, que podría utilizarse como pretexto para la invasión.[2]​ Rusia negó las acusaciones de una inminente invasión, que a la postre se cumplieron, llegando a amenazar en ese momento con "acciones técnico-militares" si no se cumplían sus exigencias, especialmente la petición de que la OTAN nunca admitiese a Ucrania en la alianza, algo en lo que Moscú zanjó fuertemente el asunto, al protestar contra la expansión de la Organización hacia sus fronteras en el oeste.[2]

Primer ataque: 14 de enero

[editar]

Los ciberataques del 14 de enero de 2022 consistieron en que los piratas informáticos sustituyeron los sitios web por un texto en ucraniano, polaco erróneo y ruso, en el que se decía "tened miedo y esperad lo peor" y se afirmaba que se había filtrado información personal en Internet.[6]​ Unos 70 sitios web gubernamentales se vieron afectados, entre ellos el Ministerio de Asuntos Exteriores, el Consejo de Ministros y el Consejo de Seguridad y Defensa.[7]​ El SBU declaró que no se filtró ningún dato. Poco después de la aparición del mensaje, los sitios se desconectaron. La mayoría pudieron ser restablecidos a las pocas horas.[1]​ El subsecretario del NSDC, Serhiy Demedyuk, declaró que la investigación ucraniana del ataque sospecha que se utilizaron los derechos de administración de una tercera empresa para llevar a cabo el ataque. El software de la empresa no identificada se había utilizado desde 2016 para desarrollar sitios gubernamentales, la mayoría de los cuales se vieron afectados en el ataque.[7]​ Demedyuk también culpó a UNC1151, un grupo de hackers supuestamente vinculado a la inteligencia bielorrusa, del ataque.[8]

Otro ataque de malware destructivo tuvo lugar por las mismas fechas, apareciendo por primera vez el 13 de enero. Detectado por primera vez por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), el malware se instaló en dispositivos pertenecientes a "múltiples organizaciones gubernamentales, sin ánimo de lucro y de tecnología de la información" en Ucrania.[9]​ El software, denominado DEV-0586 o WhisperGate, estaba diseñado para parecerse a un ransomware, pero carecía de una función de recuperación, lo que indicaba la intención de destruir simplemente los archivos en lugar de cifrarlos para pedir un rescate.[9]​ El MSTIC informó de que el malware estaba programado para ejecutarse cuando el dispositivo en cuestión estuviera apagado. El malware sobrescribía el registro de arranque principal (MBR) con una nota de rescate genérica. A continuación, el malware descarga un segundo archivo .exe, que sobrescribiría todos los archivos con determinadas extensiones de una lista predeterminada, borrando todos los datos contenidos en los archivos objetivo. La carga útil del ransomware difiere de un ataque estándar en varios aspectos, lo que indica una intención exclusivamente destructiva.[10]​ Sin embargo, evaluaciones posteriores indican que el daño fue limitado, probablemente una elección deliberada de los atacantes.[11]

Reacciones al ciberataque de enero

[editar]

Rusia

[editar]

Rusia negó las acusaciones de Ucrania de estar relacionada con los ciberataques.[12]

Ucrania

[editar]

Instituciones gubernamentales ucranianas, como el Centro de Comunicaciones Estratégicas y Seguridad de la Información y el Ministerio de Asuntos Exteriores, sugirieron que la Federación Rusa fue la autora del ataque, señalando que no sería la primera vez que Rusia ataca a Ucrania, recordando el ciberataque que el país sufrió cinco años atrás.[6][13]

Unión Europea

[editar]

El alto representante de la Unión Europea, Josep Borrell, dijo sobre el origen del ataque: "Uno puede imaginar muy bien con cierta probabilidad o con un margen de error, de dónde puede venir".[14]

OTAN

[editar]

El secretario general de la OTAN, Jens Stoltenberg, anunció que la organización aumentaría su coordinación con Ucrania en materia de ciberdefensa ante posibles ciberataques adicionales. Más tarde, anunció que firmaría un acuerdo para conceder a Ucrania acceso a su plataforma de intercambio de información sobre malware.[2][6]

Segundo ataque: 15 de febrero

[editar]

El 15 de febrero, un gran ataque de denegación de servicio (ataque DoS) hizo caer los sitios web del Ministerio de Defensa y del ejército, así como de los dos mayores bancos de Ucrania, PrivatBank y Oschadbank.[15][16][17][18]​ El monitor de ciberseguridad NetBlocks informó de que el ataque se intensificó a lo largo del día, afectando también a las aplicaciones de banca móvil y a los cajeros automáticos de los bancos.[16]​ El diario The New York Times lo describió como "el mayor ataque de este tipo en la historia del país". Funcionarios del gobierno ucraniano afirmaron que el ataque fue probablemente llevado a cabo por un gobierno extranjero, y sugirieron que Rusia estaba detrás de él.[3]​ Aunque se temía que el ataque de denegación de servicio pudiera ser una tapadera para ataques más graves, un funcionario ucraniano afirmó que no se había descubierto ningún ataque de este tipo.[11]

Según el gobierno del Reino Unido[19]​ y el Consejo de Seguridad Nacional de Estados Unidos, el ataque fue realizado por la Dirección Principal de Inteligencia rusa (GRU). La funcionaria estadounidense de ciberseguridad Anne Neuberger declaró que se había observado que la infraestructura conocida de la GRU transmitía grandes volúmenes de comunicaciones a direcciones IP y dominios con sede en Ucrania.[20]​ El portavoz del Kremlin, Dmitri Peskov, negó que el ataque tuviera su origen en Rusia.[21]

Tercer ataque: 23 de febrero

[editar]

Apenas una semana después, un tercer ataque DDoS derribó varios sitios web gubernamentales, como el de la Rada Suprema, órganos militares y sedes informáticas bancarias en Ucrania.[22][23]​ Aunque los sitios web militares y bancarios se recuperaron "más rápidamente", el sitio web del SBU permaneció fuera de servicio durante un largo periodo.[24]​ Justo antes de las 17 horas, se detectó un programa malicioso de borrado de datos en cientos de ordenadores pertenecientes a múltiples organizaciones ucranianas, incluidas las de los sectores financiero, de defensa, de aviación y de servicios informáticos. ESET Research denominó al malware HermeticWiper, llamado así por su certificado de firma de código genuino de la empresa Hermetica Digital Ltd., con sede en Chipre. Según los informes, se compiló el 28 de diciembre de 2021, mientras que Symantec informó de actividad maliciosa ya en noviembre de 2021, lo que implica que el ataque se planificó con meses de antelación. Symantec también informó de ataques wiper contra dispositivos en Lituania, y de que algunas organizaciones se vieron comprometidas meses antes del ataque wiper. Al igual que en el ataque WhisperGate de enero, el ransomware suele desplegarse simultáneamente con el wiper como señuelo, y el wiper daña el registro de arranque principal.[25][26]

Un día antes del ataque, la Unión Europea había desplegado un equipo de ciberrespuesta rápida formado por una decena de expertos en ciberseguridad de Lituania, Croacia, Polonia, Estonia, Rumanía y Países Bajos. Se desconoce si este equipo ayudó a mitigar los efectos del ciberataque.[27]

El ataque coincidió con el reconocimiento por parte de Rusia de las regiones separatistas del este de Ucrania y la autorización del despliegue de tropas rusas en la zona. Estados Unidos y el Reino Unido culparon del ataque a Rusia. Nuevamente, Moscú negó las acusaciones, calificándolas de "rusofóbicas".[24]

El 26 de febrero, el ministro de Transformación Digital de Ucrania, Mijailo Fédorov, anunció la creación de un ejército informático, que incluirá ciberespecialistas, redactores, diseñadores, mercadólogos y targetólogos. Como resultado, numerosos sitios web del gobierno ruso y bancos fueron atacados.[28]​ Se hicieron públicas decenas de ediciones de estrellas y funcionarios rusos, y se han emitido canciones ucranianas en algunos canales de televisión, como Prayer for Ukraine.[29][30]

Cuarto ataque: marzo

[editar]

A partir del 6 de marzo, Rusia comenzó a aumentar significativamente la frecuencia de sus ciberataques contra la población civil ucraniana.[31]

Solo el 9 de marzo, Quad9 interceptó y mitigó 4,6 millones de ataques contra ordenadores y teléfonos en Ucrania y Polonia, a un ritmo más de diez veces superior a la media europea. El experto en ciberseguridad Bill Woodcock, de Packet Clearing House, señaló que las consultas DNS bloqueadas procedentes de Ucrania muestran claramente un aumento de los ataques de phishing y malware contra los ucranianos, y observó que las cifras polacas también eran más altas de lo habitual porque el 70%, o 1,4 millones, de los refugiados ucranianos estaban en Polonia en ese momento.[32]​ Al explicar la naturaleza del ataque, Woodcock dijo que "los ucranianos están siendo objeto de una gran cantidad de phishing, y gran parte del malware que está entrando en sus máquinas está tratando de ponerse en contacto con la infraestructura maliciosa de comando y control".[31]

El 28 de marzo, RTComm.ru, un proveedor de servicios de Internet ruso, secuestró el bloque de direcciones IPv4 104.244.42.0/24 de Twitter durante un periodo de dos horas y quince minutos.[33]

Véase también

[editar]

Referencias

[editar]
  1. a b c «Ukraine cyber-attack: Russia to blame for hack, says Kyiv». BBC News. Consultado el 26 de febrero de 2022. 
  2. a b c d «Cyberattack hits Ukraine as U.S. warns Russia could be prepping for war». Reuters. Consultado el 26 de febrero de 2022. 
  3. a b «A hack of the Defense Ministry, army and state banks was the largest of its kind in Ukraine’s history». The New York Times. Archivado desde el original el 17 de febrero de 2022. Consultado el 26 de febrero de 2022. 
  4. «Ciberataques: Rusia amplía su presión sobre Ucrania a golpe de hacker». La InformaciónX. Consultado el 26 de febrero de 2022. 
  5. «Ucrania denuncia ciberataque contra Ministerio de Defensa y bancos». Agencia EFE. Consultado el 26 de febrero de 2022. 
  6. a b c «Hackers Bring Down Government Sites in Ukraine». The New York Times. Consultado el 26 de febrero de 2022. 
  7. a b «EXCLUSIVE Hackers likely used software administration rights of third party to hit Ukrainian sites, Kyiv says». Reuters. Consultado el 26 de febrero de 2022. 
  8. «EXCLUSIVE Ukraine suspects group linked to Belarus intelligence over cyberattack». Reuters. Consultado el 26 de febrero de 2022. 
  9. a b «Destructive malware targeting Ukrainian organizations». Microsoft. Consultado el 26 de febrero de 2022. 
  10. «Microsoft Warns of Destructive Cyberattack on Ukrainian Computer Networks». The New York Times. Consultado el 26 de febrero de 2022. 
  11. a b «Cyberattacks knock out sites of Ukrainian army, major banks». Associated Press. Consultado el 26 de febrero de 2022. 
  12. «Ukraine Hacks Signal Broad Risks of Cyberwar Even as Limited Scope Confounds Experts». The Wall Street Journal. Consultado el 26 de febrero de 2022. 
  13. «Ukraine government websites hacked in 'global attack'». DW. Consultado el 26 de febrero de 2022. 
  14. «EU pledges cyber support to Ukraine, pins hopes on Normandy format». Euractiv. Consultado el 26 de febrero de 2022. 
  15. «Ucrania dice que ha sufrido el mayor ciberataque de su historia». El Confidencial. Consultado el 26 de febrero de 2022. 
  16. a b «Ukraine banking and defense platforms knocked out amid heightened tensions with Russia». Netblocks. Consultado el 26 de febrero de 2022. 
  17. «Ukraine Defense Ministry, banks hit by cyberattack amid tensions with Russia». The Hill. Consultado el 26 de febrero de 2022. 
  18. «Ukraine's defence ministry and two banks targeted in cyberattack». Euronews. Consultado el 26 de febrero de 2022. 
  19. «UK assesses Russian involvement in cyber attacks on Ukraine». Gobierno del Reino Unido. Consultado el 26 de febrero de 2022. 
  20. «Biden says he's now convinced Putin has decided to invade Ukraine, but leaves door open for diplomacy». CNN. Consultado el 26 de febrero de 2022. 
  21. «Нова кібератака на банки була "найбільшою в історії України" й досі триває». BBC News. Consultado el 26 de febrero de 2022. 
  22. «Ucrania denuncia un ciberataque masivo contra las webs del Parlamento, del Gobierno y del ministerio de Exteriores». RTVE. Consultado el 26 de febrero de 2022. 
  23. «Ucrania sufre un nuevo ciberataque contra el Gobierno, el Parlamento y entidades bancarias». El Periódico. Consultado el 26 de febrero de 2022. 
  24. a b «Ukraine crisis: 'Wiper' discovered in latest cyber-attacks». BBC News. Consultado el 26 de febrero de 2022. 
  25. «HermeticWiper: New data‑wiping malware hits Ukraine». WeLiveSecurity. Consultado el 26 de febrero de 2022. 
  26. «Ukraine: Disk-wiping Attacks Precede Russian Invasion». Symantec Enterprise Blogs. Consultado el 26 de febrero de 2022. 
  27. «Ukraine: EU deploys cyber rapid-response team». BBC News. Consultado el 26 de febrero de 2022. 
  28. «Україна створює ІТ-армію — Федоров». Suspilne. Archivado desde el original el 28 de febrero de 2022. Consultado el 7 de agosto de 2022. 
  29. «Хакери атакували російські сайти і, ймовірно, зламали російські телеканали». Suspilne. Archivado desde el original el 26 de febrero de 2022. Consultado el 7 de agosto de 2022. 
  30. «На каналах Росії українська музика: хакери зламали телебачення ворогів. Еспресо.Захід». Zahid. Archivado desde el original el 28 de febrero de 2022. Consultado el 7 de agosto de 2022. 
  31. a b «Recent 10x Increase in Cyberattacks on Ukraine». Krebs on Security. Consultado el 7 de agosto de 2022. 
  32. «Ukraine Refugee Situation». UNHCR. Consultado el 7 de agosto de 2022. 
  33. «BGP Hijacking of Twitter Prefix by RTComm.ru». ISC InfoSec. Consultado el 7 de agosto de 2022.