El pasado 14 de enero de 2022, en plena escalada de tensión con el Gobierno ruso, las autoridades de Kiev hacían público que más de 70 de sus organizaciones nacionales se habían visto comprometidas frente a un nuevo ciberataque supuestamente proveniente de Rusia y para el que se habría conocido el malware WhisperGate. A diferencia de ataques anteriores, en muchos casos masivos, todo apunta a que en este caso la herramienta fue diseñada a medida contra Ucrania.
Concretamente, el malware responsable del ciberataque, denominado posteriormente como WhisperGate, apareció según Microsoft por primera vez en los sistemas ucranianos el día 13 de enero de 2022[1] (Microsoft, 2022). No obstante, apenas horas después del ciberataque, tanto el Servicio de Seguridad de Ucrania (SBU) como el Centro de Comunicaciones Estratégicas y Seguridad Informática ucraniano advertían en un comunicado de la existencia de signos de implicación por parte de grupos de piratas informáticos asociados a los servicios secretos rusos en el incidente y hablaban de la «huella» rusa en el ataque informático.
Si bien podría parecernos precipitada la rápida adjudicación de la autoría a Rusia por parte del Gobierno ucraniano[2], lo cierto es que; por un lado, el mensaje “tengan miedo y esperen lo peor” que se mostraba al ejecutarse el malware en pleno auge de una amenaza de invasión rusa a ucrania; y por otro, el hecho de que no sea la primera vez que las infraestructuras estatales ucranianas se hayan visto asediadas por ataques presuntamente provenientes de Rusia, parecen ser motivos suficientes para al menos sospechar que el Kremlin podría estar detrás del ataque.
No podemos olvidar que Ucrania ha sido uno de los campos de prueba predilectos para los cibercriminales en los últimos años. En 2014 en el marco de la escalada de tensión respecto a Crimea, el SBU denunció que soldados rusos tomaron el control de las telecomunicaciones, interviniendo los equipos y teléfonos de miembros del Gobierno y del parlamento ucraniano para interferir así en los comicios electorales que se estaban realizando; en los inviernos de los años 2015 y 2016 Ucrania padeció la paralización de una parte importante de su red eléctrica; y en 2017 experimentó uno de los ataques más sofisticados de los últimos tiempos: el ataque de NotPetya.
WhisperGate: un ciberataque diseñado a medida
Especialmente, la similitud de WhisperGate con NotPetya o con el reciente ciberataque a la empresa SolarWinds –adjudicados por los actores estatales occidentales de forma relativamente contrastada a Rusia– es uno de los motivos por los que Ucrania apunta a Moscú.
En primer lugar, tanto en el ataque a SolarWinds como en WhisperGate, los piratas hackearon la infraestructura de una empresa comercial externa que tenía acceso a los derechos para administrar los recursos web afectados (cadena de suministro) para acceder a través de una puerta trasera a los dispositivos de la víctima. O, dicho de otro modo, en relación al modo de despliegue del malware utilizado por el atacante ambos ciberataques comparten ciertas similitudes.[3]
Además, el hecho de acceder al sistema infectado mediante la utilización de credenciales robadas nos sugiere una alta probabilidad de que los atacantes tuviesen acceso a la red desde meses antes de la implementación total del malware, lo cual nos confirma la existencia tras el ataque de Amenaza Persistente Avanzada (ATP)[4].
En segundo lugar, si bien WhisperGate y NotPetya no resultan ser completamente idénticos en el aspecto técnico del malware, también es cierto que comparten importantes similitudes.
Desde el año 2017, distintos expertos han venido afirmando no solamente que el malware NotPetya ha sido uno de los más dañinos de los que se tiene registros, (causando más de 10.000 millones de dólares en daños), sino también que, pese a afectar a prácticamente las redes de todo el mundo, NotPetya estaba especialmente pensado y dirigido para afectar a Ucrania (O’Neill, 2022).
En este sentido, tanto Microsoft como la división de servicios técnicos de Amazon concluyeron que, es poco probable que los responsables de NotPetya tuviesen como objetivo el impacto global que lograron, sino que, en un primer momento, el malware iba dirigido a empresas privadas ucranianas y pretendía tener un impacto significativo en este país, ya que, aunque NotPetya se disfrazaba inicialmente como un ransomware, en realidad el malware tenía como objetivo real dejar inoperable los sistemas informáticos infectados, es decir, no iba orientado totalmente a la obtención de un lucro económico a través de la exigencia de un pago monetario a modo de rescate.
Precisamente, esta característica es común a WhisperGate, pues al igual que ocurrió con NotPetya, pese a pedir un rescate monetario, el ciberataque del pasado 13 de enero de 2022 tenía como finalidad real la destrucción de los datos, tal y como indica el hecho de que, el malware destruya el registro de arranque maestro (MBR) en lugar de encriptarlo[5] –es decir, de que borre la partición del disco duro responsable de la iniciación del sistema[6].
Sin embargo, pese a que el ataque WhisperGate y NotPetya comparten ciertas similitudes también tienen dos diferencias significativas: por un lado, WhisperGate no posee un mecanismo de propagación basado en SMB[7] que le permita una propagación acelerada y masiva; y por otro, en comparación WhisperGate también resulta menos sofisticado técnicamente.
De estas diferencias se deduce una conclusión fundamental: Ucrania era el objetivo único y exclusivo de la acción, pues en contraste con NotPetya que infectó indiscriminadamente, los responsables tras WhisperGate diseñaron el malware deliberadamente dirigido y acotado contra unos objetivos ucranianos concretos. Concretamente, su diseño trata de reducir al máximo la posibilidad de que el malware llegase a afectar a organizaciones exógenas a Ucrania, al limitar su alcance a la infección de organizaciones que de un modo u otro se relacionan con los proveedores de servicios informáticos ucranianos y que tienen acceso lógico a las redes (Secureworks, 2022).
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment