S2Grupo, firma de ciberseguridad asesora de Pedro Sánchez, desvela un ataque de espionaje de Rusia

• Mercadona, el supermercado de Juan Roig, bajo la lupa del Gobierno de Trump: la consideran un "fenómeno cultural"
• Volt Typhoon, el ciberespía vinculado a Pekín que amenaza a Europa en plena polémica con Sánchez y Huawei

S2Grupo, compañía de referencia en Europa y Latinoamérica en ciberseguridad y una de las empresas elegidas por el Gobierno de Pedro Sánchez para abordar el rearme de España y el aumento de la inversión en defensa, ha desvelado la detección de lo que considera una de las operaciones de ciberespionaje más sofisticadas atribuidas a APT29, grupo vinculado al Servicio de Inteligencia Exterior de la Federación Rusa (SVR).

El ataque, detectado y neutralizado en 2019 durante un servicio de respuesta a incidentes por parte de la unidad de ciberinteligencia LAB52 de S2Grupo, se ha apoyado en una familia de implantes bautizada como Easter Bunny, diseñada para espiar de forma silenciosa y prolongada. Pese a que la detección de este malware se realizó en 2019, no han sido reveladas públicamente hasta ahora por «motivos de explotación de la inteligencia obtenida».

En ese año, en Estados Unidos, la administración de Donald Trump gobernaba bajo la sombra de las investigaciones sobre la injerencia rusa en las elecciones de 2016, en las que los servicios de inteligencia estadounidenses concluyeron que Moscú trató de perjudicar a Hillary Clinton y favorecer al candidato republicano. En España, Pedro Sánchez gobernaba tras la moción de censura de 2018 y en un periodo de doble convocatoria electoral. Al mismo tiempo, el conflicto entre Rusia y Ucrania, iniciado en 2014 con la anexión de Crimea y los combates en el Donbás, seguía activo, aunque aún faltaban tres años para la invasión a gran escala de 2022.

Desde la compañía valenciana advierten sobre esta revelación: «No debemos interpretar esta operación como un hecho aislado. La inteligencia rusa (y antes soviética) ha tenido históricamente a España entre sus objetivos. El Departamento de Seguridad Nacional (DSN), en su último Informe Anual de Seguridad Nacional, señala que ‘la principal amenaza es la actividad de los servicios de inteligencia de la Federación Rusa en suelo europeo’ y que, ‘en lo referente a las amenazas híbridas, la Federación Rusa es, de nuevo, la principal fuente de amenaza'».

En este marco, continúa el informe, el ciberespionaje se consolida como «una amenaza real y persistente para nuestro país» y añade que «el ciberespacio ofrece a los actores hostiles múltiples ventajas operativas: negación plausible, asimetría, accesibilidad y agilidad». «Estas características lo convierten en un entorno idóneo para ejecutar, entre otras, operaciones de espionaje y sabotaje, con un impacto creciente sobre la seguridad nacional y la estabilidad económica«, apunta el documento.

«Hemos decidido hacer pública esta información, una vez explotada con fines de inteligencia, porque creemos que la divulgación responsable de conocimiento sobre los adversarios, desde sus estrategias hasta sus procedimientos operativos, fortalece la defensa colectiva: difundir inteligencia técnica no solo amplía la comprensión de las amenazas y mejora su detección, sino que también obliga a los adversarios a modificar sus tácticas, incrementando sus costes y reduciendo su efectividad operativa», señala en un escrito el CEO y socio fundador de S2Grupo, José Miguel Rosell.

«Confiamos en que la información aquí expuesta contribuya a conocer mejor a APT29 y, especialmente, a revelar su modus operandi. Publicarla es un acto de defensa activa: hacer visible al adversario, limitar su libertad de acción y reforzar la resiliencia del ecosistema digital europeo«, sentencia Rosell.

Los objetivos del ciberataque ruso

El informe describe dos grandes objetivos de este tipo de ciberataques. Por un lado, la persistencia para la adquisición de inteligencia. Esto es, actuar como implante en la organización, cargando módulos capaces de obtener credenciales de usuario actualizadas y eludiendo los mecanismos habituales de caducidad y renovación de contraseñas.

Y, en segundo lugar, actuar como puerta trasera operativa: permitir a los operadores reintroducir, a voluntad, otras herramientas, ya sean artefactos de post-explotación (Stage 2, Cobalt Strike, Sliver…) u otros módulos orientados a la exfiltración de información (Stage 3), como recolectores de ficheros, documentos o correos electrónicos.

Además, su arquitectura revela el uso de múltiples builders o binders que, «como una Matrioshka«, ocultan la verdadera lógica del binario. La ingeniería de malware aplicada dota a la muestra de capacidades avanzadas de ocultación y evasión frente a los sistemas de detección tradicionales.

Los objetivos de inteligencia de este malware

El informe de S2Grupo indica que el principal interés del grupo vinculado al Gobierno de Putin pasa por la obtención de inteligencia de organismos gubernamentales, no gubernamentales y Think Tanks de Europa, Asia Central y lo que se denomina los Cinco Ojos o Five Eyes (EE.UU., Canadá, Australia, Reino Unido y Nueva Zelanda). En especial suelen focalizar sus esfuerzos en ministerios de Exteriores, delegaciones diplomáticas y organizaciones relacionadas con la defensa nacional.

De estos normalmente tratarán de comprometer sus servicios de correo electrónico, así como los buzones de víctimas alineadas con sus intereses estratégicos. No obstante, en ciertas ocasiones, APT29 persigue el robo de patentes y conocimiento. Para conseguirlo puede incluso atacar a la cadena de suministro como puente a la organización destino.

Cuando la operación es descubierta, por ejemplo cuando se publica un informe de amenaza por parte de una empresa de inteligencia, son capaces de reaccionar rápidamente, cambiando y adaptando sus herramientas e incluso sus TTP (Técnicas Tácticas y Procedimientos). APT29 destaca por su capacidad de adaptar el malware utilizado para sus campañas a la organización objetivo, extremando las acciones durante todo el proceso de la intrusión para no ser detectados, explica el documento de esta compañía asesora del Gobierno de España.

Si durante este proceso identifican que la víctima es de especial interés a largo plazo, despliegan un conjunto de implantes que les permiten persistir en la organización de forma silenciosa. Normalmente, estas piezas de malware tienen un doble objetivo: por una parte establecer una persistencia de exfiltración de la inteligencia (correos electrónicos por ejemplo) y por otra parte, a consecuencia de lo anterior, disponer de una persistencia de credenciales que les permita suplantar a sus víctimas, como es el caso de la presente familia ‘EasterBunny’.

Primeras detecciones, en la guerra de Chechenia y en las elecciones de EE.UU.

El informe también relata que las primeras evidencias de APT29 se remontan a 2008, durante la segunda guerra de Chechenia. Ya en 2015 se les atribuye un «compromiso muy notorio» en la interferencia en las elecciones estadounidenses -que acabaría ganando Donald Trump y que llevaría a su primer mandato- a través de la infiltración en el Partido Demócrata durante la Democratic National Convention (DNC).

Ya en 2020, y en plena explosión de la pandemia por Covid-19, APT29 sustrajo información confidencial referente a las vacunas occidentales de empresas farmacéuticas de países como Canadá, USA y Reino Unido, recuerda el informe.

Al margen de lo anterior, y en el mismo año, el documento también subraya que fueron los autores de «uno de los mayores compromisos vistos hasta la fecha», el ‘hackeo’ a la empresa proveedora de servicios IT SolarWinds. En este caso, APT29 fue capaz de modificar el proceso de desarrollo de código de la compañía, para ‘troyanizar’ su software de gestión remota de sistemas Orion y de esta manera poder entrar en todas aquellas organizaciones que lo utilizaban de forma completamente legítima a través del proceso normal de actualización de la solución.

«Dadas sus capacidades se puede inferir que APT29 es un grupo muy bien financiado y de una envergadura importante, el cual podría disponer de una estructura interna segmentada por grupos de operación en función del objetivo. S2Grupo y su división de inteligencia de amenazas, LAB52, han tenido acceso a un total de 10 artefactos diferentes de la familia EasterBunny», concluye este informe.