S2Grupo, assessora de ciberseguretat de Pedro Sánchez, reforça la tesi d’espionatge rus sostingut a Espanya
La firma de ciberseguretat detalla nous descobriments sobre EasterBunny i avisa que l’operació “no s’ha d’interpretar com un fet aïllat”
Oficines de la companyia de ciberseguretat S2Grupo
Comentarios
S2Grupo, companyia de referència a Europa i Amèrica Llatina en ciberseguretat i una de les empreses triades pel Govern de Pedro Sánchez per abordar el rearmament d’Espanya i l’augment de la inversió en defensa, ha fet públic un nou informe de la seua unitat LAB52 sobre EasterBunny, un implant que vincula a APT29, grup “presumptament vinculat al Servei d’Intel·ligència Exterior de la Federació Russa (SVR)”, i que la firma situa en el marc d’una operació de ciberespionatge “particularment avançada” neutralitzada en 2019.
En el document, la companyia sosté que “no hem d’interpretar aquesta operació com un fet aïllat” i afegeix que “la intel·ligència russa (i abans soviètica) ha tingut històricament Espanya entre els seus objectius”.
El nou informe amplia les troballes ja avançades per aquest diari sobre aquella operació detectada en 2019. Si en la informació publicada per Economia Digital S2Grupo explicava que l’atac es va recolzar en una família d’implants batejada com EasterBunny i que els detalls no s’havien revelat fins ara per “motius d’explotació de la intel·ligència obtinguda”, el document difós ara afegeix que presenta, “després de diversos anys”, “una anàlisi tècnica dels principals artefactes vinculats a aquella operació en la qual els nostres equips van estar implicats fa anys”.
Entre les principals aportacions d’aquest nou informe, S2Grupo subratlla que LAB52 ha realitzat “per primera vegada de forma pública” una “anàlisi exhaustiva” d’EasterBunny, al qual defineix com “un dels artefactes d’espionatge més avançats atribuïts a APT29”. El document també insisteix que es tracta d’un malware “d’una sofisticació tècnica excepcional i amb una arquitectura operativa modular” i afegeix que la mostra forma part de “una de les amenaces més sofisticades i rellevants que S2Grupo ha estudiat fins a la data”.
El informe incorpora a més més context sobre l’abast de l’operació. S2Grupo explica que va tindre accés a “un total de 10 artefactes diferents de la família EasterBunny” i remarca que es tractava de peces “privades”, és a dir, no localitzades a VirusTotal ni en altres fonts públiques consultades. La companyia assenyala també que la campanya va sorprendre els seus experts “pel seu nivell de personalització: malware i infraestructura completament personalitzats per a la víctima”, fet que feia “inviable la seua detecció mitjançant indicadors de compromís convencionals”.
Una amenaça “real i persistent” per a Espanya
En la informació que ja va publicar aquest diari, S2Grupo ja advertia que aquella actuació havia de llegir-se en un context més ampli. El nou informe insisteix en això i cita el Departament de Seguretat Nacional per a sostindre que “la principal amenaça és l’activitat dels serveis d’intel·ligència de la Federació Russa en sòl europeu” i que, “pel que fa a les amenaces híbrides, la Federació Russa és, de nou, la principal font d’amenaça”. A partir d’ací, LAB52 conclou que “el ciberespionatge es consolida com una amenaça real i persistent per al nostre país”.
El document també detalla amb més claredat quina era la finalitat d’aquest tipus d’implants. Segons S2Grupo, EasterBunny perseguia dos objectius principals. El primer era la “persistència per a l’adquisició d’intel·ligència”, és a dir, mantindre’s dins de l’organització i continuar obtenint informació. El segon era actuar com a “porta posterior operativa”, permetent als operadors tornar a introduir altres eines i mòduls orientats a l’exfiltració de dades, entre ells “recollidors d’arxius, documents o correus electrònics”.
LAB52 afegeix que l’“interès principal” d’APT29 és “l’obtenció d’intel·ligència d’organismes governamentals, no governamentals i Think Tanks d’Europa, Àsia Central i allò que es denomina els Cinc Ulls”, amb especial focus en “Ministeris d’Afers Exteriors, delegacions diplomàtiques i organitzacions relacionades amb la defensa nacional”. L’informe sosté a més que, quan la víctima és d’“especial interès a llarg termini”, el grup “desplega un conjunt d’implants que li permeten persistir en l’organització de forma silenciosa”.
APT29, grup relacionat amb la interferència en les eleccions dels EUA
En la peça ja publicada per aquest diari, S2Grupo recordava també l’historial d’APT29, al qual diverses firmes d’intel·ligència han relacionat amb la interferència en les eleccions nord-americanes i amb el cas SolarWinds, un dels majors compromisos informàtics atribuïts a aquest grup.
El nou informe recupera part d’eixe recorregut i assenyala que les primeres evidències del grup “es remunten a 2008, durant la segona guerra de Txetxènia”, mentre que en 2015 se li va atribuir “la interferència en les eleccions nord-americanes a través de la infiltració en el Partit Demòcrata”. També recorda que en 2020 va sostreure informació confidencial sobre vacunes occidentals i que va estar darrere de “un dels majors compromisos vistos fins a la data”, el de SolarWinds.
José Miguel Rosell, CEO i soci cofundador de S2Grupo, justifica la publicació de l’anàlisi en la necessitat de fer visible l’activitat de l’adversari. “Confiem que la informació ací exposada contribuïsca a conéixer millor APT29 i, especialment, a revelar el seu modus operandi”, afirma. “Publicar-la és un acte de defensa activa: fer visible l’adversari, limitar la seua llibertat d’acció i reforçar la resiliència de l’ecosistema digital europeu”, afegeix.
