S2Grupo, empresa de ciberseguretat assessora de Pedro Sánchez, revela un atac d’espionatge de Rússia.
Este grup relacionat amb la intel·ligència del Kremlin, el qual atac va ser neutralitzat en 2019, hauria actuat en la segona guerra de Txetxènia i en les eleccions estatunidenques de 2015, a través d'una infiltració en el Partit Demòcrata.
(Foto d’ARXIU) El president d’Ucraïna, Volodímir Zelenski (d), ofereix declaracions als mitjans de comunicació després de reunir-se amb el president del Govern, Pedro Sánchez (i), a 21 d’abril de 2022, a Kíiv (Ucraïna). Pool Moncloa/Borja Puig de la Bellacasa
Comentarios
S2Grupo, companyia de referència a Europa i Llatinoamèrica en ciberseguretat i una de les empreses triades pel Govern de Pedro Sánchez per a abordar el rearmament d’Espanya i l’augment de la inversió en defensa, ha desvetllat la detecció del que considera una de les operacions de ciberespionatge més sofisticades atribuïdes a APT29, grup vinculat al Servei d’Intel·ligència Exterior de la Federació Russa (SVR).
L’atac, detectat i neutralitzat en 2019 durant un servei de resposta a incidents per part de la unitat de ciberintelligència LAB52 de S2Grupo, s’ha recolzat en una família d’implants batejada com Easter Bunny, dissenyada per a espiar de manera silenciosa i prolongada. Malgrat que la detecció d’aquest malware es va realitzar en 2019, no han sigut revelades públicament fins ara per “motius d’explotació de la intel·ligència obtinguda”.
Eixe any, als Estats Units, l’administració de Donald Trump governava sota l’ombra de les investigacions sobre la interferència russa en les eleccions de 2016, en les quals els serveis d’intel·ligència nord-americans van concloure que Moscou va tractar de perjudicar a Hillary Clinton i afavorir al candidat republicà. A Espanya, Pedro Sánchez governava després de la moció de censura de 2018 i en un període de doble convocatòria electoral. Al mateix temps, el conflicte entre Rússia i Ucraïna, iniciat en 2014 amb l’annexió de Crimea i els combats al Donbass, seguia actiu, encara que encara faltaven tres anys per a la invasió a gran escala de 2022.
Des de la companyia valenciana adverteixen sobre aquesta revelació: “No hem d’interpretar aquesta operació com un fet aïllat. La intel·ligència russa (i abans soviètica) ha tingut històricament a Espanya entre els seus objectius. El Departament de Seguretat Nacional (DSN), en el seu últim Informe Anual de Seguretat Nacional, assenyala que ‘la principal amenaça és l’activitat dels serveis d’intel·ligència de la Federació Russa en sòl europeu’ i que, ‘en referència a les amenaces híbrides, la Federació Russa és, de nou, la principal font d’amenaça'”.
En aquest marc, continua l’informe, el ciberespionatge es consolida com “una amenaça real i persistent per al nostre país” i afig que “el ciberespai ofereix als actors hostils múltiples avantatges operatius: negació plausible, asimetria, accessibilitat i agilitat”. “Aquestes característiques el converteixen en un entorn idoni per a executar, entre altres, operacions d’espionatge i sabotatge, amb un impacte creixent sobre la seguretat nacional i l’estabilitat econòmica“, apunta el document.
“Hem decidit fer pública aquesta informació, una vegada explotada amb fins d’intel·ligència, perquè creiem que la divulgació responsable de coneixement sobre els adversaris, des de les seues estratègies fins als seus procediments operatius, enforteix la defensa col·lectiva: difondre intel·ligència tècnica no sols amplia la comprensió de les amenaces i millora la seua detecció, sinó que també obliga als adversaris a modificar les seues tàctiques, incrementant els seus costos i reduint la seua efectivitat operativa”, assenyala en un escrit el CEO i soci fundador de S2Grupo, José Miguel Rosell.
“Confiem que la informació ací exposada contribuïsca a conéixer millor a APT29 i, especialment, a revelar el seu modus operandi. Publicar-la és un acte de defensa activa: fer visible a l’adversari, limitar la seua llibertat d’acció i reforçar la resiliència de l’ecosistema digital europeu“, sentencia Rosell.
Els objectius del ciberatac rus
L’informe descriu dos grans objectius d’aquest tipus de ciberatacs. D’una banda, la p Persistència per a l’adquisició d’intel·ligència. Això és, actuar com a implant en l’organització, carregant mòduls capaços d’obtenir credencials d’usuari actualitzades i eludint els mecanismes habituals de caducitat i renovació de contrasenyes.
I, en segon lloc, actuar com a porta darrere operativa: permetre als operadors reintroduir, a voluntat, altres eines, ja siguen artefactes de post-explotació (Stage 2, Cobalt Strike, Sliver…) o altres mòduls orientats a l’exfiltració d’informació (Stage 3), com a recol·lectors de fitxers, documents o correus electrònics.
A més, la seua arquitectura revela l’ús de múltiples builders o binders que, “com una Matrioshka“, oculten la veritable lògica del binari. L’enginyeria de malware aplicada dota a la mostra de capacitats avançades d’ocultació i evasió davant els sistemes de detecció tradicionals.
Els objectius d’intel·ligència d’aquest malware
L’informe de S2Grupo indica que l’interès principal del grup vinculat al Govern de Putin passa per l’obtenció d’intel·ligència d’organismes governamentals, no governamentals i Think Tanks d’Europa, Àsia Central i el que es denomina els Cinc Ulls o Five Eyes (EUA, Canadà, Austràlia, Regne Unit i Nova Zelanda). Especialment solen focalitzar els seus esforços en ministeris d’Afers Exteriors, delegacions diplomàtiques i organitzacions relacionades amb la defensa nacional.
D’aquests normalment tractaran de comprometre els seus serveis de correu electrònic, així com els bussons de víctimes alineades amb els seus interessos estratègics. No obstant això, en certes ocasions, APT29 persegueix el robatori de patents i coneixement. Per a aconseguir-ho pot fins i tot atacar a la cadena de subministrament com a pont a l’organització destí.
Primeres deteccions, en la guerra de Txetxènia i en les eleccions dels EUA.
L’informe també relata que les primeres evidències d’APT29 es remunten a 2008, durant la segona guerra de Txetxènia. Ja en 2015 se’ls atribueix un “compromís molt notori” en la interferència en les eleccions nord-americanes -que acabaria guanyant Donald Trump i que portaria al seu primer mandat- a través de la infiltració en el Partit Demòcrata durant la Democratic National Convention (DNC).
Ja en 2020, i en plena explosió de la pandèmia per Covid-19, APT29 va substraure informació confidencial referent a les vacunes occidentals d’empreses farmacèutiques de països com Canadà, EUA i Regne Unit, recorda l’informe.
Al marge de l’anterior, i en el mateix any, el document també subratlla que van ser els autors de “un dels majors compromisos vistos fins a la data”, el ‘hackeig’ a l’empresa proveïdora de serveis IT SolarWinds. En aquest cas, APT29 va ser capaç de modificar el procés de desenvolupament de codi de la companyia, per a ‘troyanitzar’ el seu software de gestió remota de sistemes Orion i d’aquesta manera poder entrar en totes aquelles organitzacions que l’utilitzaven de manera completament legítima a través del procés normal d’actualització de la solució.
“Donades les seues capacitats es pot inferir que APT29 és un grup molt ben finançat i d’una envergadura important, el qual podria disposar d’una estructura interna segmentada per grups d’operació en funció de l’objectiu. S2Grupo i la seua divisió d’intel·ligència d’amenaces, LAB52, han tingut accés a un total de 10 artefactes diferents de la família EasterBunny”, conclou aquest informe.
