La unidad de investigación e inteligencia sobre amenazas de Google Cloud, Mandiant, ha atribuido hoy formalmente las campañas de ciberespionaje y guerra llevadas a cabo por un actor ruso ampliamente conocido como Sandworm, atribuyendo sus ataques a un nuevo grupo independiente de amenazas persistentes avanzadas (APT) que de ahora en adelante Seguimiento como APT44.
Con sus intrusiones que se remontan a la anexión ilegal de Crimea por parte de Rusia en 2014, APT44 ha estado activo durante más de una década y estuvo involucrado en muchos ciberataques estatales rusos de alto perfil, incluidos ataques de piratería y filtración en las elecciones estadounidenses de 2016, el Incidente de NotPetya y ataques a los Juegos Olímpicos de Invierno de 2018 en Corea del Sur.
Desde finales de 2021, su trabajo se ha centrado en gran medida en Ucrania, donde ayudó a sentar las bases para el ataque de Moscú a Kiev en febrero de 2022 con una campaña de ciberataques que implementan malware destructivo. Desde entonces, la unidad ha llevado a cabo múltiples ataques contra objetivos en Ucrania.
APT44 está dirigido por la Unidad 74455 en el Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GU), más conocida como la Dirección Principal de Inteligencia (GRU), fundada por Joseph Stalin durante la era soviética, aunque no debe confundirse con la KGB.
“APT44 es el actor de amenazas más descarado que existe, en medio de una de las campañas de actividad cibernética más intensas que jamás hayamos visto, en pleno apoyo a la guerra de agresión territorial de Rusia”, dijo Dan Black, gerente de ciberseguridad. análisis de espionaje en Mandiant y uno de los autores principales del nuevo informe de Mandiant sobre APT44. “Hoy en día no existe ningún otro actor de amenazas que merezca más nuestra atención colectiva, y la amenaza que representa APT44 está evolucionando rápidamente.
“A lo largo de la guerra, hemos visto la postura de APT44 alejarse de la disrupción como su enfoque principal hacia el espionaje para proporcionar ventaja en el campo de batalla a las fuerzas convencionales de Rusia”, dijo. “Esto no quiere decir que el sabotaje esté descartado, sino que APT44 parece mucho más calculado sobre los objetivos que persigue y las capacidades que opta por utilizar. Se trata de un adversario altamente adaptable e innovador que claramente está absorbiendo lecciones sobre cómo las operaciones cibernéticas pueden respaldar mejor una guerra larga y está ajustando sus métodos en consecuencia”.
Mandiant dijo que las operaciones de APT44 en apoyo de los objetivos de Moscú han demostrado ser “táctica y operativamente adaptables” y que la operación estaba notablemente bien integrada con las actividades del ejército ruso. Ninguna otra APT del gobierno ruso ha desempeñado un papel más central en la configuración de la guerra convencional en Ucrania, añadió.
¿Porqué ahora?
Los expertos en seguridad cibernética tienden a ser unánimes en que la atribución es un asunto complejo que requiere una intensa investigación y evaluación de la evidencia. Esto es válido incluso cuando las actividades de un grupo específico son bien conocidas en la comunidad de seguridad y están ampliamente documentadas en publicaciones de blogs, artículos de investigación y en los medios de comunicación.
Si existe incluso un ligero grado de duda sobre la evidencia disponible, puede ser extremadamente inútil, incluso imprudente, atribuir firmemente cualquier campaña cibernética a un individuo o grupo conocido, incluso si tiene buenas intenciones. Hacerlo puede causar problemas a los defensores, quienes por error pueden ir persiguiendo algo equivocado, y provocar otras consecuencias no deseadas. Incluso puede molestar a los actores de amenazas, que son notoriamente obsesionados con sí mismos y de piel fina, y provocar que arremetan de maneras imprevistas.
Como tal, hasta ahora no ha sido posible hacer declaraciones seguras sobre la naturaleza precisa de Sandworm por una serie de razones, entre ellas conversaciones sobre superposición operativa entre APT44 y otros grupos como APT28 (también conocido como Fancy Bear), lo que de hecho ” sentarse al otro lado del corredor” bajo los auspicios de la Unidad 26165 del GTsST (las dos operaciones probablemente hayan trabajado juntas en una serie de campañas de alto perfil, según Mandiant).
Pero al darle una designación formal y segura, Mandiant dijo que será más fácil para los defensores a nivel mundial identificar y rastrear su actividad, compartiendo inteligencia de manera más apropiada con la esperanza de frustrar los objetivos del grupo.
¿Por qué deberían necesitar hacerlo? Porque, dijo Mandiant, la amenaza que representa APT44 está lejos de limitarse a Ucrania. Se han observado operaciones de APT44 en todo el mundo y, dado que el grupo tiene un historial de interferencia en procesos democráticos, su potencial de amenaza es muy elevado en 2024, dada la cantidad de elecciones que se llevarán a cabo y que probablemente serán objeto de interferencia rusa.
De hecho, Mandiant describe APT44 como una amenaza persistente y de alta gravedad tanto para los gobiernos como para los operadores de infraestructura nacional crítica en estados donde Rusia percibe que tiene un interés nacional, incluido el Reino Unido. APT44, con sus capacidades avanzadas, su alta tolerancia al riesgo y su mandato para apoyar los objetivos de política exterior del Kremlin, coloca a dichas organizaciones en riesgo de caer en sus garras sin previo aviso.
Sumado a esto, Mandiant dijo que APT44 representa un riesgo de proliferación significativo para nuevas tácticas, técnicas y procedimientos de ataque cibernético, lo que reduce la barrera de entrada para que los actores de amenazas tanto respaldados por el estado como motivados financieramente desarrollen sus propias campañas.
De cara al futuro, los investigadores dijeron que APT44 “casi con certeza” seguirá representando una de las amenazas cibernéticas más amplias y mayores a nivel mundial en el futuro previsible. Su historial de participación en algunos de los ataques cibernéticos más conocidos de la última década sugiere que “no hay límite para los impulsos nacionalistas” que alimentan sus operaciones.
Y el hecho de que haya estado vinculado a Ucrania no significa que no vaya a girar hacia el Reino Unido y Estados Unidos si sus pagadores consideran que hacerlo está justificado. Los próximos enfrentamientos entre Rishi Sunak y Keir Starmer y Joe Biden y Donald Trump bien pueden llamar su atención.
“La amenaza del APT44 no termina en las fronteras de Ucrania”, afirmó Black. “A pesar de la guerra en curso, seguimos viendo operaciones de APT44 a nivel mundial. Hemos visto al grupo experimentar con el uso de ransomware contra redes de transporte y logística en Europa.
“Y con una serie de elecciones cruciales en el horizonte, algunas de las cuales darán forma a la trayectoria de la futura ayuda militar occidental a Ucrania, el historial de APT44 de intentar interferir en los procesos democráticos significa que la vigilancia en torno a este grupo es de suma importancia”, dijo.