Google intercepta una campaña de piratas informáticos asociados a Rusia que por primera vez se dirigía contra partidos políticos europeos
REUTERS/Kacper Pempel
- Mientras la Unión Europea adopta un tono cada vez más bélico, ciberexpertos de Google detectan un intento de ciberataque que tuvo a la CDU alemana como objetivo.
- La campaña estaría orquestada por un grupo asociado a la inteligencia rusa (el SVR y el FSB) y utiliza por primera vez un partido político como diana.
Mandiant, una de las filiales de Google dedicada a la ciberseguridad, saltó a la palestra global hace algo más de una década por atribuir, por vez primera, varios ciberataques a piratas informáticos ligados con China. Ahora, la compañía ha anunciado haber detectado un intento de distribuir malware por parte de una amenaza persistente avanzada con vínculos con el Estado ruso.
En la jerga de la ciberseguridad, el nombre de amenaza persistente avanzada (APT, por sus siglas en inglés) es la forma con la que especialistas de medio mundo bautizan a organizaciones de piratas informáticos ligados a un país o a una organización gubernamental. Cada APT tiene un doble dígito asignado y luego la comunidad cíber se encarga de ponerle un apelativo algo más cariñoso.
Así, Mandiant ha anunciado en la madrugada de este domingo al lunes haber detectado una campaña que intentaba distribuir malware en Alemania. Pero lo inédito de este hallazgo es que por primera vez la APT29, también conocida como Cozy Bear —oso amistoso, en inglés— tenía por objetivo la CDU, el partido político alemán que se integra en el PP europeo.
Es la primera vez que Mandiant y Google ven un intento de ataque de la APT29 contra partidos políticos. Habitualmente, sus objetivos están en misiones diplomáticas o agencias gubernamentales. Los especialistas vinculan habitualmente a la APT29 con el Servicio de Inteligencia Exterior de Rusia, el SVR, o con el Servicio Federal de Seguridad del mismo país, el FSB, heredero de la KGB.
El intento de ciberataque ruso se resume en el envío de correos electrónicos suplantando a la CDU. En los correos, dirigidos a personalidades del país europeo, se invitaba a un acto del partido. Los incautos que abrían el correo podían acabar pinchando en un enlace que dirigía a un dominio comprometido.
A través de ese sitio web malicioso se instalaba una puerta trasera conocida como WINELOADER en los dispositivos de sus víctimas. Esa backdoor fue observada por primera vez en la red el pasado mes de enero, mientras que la campaña de correos phishing fue interceptada el mes pasado, en febrero.
El Centro Nacional de Ciberseguridad de Reino Unido ya dio la voz de alarma por esas fechas tras observar los últimos movimientos de Cozy Bear. Mandiant concluye que detrás de esta campaña de phishing se encuentran estos piratas informáticos ligados a Rusia puesto que WINELOADER comparte características con otros malware desarrollados por la organización previamente.
Aunque este primer ataque haya sido detectado sobre la CDU —y su fin último podría intentar acceder a servicios en la nube de partidos políticos alemanes—, Mandiant advierte en su aviso remitido a los medios que estas operaciones de distribución detectadas son "altamente adaptables" y siguen evolucionando "al compás de las realidades geopolíticas de Rusia".
Un aviso para Alemania, para Europa y para el resto del mundo
De hecho, la compañía de Google insiste en que más allá del phishing la meta podría ser subvertir "mecanismos de autenticación" o aplicar métodos de fuerza bruta para conseguir contraseñas, y que estas campañas no estarían limitadas en realidad a Alemania. La Unión Europea celebra elecciones comunitarias el próximo mes de junio, entre los días 6 y 9.
"Este objetivo, la CDU, debería servir como aviso para otros partidos y grupos de la sociedad civil en Europa y Occidente: casi seguro que también están en el punto de mira del Kremlin. Deberían reforzar la conciencia en ciberseguridad de sus equipos para protegerse mejor de estas técnicas", concluye Dan Black, el analista principal de Mandiant, filial dependiente de Google Cloud.
Por su parte, John Hultquist, analista jefe en Mandiant Intelligence, recuerda que el Servicio de Inteligencia Exterior (SVR) ruso "siempre se ha encargado de ayudar a Rusia a entender y predecir la política occidental". "La necesidad de esa información es especialmente aguda a la luz de la guerra en Ucrania y de las próximas elecciones".
"Este incidente detectado se relaciona con un esfuerzo de spearphishing a largo plazo que históricamente se ha observado en diplomáticos, aunque ahora con un cambio notable: se dirige a partidos políticos. Nos preocupa que no sea un caso aislado y que otras entidades, incluso las ajenas a la política, puedan ser objetivos de APT en un futuro próximo", asevera Hultquist.
En ese sentido, el especialista abunda en que no hay razones para creer que esta actividad observada "se limite a un único partido o país". "Casi seguro que las respuestas que busca Rusia están repartidas entre distintas organizaciones" y todas pueden ser objeto de "esfuerzos". "Alemania, Europa y EEUU deberían estar preocupadas".
No es la primera vez que se observa o acusa a Rusia de tratar de acceder a información relacionada con organizaciones políticas occidentales. La comunidad de inteligencia estadounidense acusó al Kremlin de haber injerido en las elecciones presidenciales que vivió el país norteamericano en 2016 y que auparon a Donald Trump al poder.
Este 2024 es considerado uno de los mayores años de elecciones de la historia. Además de las elecciones comunitarias en la Unión Europea, EEUU también celebra presidenciales, con Trump y el actual presidente Joe Biden disputándose otros cuatro años en la Casa Blanca.
En los últimos días el discurso en la Unión Europea se ha recrudecido y los Veintisiete viven ahora una suerte de momento de preguerra preocupante. El presidente francés, Emmanuel Macron, ha avisado de que no descarta operaciones terrestres en Ucrania. Los países de la Unión debaten ahora el uso de eurobonos para financiar la compra de armas.
La semana pasada, sin ir más lejos, los líderes de los Veintisiete, reunidos en Cumbre en Bruselas, subrayaron la "necesidad imperativa de mejorar y coordinar la preparación militar y civil y la gestión estratégica de crisis en el contexto del cambiante panorama de amenazas". En Europa suenan tambores de guerra, y la percusión en el ciberespacio ya se está practicando.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.