En el ciberespacio nadie te oirá gritar. Es una guerra silenciosa que se desarrolla en las redes y que puede marcar la diferencia en los campos de batalla reales. A principios de febrero de 2022, justo antes de la invasión de Ucrania por las fuerzas rusas, piratas informáticos vinculados a la unidad 26165 de la inteligencia militar rusa, el GRU, consiguieron infiltrarse progresivamente en el corazón de una empresa cuya actividad se considera sensible en Washington (Estados Unidos). .
Su objetivo: el espionaje con la recopilación de datos de expertos y proyectos secretos que involucran a Ucrania. El grupo detrás del ciberataque ha sido identificado como GruesomeLarch, también conocido como APT28 (Forest VentiscaVentiscaSofacy, Oso de lujo). Un grupo de hackers rusos, entre ellos futura Ya ha mencionado las escapadas en numerosas ocasiones. Meticuloso, el método es original aunque laborioso. Los operadores dieron pequeños pasos y se abrieron paso hacia su objetivo a través de una sucesión de redes Wi-Fi corporativas.
Los elementos de esta operación acaban de ser revelados por la empresa Volexity, que publicó su investigación sobre el tema más de dos años después de la invasión. La infiltración nunca se habría detectado si la empresa no hubiera desplegado un módulo de detección en uno de sus clientes. Es a partir de esto que los investigadores pudieron desarrollar la ruta de este ataque furtivo y sin precedentes en la forma en que se desarrolló.
El ataque del “barrio cercano”
Para avanzar hacia su objetivo, los piratas primero entraron en un computadoracomputadora mal protegido. Fue a través de este vector que pudieron activar una conexión Wi-Fi, a partir de esta lograron conectarse a otra red Wi-Fi cuya seguridad estaba fallando. Es con esta red que el grupo se conecta a la de la empresa objetivo. La ironía es que este último simplemente estaba ubicado al otro lado de la calle. Es decir, los hackers avanzaron de forma lenta pero segura a través de las redes hasta conseguir su objetivo, sin dejar rastro alguno de su paso.
En ese momento, Volexity logró neutralizar el ataque, pero los hackers volvieron a atacar. a través de redes ya hackeadas e incluso tomando otras rutas, como la de un vpnvpn corrupto. Es esta práctica tan particular con un objetivo claro la que permitió atribuir este ataque a este grupo ATP28, cuyos métodos sólo pueden inspirarse en el Kremlin. La historia no dice si los datos recopilados podrían haber sido de alguna utilidad para promover los objetivos bélicos de Rusia.
