Actualmente el mundo está observando de cerca el conflicto generado entre Rusia y Ucrania, una guerra originada por diversas disputas que datan de años anteriores, pero que en 2022 ha alcanzado sus peores sucesos. Dicha pelea no se está llevando a cabo únicamente en las calles de las ciudades ucranianas con armas de fuego, sino que también a nivel de ciber seguridad se han evidenciado diferentes ataques, cuyo objetivo es desestabilizar los gobiernos involucrados. Con el objetivo de abordar los acontecimientos previamente indicados se desarrolló una línea de tiempo

07/02/2022 – Se confirma responsabilidad de ataques ejecutados a diferentes sitios web pertenecientes al gobierno ucraniano, por parte del grupo ruso APT Gamaredon, utilizando ataques de phishing, más de 100 muestras de malware, 700 dominios maliciosos diferentes y 215 direcciones IP, según el departamento de seguridad cibernética de Ucrania (SSU) se identificaron más de 5.000 ataques, cuyos responsables fueron identificados como posibles miembros del servicio federal de seguridad ruso (FSB), dichos ataques se generaron desde octubre de 2021 hasta la fecha de detección.

14/02/2022 – El servicio de seguridad ucraniana detectó el método de operación de la denominada “guerra hibrida” ejecutada por Rusia, al desmantelar varias granjas de bots desde las cuales se utilizaban aproximadamente 18.000 cuentas falsas pertenecientes a diferentes redes sociales, las cuales entregaban información falsa para generar pánico en la población ucraniana, los grupos de objetivos y los métodos utilizados para propagar la información se encuentran en la imagen 1.

15/02/2022 – Se generaron Ataques DDoS (denegación de servicio distribuido) exitosos hacia los sitios web pertenecientes al ministerio de defensa, las fuerzas militares y los 2 bancos estatales más importantes de Ucrania (Privatbank y Oschadbank), dichos ataques generaron interrupciones en los servicios anteriormente mencionados, aunque es importante resaltar que para los usuarios bancarios no hubo perdidas monetarias.

19/02/2022 – Estados Unidos y el Reino Unido atribuyen los ataques DDoS al Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de Rusia también conocido como GRU, según el análisis realizado por los principales entes de ciber seguridad de los países mencionados, durante los ataques propiciados el 15 de febrero se detectó un alto volumen de tráfico generado por la infraestructura perteneciente a dicha entidad, hacia diferentes dominios y direcciones IP ubicados en Ucrania.

23/02/2022 – Se detecta la presencia del malware HermeticWiper en cientos de equipos pertenecientes a diversas organizaciones gubernamentales ucranianas, investigadores de ESET y Symantec identificaron el malware cuyo objetivo era eliminar la información de todas las maquinas involucradas, según el análisis realizado por los investigadores la fecha de compilación del malware (28/12/2021) indica que el ataque fue planeado desde el año 2021, además, se utilizó un ransomware como señuelo, ya que, según el análisis estos se ejecutaban de manera paralela, cabe resaltar que en dichas ejecuciones únicamente se detectó el ransonware, lo que indicaría que el objetivo de los atacantes era generar una cortina de humo mientras el verdadero malware realizaba sus actividades maliciosas. Al parecer el acceso de los atacantes a una empresa en Lituania asociada con las entidades ucranianas en el mes de noviembre del 2021, fue el método de acceso a las diferentes máquinas para la ejecución del Wiper.

25/02/2022 – Anonymous inicia sus ataques contra Rusia como respuesta a la invasión sobre Ucrania, una serie de ataques DDoS enfocados en el sitio web del Kremlin y la página del parlamento bajo ruso generaron interrupciones en los servicios de estas, según expertos de ciber seguridad ucranianos, Anonymous intervendrá no solo en ataques focalizados, sino que también ayudará a proteger la infraestructura ucraniana.

25/02/2022 – el CERT ucraniano detecto una campaña de phishing enfocado en el personal de las fuerzas militares ucranianas, dicho ataque fue atribuido al grupo bielorruso de ciber atacantes APT UNC1151, el cual utilizo un método de phishing conocido, intentando engañar a los objetivos para que entreguen sus datos personales, esto con el fin de evitar la desactivación de su cuenta de correo electrónico.

25/02/2022 – El gobierno ucraniano solicitó apoyo a diferentes piratas informáticos, esto con el fin de realizar labores de ataque y defensa contra la infraestructura rusa, a través de diferentes fotos de hackers se emitió un mensaje pidiendo ayuda por parte de Yegor Aushev fundador de la empresa de ciber seguridad ucraniana Cyber Unit Technologies, los voluntarios pueden enviar la solicitud por medio de Google Docs, en donde deben especificar cuáles son sus habilidades. De manera inmediata el grupo de atacantes ruso Conti Ransomware realizo advertencias a todo aquel que colaborara con el gobierno ucraniano, indicando que tomaría represalias contra los grupos o personas que intervinieran en la guerra cibernética.

26/02/2022 – Rusia restringe acceso a Twitter a sus habitantes, en medio del conflicto con Ucrania, el gobierno ruso aplico restricciones a la red social Twitter, esto con el fin de evitar que videos e información de las protestas realizadas por los propios rusos en contra del gobierno de su país fueran replicados en todo el mundo, la entidad NetBlocks hizo públicas las métricas de monitoreo en donde confirma que diversos proveedores rusos estaban bloqueando el acceso a la red social.

27/02/2022 – El gobierno ucraniano se encuentra trabajando en la construcción de un ejército compuesto por expertos en seguridad cibernética y piratas informáticos, por medio de la aplicación Telegram se publicaron 31 objetivos críticos asociados a infraestructura rusa, agencias gubernamentales y entidades bancarias, entre otros, al parecer la convocatoria surtió efecto, teniendo en cuenta que los sitios web del Kremlin y el ministerio de defensa ruso se encontraban abajo, aunque no se descartó que el gobierno ruso los diera de baja para evitar afectaciones por los posibles ataques, de manera paralela Anonymous se encuentra realizando ataques de DDoS hacia diversas plataformas web pertenecientes al gobierno ruso, no se ha confirmado que tanto el ejercito cibernético como Anonymous estén trabajando de manera coordinada, pero sus ataques están surtiendo efecto.

28/02/2022 – Anonymous atacó y filtro documentos del instituto nuclear ruso, el cual monitorea la seguridad de las plantas nucleares de dicho país, según la publicación realizada se filtraron más de 40.000 documentos, el grupo responsable del ataque Battalion 65 relacionado con Anonymous se encuentra solicitando apoyo para traducir dichos documentos, de manera simultánea el grupo en mención interrumpió los servicios de los bancos Belarusbank, Priorbank y Belinvestbank, esto por medio de ataques DDoS.

01/03/2022 – Microsoft identificó un malware denominado como FoxBlade, este troyano utilizaba los equipos infectados para ejecutar ataques DDoS sin que el usuario se diera cuenta, dicho malware fue desplegado horas antes del inicio de la invasión rusa el día 24 de febrero, esto según el centro de inteligencia de amenazas de Microsoft (MSTIC), dicha entidad se encuentra apoyando al gobierno ucraniano con el desarrollo de firmas de detección para este y los demás malware que se han desplegado desde Rusia.

Estos han sido los acontecimientos relacionados con la guerra cibernética que se está presentando en la actualidad, como se puede apreciar el desarrollo tecnológico ha permitido que confrontaciones entre potencias mundiales se desarrollen a nivel de IT algo que años atrás no se hubiera imaginado, cabe resaltar que de presentarse alguna novedad relacionada con este conflicto se realizara la respectiva actualización de este informe.

Para más información puede consultar las siguientes fuentes asociadas a la noticia:

• https://securityaffairs.co/wordpress/128464/cyber-warfare-2/ukraine-volunteer-it-army-targets-russia.html
• https://securityaffairs.co/wordpress/128439/security/russia-restricts-twitter-conflict-ukraine.html
• https://blog.segu-info.com.ar/2022/02/malware-y-riesgos-de-ciberseguridad-por.html
• https://www.bleepingcomputer.com/news/security/ukraine-says-its-it-army-has-taken-down-key-russian-sites/
• https://www.zdnet.com/article/ukraine-security-agency-warns-of-ghostwriter-threat-group-activity-phishing-campaigns/
• https://securityaffairs.co/wordpress/128410/cyber-crime/ukraine-russia-hacking-undergrounds.html
• https://securityaffairs.co/wordpress/128392/hacktivism/anonymous-cyber-attacks-russia.html
• https://securityaffairs.co/wordpress/127729/apt/actinium-gamaredon-ukraine.html
• https://unaaldia.hispasec.com/2022/02/la-tetera-rusa-explota-ucrania-y-rusia-en-guerra-digital.html
• https://securityaffairs.co/wordpress/128019/cyber-warfare-2/russia-targets-ukraine-hybrid-warfare.html
• https://securityaffairs.co/wordpress/128051/hacking/ukraine-military-agencies-banks-hit-by-ddos-attacks-defacements.html