El Equipo de Respuesta a Emergencias Informáticas del estado de Ucrania (CERT-UA) recurrió hoy a las redes sociales para advertir a los ucranianos sobre un número creciente de ataques de phishing dirigidos a dispositivos en el país tras la invasión de las fuerzas armadas rusas.
En un aviso publicado en Facebook, CERT-UA dijo que se habían observado correos electrónicos masivos de phishing dirigidos a las cuentas del personal militar ucraniano y personas relacionadas. Atribuyó los ataques a un grupo de amenazas persistentes avanzadas (APT) rastreado como UNC1151, con sede en el Ministerio de Defensa de Bielorrusia en Minsk. Bielorrusia es considerada como un estado cliente del régimen ruso.
El director de Mandiant, Ben Read, que ha estado rastreando UNC1151, dijo: “Estamos monitoreando informes de phishing generalizado de personas ucranianas por parte de UNC1151. Podemos vincular la infraestructura informada por CERT-UA con UNC1151, pero no hemos visto los mensajes de phishing directamente. Sin embargo, UNC1151 ha tenido como objetivo a Ucrania y especialmente al ejército ucraniano durante los últimos dos años, por lo que esta actividad coincide con su patrón histórico.
“Estas acciones de UNC1151, que creemos que están vinculadas al ejército bielorruso, son preocupantes porque los datos personales de los ciudadanos y militares ucranianos pueden explotarse en un escenario de ocupación y UNC1151 ha utilizado sus intrusiones para facilitar la campaña de operaciones de información de Ghostwriter. La filtración de documentos engañosos o fabricados tomados de entidades ucranianas podría aprovecharse para promover narrativas favorables a Rusia y Bielorrusia”, dijo Read a Computer Weekly en comentarios enviados por correo electrónico.
“Ghostwriter ha apuntado previamente a la alianza de la OTAN, buscando erosionar el apoyo a la organización. No me sorprendería que se vieran operaciones similares en un futuro cercano”, agregó.
Advertencias del CERT-UA fueron corroborados por el Servicio Estatal de Protección de Información y Comunicaciones Especiales de Ucrania (SSSCIP), mientras que la empresa de seguridad cibernética ESET también ha advertido a los que están fuera de Ucrania que tenga cuidado con los intentos de phishing relacionados con la guerra.
Junto con la invasión militar en curso de Ucrania por parte del líder ruso Vladimir Putin, los organismos gubernamentales y otras organizaciones dentro del país ya han sido objeto de una ola sostenida de ataques cibernéticos, que incluyen acciones de denegación de servicio distribuida (DDoS) e intrusiones destructivas dirigidas con un malware llamado HermeticWiper. Estos ciberataques se intensificaron antes de la invasión del 24 de febrero y muestran pocas señales de disminuir.
En un comunicado publicado el 23 de febrero, antes del ataque cinético, el SSSCIP de Ucrania dijo: “Los ataques de phishing contra las autoridades públicas y la infraestructura crítica, la propagación de software malicioso, así como los intentos de penetrar en las redes del sector público y privado y otras acciones destructivas han intensificado
“Los equipos de seguridad cibernética designados, los proveedores de servicios de Internet y los equipos de TI de las instalaciones de infraestructura de información crítica trabajan las 24 horas del día, los 7 días de la semana, asegurando la disponibilidad e integridad de los recursos de información.
“Los ciberataques de hoy ya ni siquiera requieren una atribución técnica detallada. Los atacantes, sin mucho escondite, utilizan redes de bots para ataques de phishing y DDoS, que nuestros servicios especiales identifican inequívocamente como conectados con los servicios secretos del país agresor. [Russia].”
SSSCIP hizo un llamado adicional a las organizaciones en Ucrania para aislar las estaciones de trabajo y los servidores que no están relacionados con funciones críticas, actualizar los sistemas y el software a las versiones más recientes y hacer copias de seguridad de los datos en un almacenamiento externo.
En este momento, si bien no se considera que exista una amenaza inmediata para las organizaciones en el Reino Unido, todos los defensores deben evaluar sus posturas actuales de seguridad cibernética y las posibles vulnerabilidades a los ataques cibernéticos que se originan en Rusia, en particular aquellos que pueden tener como objetivo a los socios de la cadena de suministro.
También están surgiendo informes de que las organizaciones rusas ahora están en el extremo receptor de la acción cibernética por parte de actores desconocidos. Director de análisis de internet Kentik doug madoryque ha desempeñado un papel decisivo en el seguimiento de los ataques DDoS anteriores contra Ucrania, también ha informado de interrupciones significativas en los bancos rusos Sberbank, en los que el diputado conservador Jacob Rees-Mogg tenía intereses significativos hasta hace poco, y Alfabank, así como interrupciones en los sitios web del gobierno ruso.
Además, una cuenta de Twitter que dice pertenecer al colectivo Anonymous informó que el grupo eliminó el sitio web del medio de propaganda ruso RT. En el momento de escribir este artículo, se puede acceder al sitio web de RT desde el Reino Unido.
