El ciberespacio está sintiendo la tensión de la invasión mortal de Rusia a Ucrania: varios sitios vinculados al Kremlin y sus aliados en Bielorrusia no han estado disponibles para la totalidad o al menos para una parte importante de Internet en los últimos días.
Las interrupciones comenzaron la semana pasada con la desfiguración de sitios web rusos y aumentaron durante el fin de semana, luego de una llamada del viceprimer ministro de Ucrania para la formación de un «Ejército de TI» para atacar los intereses rusos.
Un llamado a las armas
“Habrá tareas para todos”, escribió el viceprimer ministro Mykhailo Fedorov. “Seguimos luchando en el frente cibernético. La primera tarea está en el canal para especialistas cibernéticos”.
Estamos creando un ejército de TI. Necesitamos talentos digitales. Todas las tareas operativas se darán aquí: https://t.co/Ie4ESfxoSn. Habrá tareas para todos. Seguimos luchando en el frente cibernético. La primera tarea está en el canal para especialistas cibernéticos.
— Mykhailo Fedorov (@FedorovMykhailo) 26 de febrero de 2022
La lista de tareas incluía 31 organizaciones afiliadas al Kremlin, bancos y corporaciones rusos y Bielorrusia. Los objetivos también incluyen agencias gubernamentales rusas, direcciones IP gubernamentales, dispositivos de almacenamiento gubernamentales y servidores de correo, y soporte para infraestructura crítica. Durante un tiempo, el popular motor de búsqueda y portal de correo electrónico ruso, Yandex, tampoco estuvo disponible.
Los sitios web de muchas de las organizaciones enumeradas, incluidos bancos (Gazprombank), empresas (Sberbank), corporaciones (Russian Copper Company y Lukoil) y sitios web gubernamentales (Servicios Estatales de Moscú y Ministerio de Defensa), no estaban disponibles en el momento en que se envió esta publicación. En Vivo.
Mientras tanto, la Policía Cibernética de Ucrania informó el domingo que TI, trabajando en nombre Marketingdecontenido, había bloqueado con éxito a los internautas para que no accedieran a una gran cantidad de sitios rusos de alto perfil.
Actualmente fuera de línea
“Especialistas cibernéticos llevan a cabo ciberataques masivos en los recursos web de Rusia y Bielorrusia”, decía la publicación. “El sitio web del Comité de Investigación de la Federación Rusa, el FSB de la Federación Rusa, Sberbank y otros importantes sistemas gubernamentales y de información crítica para la Federación Rusa y Bielorrusia están actualmente caídos”.
La publicación decía que los sitios eliminados incluían los siguientes, todos los cuales eran inaccesibles en el momento en que se publicó esta publicación:
- sberbank.ru
- vsrf.ru
- scrf.gov.ru
- kremlin.ru
- radiobielorrusia.por
- rec.gov.by
- sb.por
- bielorrusia.por
- belta.por
- tvr.por
El lunes, el tráfico de Internet desde fuera de Rusia fue completamente bloqueado para acceder al sitio del portal de gobierno electrónico de Rusia. Como anotado por Doug Madory, director de análisis de Internet de la empresa de análisis de red Kentik, el mayor proveedor de Internet de Rusia, Rostelecom, dejó de anunciar las rutas BGP del portal para contener un aluvión incesante de tráfico basura que lo inundaba.
Como resultado, el sitio no estaba disponible para todos los que usaban direcciones IP asignadas fuera de Rusia. Las excepciones incluyen los puntos de presencia de Azure de Microsoft.
“Este sitio probablemente se usa principalmente a nivel Marketingdecontenido, por lo que probablemente no sea un gran problema que los extraños no puedan acceder a él”, dijo Madory en un chat. “Sin embargo, es evidencia de que RU está tomando medidas defensivas contra ataques a sitios gubernamentales”.
Según una publicación de Facebook publicada por la empresa energética rusa Rosseti, las estaciones de carga de vehículos eléctricos en Rusia dejaron de funcionar cuando la empresa ucraniana que proporcionaba piezas para las estaciones las hackeó mediante el uso de una puerta trasera en los sistemas de control del cargador. En lugar de recargar los vehículos, las estaciones mostraban un mensaje que decía, entre otras cosas: “GLORIA A UCRANIA / GLORIA A LOS HÉROES / PUTIN ES UN PENDEJO / MUERTE AL ENEMIGO”.
Si bien gran parte de la atención se ha centrado en el uso de ataques DDoS por parte de Ucrania para interrumpir o bloquear completamente los sitios rusos, la nación más pequeña también ha estado en el extremo receptor de la piratería maliciosa. La semana pasada, investigadores de la empresa de seguridad ESET dicho sus investigadores descubrieron un malware de limpieza de datos nunca antes visto instalado en cientos de computadoras en Ucrania.
Rotura. #ESETInvestigación descubrió un nuevo malware de limpieza de datos utilizado en Ucrania hoy. La telemetría de ESET muestra que se instaló en cientos de máquinas en el país. Esto sigue a los ataques DDoS contra varios sitios web ucranianos el día de hoy 1/n
— Investigación de ESET (@ESETresearch) 23 de febrero de 2022
Los investigadores de Symantec pronto confirmaron los hallazgos. Ellos también encontraron malware dirigido a bancos y organizaciones en las industrias de servicios de TI, aviación y defensa de Ucrania.
Un análisis técnico de Juan Andrés Guerrero-Saade, investigador principal de amenazas en SentinelOne, dijo que HermeticWiper, como se ha llamado al nuevo malware, sigue una «técnica probada y comprobada» de abusar de un controlador de administración de partición benigno para destruir permanentemente los datos almacenados en discos duros. .
Dos limpiadores anteriores, Destover de Lazarus Group de Corea del Norte y Shamoon de un grupo conocido como APT33, abusaron del controlador Eldos Rawdisk para obtener acceso directo del usuario al sistema de archivos sin llamar a las API de Windows. Guerrero-Saade dijo que HermeticWiper usa una técnica similar al abusar de un controlador diferente, empntdrv.sys.
La semana pasada, los investigadores de seguridad dijeron que el grupo de piratería más despiadado de Rusia había implementado un nuevo malware para infectar dispositivos de red para que pudieran usarse para robar contraseñas y otros datos confidenciales o como un proxy para ocultar ataques cibernéticos en otras organizaciones. Los sitios web ucranianos también se han vuelto inalcanzables en los ataques DDoS.
Los piratas informáticos que trabajan en nombre del gobierno ruso han estado detrás de ataques altamente destructivos en el pasado, siendo el más conocido los ataques de limpiaparabrisas NotPetya que causaron $ 10 mil millones en pérdidas para empresas de todo el mundo. Los piratas informáticos rusos también han cortado la red eléctrica de Ucrania no solo una sino dos veces.
